| |
| |||||||
Log-Analyse und Auswertung: Hacked! Cam lief, MSN-Kontakte in meinem Namen angeschrieben,.txt angelegt ...Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
04.05.2007, 22:49
| #1 |
| |  Hacked! Cam lief, MSN-Kontakte in meinem Namen angeschrieben,.txt angelegt ... Hallo, ich war nur kurz essen, kam wieder und sah, dass die Cam leuchtete, was ein Zeichen dafür ist, dass sie läuft. Ich machte meinen Monitor an und sah eine MSN Unterhaltung mit ner Freundin. Da stand ne Menge Müll drin Ich habe die Cam sofort aus gemacht. Dann sah ich drei geöffnete Editor-Fenster. Alle zeigten die selbe Datei an (Neu Textdokument (3).txt an. Dieses Dokument wurde auf dem Desktop abgelegt und hat den Inhalt:und wie ist es????) Ein Editor-Fenster war maximiert alle anderen auf normaler Größe. Aber alle Minimiert in der Taskleiste) Ich schaute in den Firefox und sah die Firefox-Google-Startseite mit dem folgenden Inhalt im Suchfeld: ich hab dich geheckt hahahhahahahahahah mach was ich will oder dein pc ist tot) Und ich habe noch eine neue Datei im system32 Verzeichnis entdeckt. Die nvapps.xml mit XML-Infos zu irgendwelchen Spielen. Andere Merkmale kann ich leider nicht erkennen. Hier mal nen HijackThis Logfile: Logfile of HijackThis v1.99.1 Scan saved at 22:48:29, on 04.05.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTSERV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\WINDOWS\system32\bgsvcgen.exe C:\Programme\Logitech\Easy Synchronization\servicestub.exe C:\Programme\Logitech\Easy Synchronization\LogitechEasySync.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\Programme\CyberLink\Shared files\RichVideo.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\RealVNC\VNC4\WinVNC4.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe C:\WINDOWS\System32\alg.exe C:\Programme\Java\jre1.6.0\bin\jusched.exe C:\Programme\Logitech\SetPoint\LBTWiz.exe C:\Programme\Logitech\Easy Synchronization\LogitechEasySync.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\ICQLite\ICQLite.exe C:\Programme\Winamp\winampa.exe C:\Programme\Unlocker\UnlockerAssistant.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\FinePixViewer\QuickDCF2.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE C:\Programme\Winamp\winamp.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\WINDOWS\system32\wuauclt.exe C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\install\wincmd\WINCMD32.EXE C:\Programme\eRightSoft\SUPER\SUPER.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe C:\Programme\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\X-NetStat Professional\xns5.exe C:\install\wincmd\WINCMD32.EXE C:\WINDOWS\System32\mshta.exe c:\PCWELT\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de/ie R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de/keyword/%s R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: metaspinner GmbH - {1536BA74-8625-4240-99B0-BE65883689C8} - C:\Programme\Mediapiraten\Mediapiraten\IEButtonMPInterface.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll O2 - BHO: metaspinner GmbH - {84B94901-3645-4D80-A6B7-4D0050B19455} - C:\Programme\Mediapiraten\Mediapiraten\IEButtonAmazonInterface.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O2 - BHO: metaspinner GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\Programme\Mediapiraten\Mediapiraten\IEButtonEbayInterface.dll O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: NuSphere ToolBar - {0F62D223-9206-4EA3-9EA8-D0F3C7C82ACA} - C:\Programme\nusphere\phped\nubar\NuSphereIEBar.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0\bin\jusched.exe" O4 - HKLM\..\Run: [Logitech BT Wizard] LBTWiz.exe -silent O4 - HKLM\..\Run: [Easy Synchronization] C:\Programme\Logitech\Easy Synchronization\LogitechEasySync.exe O4 - HKLM\..\Run: [hplampc] C:\WINDOWS\system32\hplampc.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\RunOnce: [Easy Synchronization] C:\Programme\Logitech\Easy Synchronization\LogitechEasySync.exe --ports O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Exif Launcher 2.lnk = ? O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O4 - Global Startup: Logitech SetPoint.lnk = ? O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm O8 - Extra context menu item: amazon Suche - C:\Programme\Mediapiraten\Mediapiraten\Searchamazon.htm O8 - Extra context menu item: amazon Suche starten - C:\Programme\Mediapiraten\Mediapiraten\Searchamazon.htm O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: eBay - Mein eBay - C:\Programme\Mediapiraten\Mediapiraten\SearchEbaymein.htm O8 - Extra context menu item: eBay - Powersuche - C:\Programme\Mediapiraten\Mediapiraten\SearchEbaypower.htm O8 - Extra context menu item: eBay - Startseite - C:\Programme\Mediapiraten\Mediapiraten\SearchEbay.htm O8 - Extra context menu item: eBay Suche starten - C:\Programme\Mediapiraten\Mediapiraten\SearchEbay.htm O8 - Extra context menu item: Google Suche - C:\Programme\Mediapiraten\Mediapiraten\SearchGoogle.htm O8 - Extra context menu item: Google Suche starten - C:\Programme\Mediapiraten\Mediapiraten\SearchGoogle.htm O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: NuSphere PhpED :: Debug this page - res://C:\Programme\nusphere\phped\nubar\NuSphereIEBar.dll/1000 O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (file missing) (HKCU) O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/089cc4b4857abc8d1915/netzip/RdxIE601_de.cab O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{5406FC24-2379-4202-93C0-8C1AA6E0246E}: NameServer = 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{FBF08FF4-B3A7-45DA-8395-699032A351D7}: NameServer = 192.168.120.252,192.168.120.253 O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: LBTWlgn - c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Kaspersky Anti-Virus service (kavsvc) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe (file missing) O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTSERV.EXE O23 - Service: Logitech Easy Synchronization - Unknown owner - C:\Programme\Logitech\Easy Synchronization\servicestub.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Mklmonservice - blue-series - C:\WINDOWS\system32\mklmon32.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: RA Server (Slave) - Unknown owner - C:\WINDOWS\Slave.exe (file missing) O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing) Lasse zur Zeit auch AntiVir laufen. Habe dieses Logfile auch schon mit dem Auwerter von hujackthis.de auswerten lassen. Habe darin die mklmon32.exe entdeckt und mit AntiVir gecheckt. Die war wohl infiziert und ich habe sie löschen lassen. Das war aber isher das einzige. Wie gesagt, AntiVir läuft noch. Hoffe mir kann jemand helfen. Gruß CBUger |
|
05.05.2007, 00:12
| #2 |
 | Hacked! Cam lief, MSN-Kontakte in meinem Namen angeschrieben,.txt angelegt ... C:\install\wincmd\WINCMD32.EXE
__________________C:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe C:\Programme\Unlocker\UnlockerAssistant.exe C:\Programme\eRightSoft\SUPER\SUPER.exe C:\Programme\X-NetStat Professional\xns5.exe C:\WINDOWS\Slave.exe < Wenn möglich überprüfen, versteckt sich aber wahrscheinlich gut alles bei Online Malware scan oder http://www.virustotal.com/ überprüfen und hier ergebnisse posten  außerdem läuft da ein vnc server. haste den selber installiert? wahrscheinlich wurde das über diesen gemacht. C:\Programme\RealVNC\VNC4\WinVNC4.exe Sehr wahrscheinlich, dass es über diesen VNC -Server gemacht wurde. Da ist es ziemlich einfach mal so eine Txt-Datei zuerstellen und in MSN die Cam anzumachen. Muss natürlich nicht sein so wie es aussieht hast du noch mehr z.b. Ein Trojaner und viiieeel Spyware, deswegen ja die dateien überprüfen. Erstmal fixen: O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing) Weißt du was an dem Eintrag lustig ist? Da steht file missing obwohl das Programm doch gerade ausgeführt wird. Scheint was schlimmeres zu sein. achja mklmon32.exe == Spyware das heißt ziemlich schlimm verseuchtes system. poste mal ergebnisse Geändert von Le Pfannenwender (05.05.2007 um 00:22 Uhr) |
|
05.05.2007, 00:44
| #3 | |
| | Hacked! Cam lief, MSN-Kontakte in meinem Namen angeschrieben,.txt angelegt ... Danke für die schnelle Antwort.
__________________Zitat:
ClipInc-Server.exe ist einfach ein Dienst der im Hintergrund alles was man über die Boxen hört aufzeichnet. Ist gedacht um Musik im Radio mitzuschneiden. UnlockerAssistan.exe ist ein PW-Welt Tool. SUPER.exe ist ein Konvertierungstool das viele Audio- und Videoformate umwandeln kann. xns5.exe ist ein Tool das alle bestehenden Verbindungen übersichtlich darstellt (Funktion wie netstat) Slave.exe sagt mir was. War der Meinung, dass ich die mal gelöscht habe, weil mir die komisch vorkam. Kann sie unter C:\Windows auch nicht mehr finden. Im Taskmanager wird die auch nicht angezeigt unter Prozesse. Bin der Meinung vor dem löschen wurde sie angezeigt. Ja, den VNC-Dienst habe ich mir eingerichtet. Habe heute im Router auch festgestellt, dass ich einen Port freigegeben hatte, weil ich als Server auf Verbindungswünsche von Bekannten gewartet habe, damit ich diesem helfen kann. Kann der Server auch dafür genutzt werden, um auf den Rechner (auf dem der Server läuft) zugegriffen werden kann? Ich dachte eigentlich, dass nur auf den Client-Rechner zugegriffen werden kann. C:\Programme\RealVNC\VNC4\WinVNC4.exe ist vorhanden, weil doch dahinter stand (missing file). Ich werde trotzdem mal die angegebenen Dateien scannen und die Ergebnisse postet, auch wenn ich mit keinen Funden rechne. Außerdem haben die "Hacker" wohl nem Freund über ICQ ne exe-Datei geschickt mit angeblich "sexy Mädelz" drin. Habe die Datei mal bei VirusTotal gescannt. Ergebnis hier: ::::: VirusTotal ::::: |
|
05.05.2007, 00:54
| #4 |
| | Hacked! Cam lief, MSN-Kontakte in meinem Namen angeschrieben,.txt angelegt ... Noch die Ergbenisse der Scans: Datei: WINCMD32.EXE Auslastung: 0% 100% Status: EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.) Entdeckte Packprogramme: ASPACK Wie gesagt, WINCMD32.EXE ist ein Dateimanager. Vllt. liegt es daan, dass ein Packprogramm gefunden wurde. Nutze den schon seit Ewigkeiten und alles ist ok. Alle anderen Programme sind OK sagt der Online Malware Scan. |
|
05.05.2007, 10:20
| #5 | ||
| | Hacked! Cam lief, MSN-Kontakte in meinem Namen angeschrieben,.txt angelegt ...Zitat:
wenn du den RealVNC nur als Client benutzen willst, brauchst du doch keine Ports freigeben. wenn du es als server benutzen willst musst du das zwar, aber du solltest vielleicht ein besseres passwort benutzen. weißt du noch welcher virus das war "Slave.exe"? Normal ist diese Datei das Backdoor.Win32.RA-based (trojaner) Zitat:
Geändert von Le Pfannenwender (05.05.2007 um 10:37 Uhr) |
|
05.05.2007, 13:48
| #6 | |
| | Hacked! Cam lief, MSN-Kontakte in meinem Namen angeschrieben,.txt angelegt ... Hier nochmal das Ergebnis der exe: Complete scanning result of "hot_diashow.exe", received in VirusTotal at 05.05.2007, 14:32:53 (CET). Antivirus Version Update Result AhnLab-V3 2007.5.4.0 05.04.2007 no virus found AntiVir 7.4.0.15 05.05.2007 no virus found Authentium 4.93.8 05.04.2007 no virus found Avast 4.7.997.0 05.05.2007 no virus found AVG 7.5.0.467 05.05.2007 BackDoor.Generic5.UEI BitDefender 7.2 05.05.2007 MemScan:Backdoor.Bifrose.NQ CAT-QuickHeal 9.00 05.05.2007 no virus found ClamAV devel-20070416 05.05.2007 Trojan.Packed DrWeb 4.33 05.05.2007 no virus found eSafe 7.0.15.0 05.03.2007 no virus found eTrust-Vet 30.7.3614 05.04.2007 no virus found Ewido 4.0 05.05.2007 no virus found FileAdvisor 1 05.05.2007 no virus found Fortinet 2.85.0.0 05.05.2007 BDoor.CEP!tr.bdr F-Prot 4.3.2.48 05.04.2007 no virus found F-Secure 6.70.13030.0 05.05.2007 no virus found Ikarus T3.1.1.7 05.05.2007 no virus found Kaspersky 4.0.2.24 05.05.2007 no virus found McAfee 5024 05.04.2007 no virus found Microsoft 1.2503 05.05.2007 no virus found NOD32v2 2243 05.05.2007 no virus found Norman 5.80.02 05.04.2007 no virus found Panda 9.0.0.4 05.05.2007 no virus found Prevx1 V2 05.05.2007 no virus found Sophos 4.17.0 05.04.2007 no virus found Sunbelt 2.2.907.0 05.05.2007 no virus found Symantec 10 05.05.2007 no virus found TheHacker 6.1.6.104 04.15.2007 no virus found VBA32 3.11.4 05.04.2007 no virus found VirusBuster 4.3.7:9 05.05.2007 no virus found Webwasher-Gateway 6.0.1 05.05.2007 Heuristic.Crypted Aditional Information File size: 1338880 bytes MD5: 6e8d1582028fbe095837c40a0eca8fa7 SHA1: 8e758f1871812c0147a874411d4c7ce502729dde VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware. Ich weiß nicht mehr was die Slave.exe für einer war. Ist es wirklich nötig das System neu aufzusetzen? Und wenn man dies tut, gibt es nicht Möglichkeiten, dass Dateien infiziert wurden (z.B. Word-Dateien, MP3, WMA oder ähnliche) und sobald man diese ausführt, wieder ein Virus aktiv wird? Hab mir bei Virusslist mal die Definition angeschaut: Zitat:
|
|
05.05.2007, 18:33
| #7 |
| | Hacked! Cam lief, MSN-Kontakte in meinem Namen angeschrieben,.txt angelegt ... Ja hast du also sogar mehrere Backdoortrojaner drauf. Solltest also so schnell wie möglich neuaufsetzen. Du kannst natürlich MP3,WMA,word-dateien und ähnliches sichern. aber auf keinen fall ausführbare dateien. beachte bitte alles auf: http://www.trojaner-board.de/12154-a...sicherung.html sehr genau! vorallem nachdem du neuaufgesetzt hast, alles abgesichert hast solltest du deine Passwörter ändern. Geändert von Le Pfannenwender (05.05.2007 um 18:39 Uhr) |
|
| Themen zu Hacked! Cam lief, MSN-Kontakte in meinem Namen angeschrieben,.txt angelegt ... |
| antivir, auswerten, avg, bho, computer, cyberlink, desktop, excel, firefox, fritz!, hacked, hijack, hijackthis, hijackthis logfile, internet, internet explorer, konvertieren, locker, logfile, monitor, mozilla, mozilla firefox, pdf-datei, rundll, senden, server, software, starten, super, system, tot, windows, windows xp |
Linear-Darstellung
