Hacker am Werk

bambam · 28.10.2008, 15:55

Habe seit längerem Hacker am Werk. Habe Rechner mehrmals neu gemacht, Router konfiguriert, aber die absolute Sicherheit gibt es nicht. Fällt jemandem bei folgendem logfile evtl. was auf.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:32, on 2008-10-28
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Windows\SamsungSM\PanelMgr\SSMMgr.exe
C:\Program Files\Samsung\Samsung SCX-4x21 Series\PSU\Scan2pc.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\Users\Benutzerkonto\AppData\Local\Google\Update\GoogleUpdate.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\system32\SearchFilterHost.exe
D:\Tools\Sicherheit\HiJackThis\bambam.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Asz.Citavi.IEPicker.IEPickerButton - {609D670F-B735-4da7-AC6D-F3BD358E325E} - C:\Windows\system32\mscoree.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\Program Files\Notebook Hardware Control\nhc.exe" -quiet
O4 - HKLM\..\Run: [SamsungSM PanelMgr] C:\Windows\SamsungSM\PanelMgr\SSMMgr.exe /autorun
O4 - HKLM\..\Run: [WHITNEY_S2P] C:\Program Files\Samsung\Samsung SCX-4x21 Series\PSU\Scan2pc.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-2488109617-556192918-3553362811-1001\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (User 'Benutzerkonto')
O8 - Extra context menu item: &Citavi Picker... - file://C:\Program Files\Internet Explorer\PLUGINS\Citavi Picker\ShowContextMenu.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Citavi Picker - {619D670F-B735-4da7-AC6D-F3BD358E325E} - C:\Windows\system32\mscoree.dll
O13 - Gopher Prefix:
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASP ER~1\kloehk.dll
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: DiRT Drivers Auto Removal (pr2ah4nb) (pr2ah4nb) - CODEMASTERS - C:\Windows\system32\pr2ah4nb.exe
O23 - Service: DiRT Drivers Auto Removal (pr2ah4nc) (pr2ah4nc) - CODEMASTERS - C:\Windows\system32\pr2ah4nc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe

--
End of file - 6188 bytes

BloedeViren · 28.10.2008, 16:00

Vielleicht solltes du dir mal Anständiges Virenprogramm holen das auch vor Hackern schützt

Aggro Berlin · 28.10.2008, 16:02

Hallo,

Dann würde mich mal interessieren welche Firewall/s du nutzt.

Und bitte mal Anti-Malware scannen lassen

Ausserdem woher weisst du, dass ein Hacker am Werk ist?

LG

bambam · 28.10.2008, 16:25

Anti mailware scan läuft.
Habe wireshark installiert und auch mal laufen lassen, allerdings ist die Auswertung ausser hierarchie-Übersicht mir zu anspruchsvoll.
Hacker machen sich bemerkbar durch Änderung von Einstellungen wie windows sounds, touchpadeinstellungen usw.
So nach dem Motto: Wir machen uns mal bemerkbar, sonst merkt er gar nicht, dass wir am Werk sind.
Schnellscan ist fertig:
alwarebytes' Anti-Malware 1.30
Datenbank Version: 1332
Windows 6.0.6001 Service Pack 1

2008-10-28 16:23:19
mbam-log-2008-10-28 (16-23-19).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 44132
Laufzeit: 3 minute(s), 31 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Mich würde auch interessiern, ob sich Trojaner in unbenannten partitionen der FP einnisten können, denn ich kann c: d: formatieren, aber es gibt noch eine weitere Partition für Recovery (Asus notebook).

Aggro Berlin · 28.10.2008, 16:27

Bitte den ausführlichen scan

Aber wenn du unbedingt Neuaufsetzen will, dann bitte ist nachtürlich sicherer

Bitte beantworte meine Frage, welche Firewall/ s du nimmst?

bambam · 28.10.2008, 16:39

@BloedeViren:

Welches Virenprogramm empfiehlst Du?
KIS 09 scheint ein besserer Banner-Blocker zu sein,
aber antibot und SPF haben auch nichts entdeckt. Habe nach ner Neuinstallation auch schon Norton 360 laufen lassen, ohne Befund.

28.10.2008, 16:00	#2
BloedeViren Gesperrt	Hacker am Werk Vielleicht solltes du dir mal Anständiges Virenprogramm holen das auch vor Hackern schützt __________________

Hacker am Werk

Log-Analyse und Auswertung: Hacker am Werk

Hacker am Werk

Hacker am Werk

Hacker am Werk

Hacker am Werk

Hacker am Werk

Hacker am Werk

Ähnliche Themen: Hacker am Werk

28.10.2008, 16:02	#3
Aggro Berlin	Hacker am Werk Hallo, Dann würde mich mal interessieren welche Firewall/s du nutzt. Und bitte mal Anti-Malware scannen lassen Ausserdem woher weisst du, dass ein Hacker am Werk ist? LG __________________ __________________ Geändert von Aggro Berlin (28.10.2008 um 16:08 Uhr)

28.10.2008, 16:27	#5
Aggro Berlin	Hacker am Werk Bitte den ausführlichen scan Aber wenn du unbedingt Neuaufsetzen will, dann bitte ist nachtürlich sicherer Bitte beantworte meine Frage, welche Firewall/ s du nimmst? __________________ Warum stürzt Windows 95 so oft ab? Na klar - weil das Verfallsdatum abgelaufen ist!

28.10.2008, 16:39	#6
bambam	Hacker am Werk @BloedeViren: Welches Virenprogramm empfiehlst Du? KIS 09 scheint ein besserer Banner-Blocker zu sein, aber antibot und SPF haben auch nichts entdeckt. Habe nach ner Neuinstallation auch schon Norton 360 laufen lassen, ohne Befund.