Spambot an Bord? Wurde ich gehackt, oder ist es ein Trojaner/Virus?

Chassax · 04.07.2010, 09:53

Hallo erstmal

Entschuldigung im Voraus, falls ich irgendwo gegen die Forenregeln verstoßen sollte - es ist mein erster Post hier, ich würde gerne darauf aufmerksam gemacht werden...

Naja - also, erst einmal der Leidensweg

den ich gehen musste, bevor ich total verzweifelte und dieses Forum fand. XD

Es fing damit an, das ich mich in einem Forum anmelden wollte, und das sagte mir, dsa meine IP adresse auf der CBS blacklist steht. Da machte ich mir Sorgen. Weil das scheint irgendeine Liste zu sein mit IP's die beim spammen erwischt wurden. Ich hab mich dann da rausnehmen lassen- und das hat bis heute wohl auch funktioniert.

So, dann fiel mir auf, das vor drei wochen irgendwas oder irgendwer alle meine mails bis auf hundert gelöscht hatte. (die hundert letzten). Bei hotmail. Vielleicht war es auch nur irgendeine Funktion - aber die war mir bis dahin nicht bekannt.

Was mir noch auffiel war, das ich eignetlich der einzige Benutzer an diesem pc bin - aber wenn ich auf den taskmanager gehe, kann ich auf "prozesse aller benutzer anzeigen" klicken, und dann werden es auf einmal ungefähr doppelt so viele Prozesse. Jedoch zeigt der PC mir an, das ich der einzige Benutzer bin - wo kommen dann verdammt nohcmal die ganzen Prozesse her?

Danach habe ich hjackthis durchlaufen lassen - und konnte nicht auf die hosts zugreifen. Man sagte mir das das bei Vista normal wäre wegen der benutzerrechte blaah ~. Keine ahnung ob das normal ist, ich konnte nicht darauf zugreifen - und er konnte mir keine infos darüber geben.

Und wegen der
a) blacklist
b) gelöschten mails
c) merkwürdigen prozesse
d) nicht angezeigten hosts

frage ich bei euch um hilfe.
Ich hab dieses Malwarebytes programm (das empfholen wurde) durchlaufen lassen, es hat nichts gefunden. Kaspersky ebensowenig - aber ich habe gelesen, das spybots wohl manchmal einfach nicht erkannt werden.

damit ihr euch ein Bild von der Lage meines Pc's machen könnt, poste ich hier die hjackthis datei:

HiJackthis Logfile:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 10:32:03, on 04.07.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18928)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\HomeCinema\PowerDVD8\PDVD8Serv.exe
C:\Windows\system32\WTablet\Pen_TabletUser.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtblfs.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Program Files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
C:\Windows\system32\notepad.exe
C:\Windows\system32\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Welcome to ALDI
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: (no name) -  - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll
O2 - BHO: Windows Live ID-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl8] "C:\Program Files\HomeCinema\PowerDVD8\PDVD8Serv.exe"
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] "C:\Program Files\HomeCinema\PowerDVD8\Language\Language.exe"
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\HomeCinema\YouCam" UpdateWithCreateOnce "Software\CyberLink\YouCam\2.0"
O4 - HKLM\..\Run: [Ocs_SM] C:\Users\Sascha\AppData\Roaming\OCS\SM\SearchAnonymizer.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [UpdatePPShortCut] "C:\Program Files\HomeCinema\PowerProducer\MUITransfer\MUIStartMenu.exe" "C:\Program Files\HomeCinema\PowerProducer" UpdateWithCreateOnce "Software\CyberLink\PowerProducer\5.0"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunOnce: [Uninstall Adobe Download Manager] "C:\Windows\system32\rundll32.exe" "C:\Program Files\NOS\bin\getPlus_Helper.dll",Uninstall /IE2883E8F-472F-4fb0-9522-AC9BF37916A7 /Get1noarp
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O8 - Extra context menu item: Free YouTube Download - C:\Users\Sascha\AppData\Roaming\DVDVideoSoftIEHelpers\youtubedownload.htm
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Users\Sascha\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files\ICQ7.0\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files\ICQ7.0\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: HP Smart Web Printing ein- oder ausblenden - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - eBay: Neue und gebrauchte Elektronikartikel, Autos, Kleidung, Sammlerstücke, Sportartikel und mehr ? alles zu günstigen Preisen (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - eBay: Neue und gebrauchte Elektronikartikel, Autos, Kleidung, Sammlerstücke, Sportartikel und mehr ? alles zu günstigen Preisen (file missing) (HKCU)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{034CD4F9-FA0E-48DF-8F73-337B3A698938}: NameServer = 131.174.78.16,131.174.78.17
O17 - HKLM\System\CS1\Services\Tcpip\..\{034CD4F9-FA0E-48DF-8F73-337B3A698938}: NameServer = 131.174.78.16,131.174.78.17
O17 - HKLM\System\CS3\Services\Tcpip\..\{034CD4F9-FA0E-48DF-8F73-337B3A698938}: NameServer = 131.174.78.16,131.174.78.17
O17 - HKLM\System\CS4\Services\Tcpip\..\{034CD4F9-FA0E-48DF-8F73-337B3A698938}: NameServer = 131.174.78.16,131.174.78.17
O17 - HKLM\System\CS5\Services\Tcpip\..\{034CD4F9-FA0E-48DF-8F73-337B3A698938}: NameServer = 131.174.78.16,131.174.78.17
O17 - HKLM\System\CS6\Services\Tcpip\..\{034CD4F9-FA0E-48DF-8F73-337B3A698938}: NameServer = 131.174.78.16,131.174.78.17
O17 - HKLM\System\CS7\Services\Tcpip\..\{034CD4F9-FA0E-48DF-8F73-337B3A698938}: NameServer = 131.174.78.16,131.174.78.17
O17 - HKLM\System\CS8\Services\Tcpip\..\{034CD4F9-FA0E-48DF-8F73-337B3A698938}: NameServer = 131.174.78.16,131.174.78.17
O17 - HKLM\System\CS9\Services\Tcpip\..\{034CD4F9-FA0E-48DF-8F73-337B3A698938}: NameServer = 131.174.78.16,131.174.78.17
O17 - HKLM\System\CS10\Services\Tcpip\..\{034CD4F9-FA0E-48DF-8F73-337B3A698938}: NameServer = 131.174.78.16,131.174.78.17
O17 - HKLM\System\CS11\Services\Tcpip\..\{034CD4F9-FA0E-48DF-8F73-337B3A698938}: NameServer = 131.174.78.16,131.174.78.17
O17 - HKLM\System\CS12\Services\Tcpip\..\{034CD4F9-FA0E-48DF-8F73-337B3A698938}: NameServer = 131.174.78.16,131.174.78.17
O17 - HKLM\System\CS13\Services\Tcpip\..\{034CD4F9-FA0E-48DF-8F73-337B3A698938}: NameServer = 131.174.78.16,131.174.78.17
O17 - HKLM\System\CS14\Services\Tcpip\..\{034CD4F9-FA0E-48DF-8F73-337B3A698938}: NameServer = 131.174.78.16,131.174.78.17
O17 - HKLM\System\CS15\Services\Tcpip\..\{034CD4F9-FA0E-48DF-8F73-337B3A698938}: NameServer = 131.174.78.16,131.174.78.17
O17 - HKLM\System\CS16\Services\Tcpip\..\{034CD4F9-FA0E-48DF-8F73-337B3A698938}: NameServer = 131.174.78.16,131.174.78.17
O17 - HKLM\System\CS17\Services\Tcpip\..\{034CD4F9-FA0E-48DF-8F73-337B3A698938}: NameServer = 131.174.78.16,131.174.78.17
O17 - HKLM\System\CS18\Services\Tcpip\..\{034CD4F9-FA0E-48DF-8F73-337B3A698938}: NameServer = 131.174.78.16,131.174.78.17
O17 - HKLM\System\CS19\Services\Tcpip\..\{034CD4F9-FA0E-48DF-8F73-337B3A698938}: NameServer = 131.174.78.16,131.174.78.17
O17 - HKLM\System\CS20\Services\Tcpip\..\{034CD4F9-FA0E-48DF-8F73-337B3A698938}: NameServer = 131.174.78.16,131.174.78.17
O17 - HKLM\System\CS21\Services\Tcpip\..\{034CD4F9-FA0E-48DF-8F73-337B3A698938}: NameServer = 131.174.78.16,131.174.78.17
O17 - HKLM\System\CS22\Services\Tcpip\..\{034CD4F9-FA0E-48DF-8F73-337B3A698938}: NameServer = 131.174.78.16,131.174.78.17
O17 - HKLM\System\CS23\Services\Tcpip\..\{034CD4F9-FA0E-48DF-8F73-337B3A698938}: NameServer = 131.174.78.16,131.174.78.17
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~2\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~2\kloehk.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FsUsbExService - Teruten - C:\Windows\system32\FsUsbExService.Exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\Cyberlink\Shared files\RichVideo.exe
O23 - Service: SearchAnonymizer - Unknown owner - C:\Users\Sascha\AppData\Roaming\OCS\SM\SearchAnonymizerHelper.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\Windows\system32\Pen_Tablet.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe
O23 - Service: WTouch Service (WTouchService) - Wacom Technology, Corp. - C:\Program Files\WTouch\WTouchService.exe

--
End of file - 12381 bytes

--- --- ---

Und ich ahb mich schlau gemacht (keine Ahnung, ob ich mich richtig informiert habe), und vielleicht herausgefunden wie ich meine hosts doch sehen kann. Also - das war die Datei, die dabei herauskam als ich das hier:
notepad %windir%\system32\drivers\etc\hosts
in ausführen eintippte.

# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost
::1 localhost
127.0.0.1 71i.de
127.0.0.1 adicqserver.71i.de

Also, der PC ist wirklich wichtig für mein Studium, und mail-accounts und internetbanking. Ich wäre sehr froh, wenn mir jemand sagen würde, ob Hopfen und Malz verloren ist, oder ob man etwas retten kann. Vielleicht ist es ja gar nicht so schlimm.

Greetz, Chassax

cosinus · 07.07.2010, 11:33

Hallo und

Zitat:

Ich hab dieses Malwarebytes programm (das empfholen wurde) durchlaufen lassen, es hat nichts gefunden.

Poste das Log trotzdem.

Spambot an Bord? Wurde ich gehackt, oder ist es ein Trojaner/Virus?

Log-Analyse und Auswertung: Spambot an Bord? Wurde ich gehackt, oder ist es ein Trojaner/Virus?

Spambot an Bord? Wurde ich gehackt, oder ist es ein Trojaner/Virus?

Spambot an Bord? Wurde ich gehackt, oder ist es ein Trojaner/Virus?

Ähnliche Themen: Spambot an Bord? Wurde ich gehackt, oder ist es ein Trojaner/Virus?