Hijackthis Log nach Hackversuchen
 

Hallo liebe Foris,

kurz zu meinem System falls es dafür von Interesse sein sollte :

Hardware:
AMD Athlon 1 Ghz
256 MB DDR RAM
40 GB FP
GeForce FX 5200 128 MB
LG CD Brenner
32x CD LW

Software:
WIN XP Prof incl. SP II
Antivir Personal Edition Classic ( neustes Update )
Spybot Search and Destroy
Lavasoft AdAware SE Personal
Sygate Personal Firewall Pro 5.5
Hijackthis - v1.99.1


Also ich habe sehr häufig mit Hackern zu tun. Irgendwie haben Sie es auf mich abgesehen und ich werde immer und immer wieder von diesen kleinen Kindern gehackt. Nachdem ich dann wieder mein System neu Aufgelegt hatte habe ich mal Zone Alarm 5.1.039 installiert. Da ich nun aber merkt das ich wieder gehackt wurde habe ich dies gelöscht und nun die Sygate Personal Firewall Pro am laufen!

Seit dem hab ich nix mehr gemerkt und habe aber da keines meiner Antiviren Progs was gefunden habe Hijackthis installiert. Hier nun der Logfile mit der bitte um Auswertung!

Danke Jungs :)

Logfile of HijackThis v1.99.1
Scan saved at 21:41:01, on 26.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Norton SystemWorks2005\Norton Ghost\Agent\PQV2iSvc.exe
C:\Programme\Norton SystemWorks2005\Norton AntiVirus\IWP\NPFMntor.exe
C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Timo\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip1.99.1.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1.4FI\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks2005\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks2005\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm5.1.039\zlclient.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Services] Spool32x.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Programme\Norton SystemWorks2005\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy 1.4 Final\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Programme\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight52d\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight52d\GRbrowse.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://noorseboskat.axiscam.net/activex/AMC.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F91B95B2-8AB9-4A6A-815D-C97D94B5834B}: NameServer = 195.202.32.79 195.202.33.68
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Unknown owner - C:\Programme\Norton SystemWorks2005\Norton AntiVirus\navapsvc.exe (file missing)
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton SystemWorks2005\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton SystemWorks2005\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
O23 - Service: SAVScan - Unknown owner - C:\Programme\Norton SystemWorks2005\Norton AntiVirus\SAVScan.exe (file missing)
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Du bist den Marketinglügen der PFW-Firmen aufgesessen. Du bist nicht gehackt worden, sondern Opfer von Netzwerkwürmern aufgrund nicht rechtzeitiger Absicherung des Systems mit notwendigen Siicherheitsupdates.

RBot. Ein Netzwerkwurm mit Backdoorfunktionalität!

Einzige Lösung: Neuaufsetzen gem. Anleitung in Signatur.

Übrigens: All das Firewall- und Securitygeraffel hat dich nicht schützen können. Dabei ist es wirklich nicht schwer, sicher zu sein. Siehe den anderen Link in meiner Sig.

Gruß :daumenhoc
Yopie

Hallo Homeboy,

beim Durchlesen deines Postings konnte ich mir ein leises Schmunzeln nicht verkneifen ;)

Befreie dich bitte von dem Gedanken, dass dich irgendjemand "hacken" will und dass dich eine Personal Firewall davor, oder auch vor etwas anderem schützen kann.

Nun zum HjT-Log:
Das dürfte dieser Schädling sein: http://castlecops.com/s7420-Spool32x_exe.html

=> Das System ist als kompromittiert anzusehen und sollte nach Anleitung neu aufgesetzt und anschließend abgesichert werden.


EDIT: Naja, war Yopie wohl etwas schneller.

da habt Ihr leider nicht recht und dann also doch nicht so die Ahnung wie ich dachte...

Es hat sich u.a. ein Chat Fenster geöffnet wo sich ein " Neo " sich mit mir Unterhalten hat und mir dann erzähle wie er meinem PC gehackt hat und das ich `nen Backdoor installiert habe der aber nicht von Ihm kommt ... Naja wer weiß...

Außerdem kenn ich es wenn meine CD Öffnungen auf und zu gehen, Automatisch. Reboot dauernd wenn man ins I Net geht...

usw. , usw.

Das ist auf jedenfall gehackt !

Das ist nicht "gehackt"!
Du hast dir einen Schädling mit Backdoorfunktionalität installiert und jemand hat auf deinen PC zugegriffen. Das ist keine Kunst...


BTW: Was soll dieser unangebrachte Banner?

was verstehst Du unter einem " gehacktem " PC ?

_____________
Anm.
Unverlangte Parteienwerbung entfernt!


LG Cidre
S-Mod TB

also ich weiß nicht was haui45 unter gehackt versteht. (wie denn auch?)
aber ich nenn das auch net gehackt.
ich nenne sojemanden auch net hacker sondern script kiddie.
er hat warscheinlich nur einen bot den du dir eingefangen hast benutzt um auf dein system zu kommen.
einfach neuinstallieren gemäß dieser Anleitung

@homeboy

Kannst du mal die Werbung für diese "Partei" entfernen?Damit verstößt du eindeutig gegen die NUBs des Boards, mit denen du dich einverstanden erklärt hast.

Hallo Homeboy

Lese hier über Hacker, Script Kiddies usw. Und tu mir einen Gefallen nehmen diesen hässlichen Banner weg http://www.mainzelahr.de/smile/schilder/protest.gif

@ Homeboy

Die unverlangte Parteienwerbung wurde von mir entfernt.
Unterlasse dies zukünftig!

Danke!

@ cidre

Danke!

Bitte @ cronos.

That's my job. ;)