Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Hacked by...

Hacked by...


Log-Analyse und Auswertung: Hacked by...

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 16.06.2008, 16:02   #1
Reader
 
Hacked by... - Standard

Hacked by...


Hallo liebe Community.
Meine bessere Hälfte hat sich anscheinend irgendwas hier auf ihrem Rechner eingefangen. Wenn man den Internet Explorer aufruft, erscheint in der Titelleiste immer der Zusatz "hacked by Computername".
Habe in der google suche auch schon einen beitrag hier aus dem forum gefunden, der das gleiche problem behandelt.allerdings lies sich die dort angesprochene datei hier auf dem rechner nicht finden. ich bin mal so frei und poste mal hier das HJT Log:

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Alt 16.06.2008, 16:12   #2
-SilverDragon-
 
Hacked by... - Standard

Hacked by...


Hallo und


Lasse folgende Dateien auf Virustotal auswerten und Poste die Ergebnisse KOMPLETT ins Forum.

Code:
ATTFilter
C:\WINDOWS\System32\mdm.exe

C:\WINDOWS\SYSTEM32\MERTE.vbs
Fixe Mit HijackThis folgende Einträge:

Code:
ATTFilter
O3 - Toolbar: (no name) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - (no file)

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O20 - AppInit_DLLs: crypds16.dll

O20 - Winlogon Notify: sccsumdm - C:\WINDOWS\system32\sccsumdm.dll (file missing)
Lasse Malwarebytes Anti-Malware Komplett dein System scannen.
Poste den Report hier ins Forum.
__________________
Alt 16.06.2008, 16:31   #3
Reader
 
Hacked by... - Standard

Hacked by...


ui das ging ja schnell also hier mal die auswertung:

1.C:\WINDOWS\System32\mdm.exe:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.13.1 2008.06.16 -
AntiVir 7.8.0.55 2008.06.16 -
Authentium 5.1.0.4 2008.06.16 -
Avast 4.8.1195.0 2008.06.15 -
AVG 7.5.0.516 2008.06.16 -
BitDefender 7.2 2008.06.16 -
CAT-QuickHeal 9.50 2008.06.14 -
ClamAV 0.93.1 2008.06.16 -
DrWeb 4.44.0.09170 2008.06.16 -
eSafe 7.0.15.0 2008.06.15 -
eTrust-Vet 31.6.5878 2008.06.16 -
Ewido 4.0 2008.06.16 -
F-Prot 4.4.4.56 2008.06.12 -
F-Secure 6.70.13260.0 2008.06.16 -
Fortinet 3.14.0.0 2008.06.16 -
GData 2.0.7306.1023 2008.06.16 -
Ikarus T3.1.1.26.0 2008.06.16 -
Kaspersky 7.0.0.125 2008.06.16 -
McAfee 5317 2008.06.13 -
Microsoft 1.3604 2008.06.16 -
NOD32v2 3191 2008.06.16 -
Norman 5.80.02 2008.06.16 -
Panda 9.0.0.4 2008.06.15 -
Prevx1 V2 2008.06.16 -
Rising 20.49.02.00 2008.06.16 -
Sophos 4.30.0 2008.06.16 -
Sunbelt 3.0.1153.1 2008.06.15 -
Symantec 10 2008.06.16 -
TheHacker 6.2.92.351 2008.06.16 -
TrendMicro 8.700.0.1004 2008.06.16 -
VBA32 3.12.6.7 2008.06.16 -
VirusBuster 4.3.26:9 2008.06.12 -
Webwasher-Gateway 6.6.2 2008.06.16 -
weitere Informationen
File size: 124200 bytes
MD5...: 871d3099bb90947a492e4d025aa28de3
SHA1..: a82cdbda1718145318e4d665addecfc14d70c99c
SHA256: 8ade1748df2abcf17ac1aaaec9fa06f5476ccac3b74533a62dee8b6c92c5d6dc
SHA512: 6fdc5ed823fa0c1115a3d527c2821922fa91c9f0ee59bcc219b0824b932064a6
e325f73083890076b41ae0c97f228e20037eb4b88c9c9936f326a7e491a8f286
PEiD..: InstallShield 2000
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x415aa0
timedatestamp.....: 0x36d90d42 (Sun Feb 28 09:32:50 1999)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x15ba2 0x15c00 6.33 dc588bef8082a4464a6b7488760f2ff6
.rdata 0x17000 0x4b76 0x4c00 5.43 f8dd019180a7c01c3adf1bb8cbdcf42d
.data 0x1c000 0x3c4 0x200 1.10 5aa4cea2e57c9d6cf164b1c5f7c634b3
.rsrc 0x1d000 0x1088 0x1200 4.85 f5e993a2d16953e272008207353e66f7

( 6 imports )
> USER32.dll: KillTimer, DispatchMessageA, PostThreadMessageA, SetTimer, LoadStringA, GetMessageA, MsgWaitForMultipleObjects, PeekMessageA, MessageBoxA, GetWindowTextA, IsWindowVisible, EnumWindows, wsprintfA, CharNextA, GetWindowThreadProcessId, wvsprintfA, wvsprintfW, TranslateMessage
> KERNEL32.dll: GetCurrentProcess, MapViewOfFile, CreateFileMappingA, GetFileSize, CreateFileA, LeaveCriticalSection, LoadResource, FindResourceA, UnmapViewOfFile, GetCurrentThread, HeapDestroy, OutputDebugStringA, OutputDebugStringW, lstrcatW, GetVersion, MultiByteToWideChar, SizeofResource, lstrcpynA, CreateDirectoryA, WritePrivateProfileStringA, GetPrivateProfileSectionNamesA, lstrcpyA, lstrcatA, GetPrivateProfileStringA, SetEvent, ResumeThread, OpenEventA, CreateThread, OpenProcess, CreateEventA, GetCurrentProcessId, WaitForSingleObject, GetModuleHandleA, CreateProcessA, CloseHandle, WideCharToMultiByte, InitializeCriticalSection, TerminateProcess, GetComputerNameA, GetModuleFileNameA, InterlockedIncrement, DeleteCriticalSection, GetLastError, GetCommandLineA, lstrcmpiA, GetThreadLocale, LocalAlloc, LocalFree, GetProcAddress, lstrlenA, LoadLibraryA, InterlockedDecrement, GetCurrentThreadId, lstrlenW, EnterCriticalSection, FreeLibrary, DebugBreak, LoadLibraryExA, GetStartupInfoA
> ole32.dll: CoImpersonateClient, CoCreateInstance, IIDFromString, CoRevertToSelf, CoCreateGuid, CoTaskMemFree, CoInitialize, CoInitializeSecurity, CoUninitialize, StringFromIID, CoRevokeClassObject, CoTaskMemAlloc, CoRegisterClassObject, WriteClassStm, CoGetClassObject, CoTaskMemRealloc, CoReleaseMarshalData, OleSaveToStream, OleLoadFromStream, CoUnmarshalInterface, CoMarshalInterface, CreateStreamOnHGlobal, ProgIDFromCLSID, StringFromGUID2, CoDisconnectObject, StringFromCLSID
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> ADVAPI32.dll: OpenThreadToken, OpenProcessToken, GetTokenInformation, RegQueryInfoKeyA, RegOpenKeyA, RegEnumValueA, RegDeleteValueA, OpenSCManagerA, OpenServiceA, ControlService, DeleteService, CloseServiceHandle, CreateServiceA, StartServiceCtrlDispatcherA, RegCreateKeyA, AllocateAndInitializeSid, GetSidLengthRequired, CopySid, FreeSid, GetSecurityDescriptorSacl, IsValidAcl, GetSecurityDescriptorOwner, GetAce, GetSecurityDescriptorDacl, RegCreateKeyExA, AddAce, GetAclInformation, GetKernelObjectSecurity, EqualSid, AdjustTokenPrivileges, DeleteAce, RegSetValueA, LookupPrivilegeValueA, RegDeleteKeyA, RegCloseKey, RegOpenKeyExA, DeregisterEventSource, ReportEventA, RegEnumKeyA, RegisterServiceCtrlHandlerA, SetServiceStatus, RegisterEventSourceA, GetSecurityDescriptorLength, IsValidSecurityDescriptor, RegSetValueExA, GetUserNameA, MakeSelfRelativeSD, RegQueryValueExA, SetSecurityDescriptorDacl, SetSecurityDescriptorGroup, SetSecurityDescriptorSacl, InitializeSecurityDescriptor, AddAccessDeniedAce, SetSecurityDescriptorOwner, AddAccessAllowedAce, InitializeAcl, RegEnumKeyExA, MakeAbsoluteSD, LookupAccountNameA, GetLengthSid, GetSecurityDescriptorGroup
> MSVCRT.dll: _controlfp, __2@YAPAXI@Z, _mbsicmp, __CxxFrameHandler, _purecall, free, _wcsicmp, towlower, _makepath, _splitpath, atol, isdigit, _except_handler3, vsprintf, _mbscmp, _mbsinc, _mbschr, _mbsdec, _ultoa, strtoul, _mbsstr, __3@YAXPAX@Z, malloc, wcscpy, wcslen, wcscat, vswprintf, wcstombs, __dllonexit, _onexit, _terminate@@YAXXZ, _exit, _XcptFilter, exit, _acmdln, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _mbslwr, realloc, _mbsninc, puts

2.C:\WINDOWS\SYSTEM32\MERTE.vbs

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.13.1 2008.06.16 VBS/Solow
AntiVir 7.8.0.55 2008.06.16 HEUR/HTML.Malware
Authentium 5.1.0.4 2008.06.16 VBS/Solow.A
Avast 4.8.1195.0 2008.06.15 VBS:Solow-C
AVG 7.5.0.516 2008.06.16 VBS/Small
BitDefender 7.2 2008.06.16 Generic.ScriptWorm.E6C852F1
CAT-QuickHeal 9.50 2008.06.14 VBS/IETitle
ClamAV 0.93.1 2008.06.16 -
DrWeb 4.44.0.09170 2008.06.16 VBS.Generic.582
eSafe 7.0.15.0 2008.06.15 -
eTrust-Vet 31.6.5878 2008.06.16 VBS/Slogod
Ewido 4.0 2008.06.16 -
F-Prot 4.4.4.56 2008.06.12 VBS/Solow.A
F-Secure 6.70.13260.0 2008.06.16 VBS/Solow.I
Fortinet 3.14.0.0 2008.06.16 -
GData 2.0.7306.1023 2008.06.16 Virus.VBS.AutoRun.au
Ikarus T3.1.1.26.0 2008.06.16 Virus.VBS.AutoRun.c
Kaspersky 7.0.0.125 2008.06.16 Virus.VBS.AutoRun.au
McAfee 5317 2008.06.13 VBS/IE-Title
Microsoft 1.3604 2008.06.16 Worm:VBS/Slogod.F
NOD32v2 3191 2008.06.16 VBS/Butsur.E
Norman 5.80.02 2008.06.16 VBS/Solow.I
Panda 9.0.0.4 2008.06.15 VBS/FlashJumper.E.worm
Prevx1 V2 2008.06.16 -
Rising 20.49.02.00 2008.06.16 Worm.VBS.Sowel.a
Sophos 4.30.0 2008.06.16 VBS/Solow-Gen
Sunbelt 3.0.1153.1 2008.06.15 -
Symantec 10 2008.06.16 VBS.Runauto
TheHacker 6.2.92.351 2008.06.16 -
TrendMicro 8.700.0.1004 2008.06.16 VBS_SOLOW.AK
VBA32 3.12.6.7 2008.06.16 -
VirusBuster 4.3.26:9 2008.06.12 VBS.Niric.B
Webwasher-Gateway 6.6.2 2008.06.16 Heuristic.HTML.Malware
weitere Informationen
File size: 4208 bytes
MD5...: f6cb391247e292322d57029c7e7e57b4
SHA1..: de3ca6fc8412bf7c2dcd9944811fdeae951346e1
SHA256: 86e31c3431ee8f3accada0b7fd5887db560f257fa7905c8b3dfd798c1d945db1
SHA512: 4d8f3255cc777bfccacf2d4735124f29c5673c7840a7bc1d13ef6fbaea1ab952
1f56d3b54396a611a8ad1c640e5b27e70d8f2de7a1fb1b004ccb15737875db04
PEiD..: -
PEInfo: -
packers (F-Prot): Unicode
packers (Authentium): Unicode

________________________________________________________________

lasse nun noch Malwarebytes Anti-Malware drüberlaufen.report folgt,wenn fertig.danke schonmal
__________________
Alt 16.06.2008, 17:51   #4
Reader
 
Hacked by... - Standard

Hacked by...


ohoh, so hier jetzt die auswertung von Anti-Malware (intensiver scan):

Malwarebytes' Anti-Malware 1.17
Datenbank Version: 861

18:49:11 16.06.2008
mbam-log-6-16-2008 (18-48-58).txt

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 155034
Scan Dauer: 1 hour(s), 5 minute(s), 39 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 26
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 10
Infizierte Dateien: 21

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\clientax.requiredcomponent (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{0ac49246-419b-4ee0-8917-8818daad6a4e} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{51cf80dc-a309-4735-bb11-ef18bf4e3ad9} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{99410cde-6f16-42ce-9d49-3807f78f0287} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{f31a5d11-bf0b-4a4e-90af-274f2090aaa6} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\clientax.requiredcomponent.1 (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{2b0eceac-f597-4858-a542-d966b49055b9} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\clientax.zangoclientax (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\clientax.zangoclientax.1 (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{031cbf6a-c70e-4177-a0d4-c5268ee311fb} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{6c092742-10fe-4db2-988d-fc71948de70c} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{7fa8976f-d00c-4e98-8729-a66569233fb5} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{a16650a9-b065-40ec-bbd1-f8d370d17fb1} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{bdddf1a5-51a9-4f51-b38d-4cd0ad831b31} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{ddea2e1d-8555-45e5-af09-ec9aa4ea27ad} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{e43dfaa6-8c16-4519-b022-8792408505a4} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{f1f1e775-1b21-454d-8d38-7c16519969e5} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{5b6689b5-c2d4-4dc7-bfd1-24ac17e5fcda} (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\clientax.clientinstaller (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\clientax.clientinstaller.1 (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\lmgr180.wmdrmax (Adware.180Solutions) -> No action taken.
HKEY_CLASSES_ROOT\lmgr180.wmdrmax.1 (Adware.180Solutions) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch (Adware.BookedSpace) -> No action taken.
HKEY_CURRENT_USER\Software\Zango (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenUSave) -> No action taken.
HKEY_LOCAL_MACHINE\Software\zango (Adware.180Solutions) -> No action taken.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\MyGlobalSearch (Adware.MyWebSearch) -> No action taken.
C:\Programme\MyGlobalSearch\bar (Adware.MyWebSearch) -> No action taken.
C:\Programme\MyGlobalSearch\bar\History (Adware.MyWebSearch) -> No action taken.
C:\Programme\MyGlobalSearch\bar\Settings (Adware.MyWebSearch) -> No action taken.
C:\Programme\MyWay (Adware.MyWay) -> No action taken.
C:\Programme\MyWay\myBar (Adware.MyWay) -> No action taken.
C:\Programme\MyWay\myBar\2.bin (Adware.MyWay) -> No action taken.
C:\Programme\MyWay\myBar\Cache (Adware.MyWay) -> No action taken.
C:\Programme\MyWay\myBar\History (Adware.MyWay) -> No action taken.
C:\Programme\MyWay\myBar\Settings (Adware.MyWay) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\Downloaded Program Files\ClientAX.dll (Adware.180Solutions) -> No action taken.
C:\Programme\MyGlobalSearch\bar\History\search (Adware.MyWebSearch) -> No action taken.
C:\Programme\MyWay\myBar\2.bin\MY2NS.EXE (Adware.MyWay) -> No action taken.
C:\Programme\MyWay\myBar\2.bin\MYBAR.DLL (Adware.MyWay) -> No action taken.
C:\Programme\MyWay\myBar\2.bin\MYWAYPLUGINPROXY.CLASS (Adware.MyWay) -> No action taken.
C:\Programme\MyWay\myBar\2.bin\NPMYWAY.DLL (Adware.MyWay) -> No action taken.
C:\Programme\MyWay\myBar\2.bin\PARTNER.BMP (Adware.MyWay) -> No action taken.
C:\Programme\MyWay\myBar\2.bin\PARTNER.DAT (Adware.MyWay) -> No action taken.
C:\Programme\MyWay\myBar\2.bin\PARTNER2.DAT (Adware.MyWay) -> No action taken.
C:\Programme\MyWay\myBar\2.bin\PARTNER3.DAT (Adware.MyWay) -> No action taken.
C:\Programme\MyWay\myBar\2.bin\PARTNER4.DAT (Adware.MyWay) -> No action taken.
C:\Programme\MyWay\myBar\2.bin\PARTNER5.DAT (Adware.MyWay) -> No action taken.
C:\Programme\MyWay\myBar\2.bin\PARTNER6.DAT (Adware.MyWay) -> No action taken.
C:\Programme\MyWay\myBar\Cache\002C8333.bin (Adware.MyWay) -> No action taken.
C:\Programme\MyWay\myBar\Cache\002C8576.bin (Adware.MyWay) -> No action taken.
C:\Programme\MyWay\myBar\Cache\002C873B.bin (Adware.MyWay) -> No action taken.
C:\Programme\MyWay\myBar\Cache\files.ini (Adware.MyWay) -> No action taken.
C:\Programme\MyWay\myBar\History\search (Adware.MyWay) -> No action taken.
C:\Programme\MyWay\myBar\Settings\prevcfg.htm (Adware.MyWay) -> No action taken.
C:\WINDOWS\Fonts\acrsecB.fon (Trojan.Agent) -> No action taken.
C:\WINDOWS\Fonts\acrsecI.fon (Trojan.Agent) -> No action taken.

_________________________________________________________________

Hoffe, dass ist jetzt das richtige was ich posten sollte. Die anzhal der Funde macht mir ein wenig Angst.Need Help

Alt 16.06.2008, 18:10   #5
-SilverDragon-
 
Hacked by... - Standard

Hacked by...


Lasse das gefundene von Malwarebytes löschen, dann nochmal scannen lassen, und neues HijackThis Logfile posten.
Deinstalliere in der Systemsteuerung "MyWay, MyGlobalSearch, Hotbar/Zango, falls vorhanden, Anleitung zum Software deinstallieren in meiner Signatur


Alt 17.06.2008, 08:41   #6
Reader
 
Hacked by... - Standard

Hacked by...


so das schland spiel kam dazwischen

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:34:11, on 17.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\XX\Desktop\ICQ6\ICQ.exe
C:\WINDOWS\System32\mdm.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MERTE] C:\WINDOWS\SYSTEM32\MERTE.vbs
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Dokumente und Einstellungen\Rumberg\Desktop\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Dokumente und Einstellungen\XX\Desktop\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - h**p://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - h**p://freeload.cc/secure/ieloader.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - h**p://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD3A8771-5697-4DC0-A625-D8FD6BD8C219}: NameServer = 192.168.2.1
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe

--
End of file - 7403 bytes

________________________________________________________________
so sieht das aktuelle logfile aus.die von dir genannten programme ließen sich unter software nicht finden.im moment ist das hacked by verschwunden.allergins irritiert mich, dass die MERTE.vbs immer noch (bzw wieder) vorhanden ist.diese hatte ich nämlich gelöscht

Alt 17.06.2008, 15:55   #7
-SilverDragon-
 
Hacked by... - Standard

Hacked by...


Lade dir das Tool Avenger

Konfiguriere es nach der Anleitung und kopiere folgenden Text in die weiße Textbox:

Code:
ATTFilter
Files to delete:
C:\Windows\System32\merte.vbs
Danach fixe Mit HijackThis folgende Einträge:

Code:
ATTFilter
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
Dann nochmal Malwarebytes Anti-Malware scannen lassen und neues HijackThis Logfile Posten.

Antwort

Themen zu Hacked by...
angezeigt, aufruf, beitrag, bessere, computer, datei, explorer, forum, google, hacked, hacked by, hijack, hijackthis, hjt log, interne, internet, internet explorer, links, log, micro, problem, rechner, schei, suche, trend


« Trojaner? Windowsausführungen (cmd, taskmgr,...) gesperrt (zurücksetzen scheitert) | Trojaner im System ? »


Ähnliche Themen: Hacked by...


  1. hacked by Benutzername in der Titelleiste im Internet Explorer
    Plagegeister aller Art und deren Bekämpfung - 03.12.2011 (5)
  2. hacked by im internetexplorer trotz versuchter behebung?
    Plagegeister aller Art und deren Bekämpfung - 06.07.2011 (1)
  3. Phishing/Keylogger Steam account hacked
    Plagegeister aller Art und deren Bekämpfung - 23.06.2011 (33)
  4. Account hacked zum 2 x
    Log-Analyse und Auswertung - 13.05.2011 (24)
  5. Habe einen Hacked by .... Virus
    Plagegeister aller Art und deren Bekämpfung - 09.08.2010 (1)
  6. Hacked by Godzilla
    Log-Analyse und Auswertung - 20.05.2010 (11)
  7. MAIL Account hacked
    Log-Analyse und Auswertung - 24.11.2009 (5)
  8. Hacked by Godzilla
    Log-Analyse und Auswertung - 07.07.2009 (11)
  9. hacked by...
    Log-Analyse und Auswertung - 03.05.2009 (50)
  10. Hacked by PETER-100568D5F - HTML/Rce.Gen
    Plagegeister aller Art und deren Bekämpfung - 20.10.2008 (6)
  11. IE Hacked by (Computername) und Sicherheitsinfo geändert
    Plagegeister aller Art und deren Bekämpfung - 14.09.2008 (33)
  12. steam hacked
    Mülltonne - 03.09.2008 (0)
  13. Internet Explorer HACKED BY computername
    Log-Analyse und Auswertung - 29.07.2008 (2)
  14. you were hacked
    Mülltonne - 28.06.2008 (0)
  15. Hacked by FRANKFURTER im Internet Explorer
    Log-Analyse und Auswertung - 03.06.2008 (8)
  16. You were hacked
    Plagegeister aller Art und deren Bekämpfung - 24.07.2007 (7)
  17. Hacked! ...
    Plagegeister aller Art und deren Bekämpfung - 21.06.2006 (2)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Hacked by... - Hallo liebe Community. Meine bessere Hälfte hat sich anscheinend irgendwas hier auf ihrem Rechner eingefangen. Wenn man den Internet Explorer aufruft, erscheint in der Titelleiste immer der Zusatz "hacked by - Hacked by......
Archiv
Du betrachtest: Hacked by... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130