ist das ein Hacker?
 

Als ich mein Notebook ausmachen wollte, habe ich eine beunruhigende Meldung bekommen; ich laß: -Freigabe-diese Benutzer sind mit ihrem Computer verbunden. Soll diese Verbindung getrennt werden?- Und dabei stand der Name und ein Vorname, der nach dem Einschalten immer neu ist. Was zum Teufel ist da los?!

@theo22
poste ein HJT logfile
download
anleitung
lasse dein AVscanner mal in den abgesicherten modus scannen.

chaosman

hier ist das Logfile. Streaming Videos werden blockiert neuerdings; wer weiß wieso?
Logfile of HijackThis v1.99.1
Scan saved at 00:35:40, on 22.02.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\PROGRAMME\CISCO SYSTEMS\VPN CLIENT\CVPND.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\KHOOKER.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLDIAL.EXE
C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\SAMSUNG\MAGICKEYBOARD\MAGICKBD.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\NETGEAR\MA101 USB ADAPTER CONFIGURATION UTILITY\WLANMONITOR.EXE
C:\PROGRAMME\AOL 9.0A\AOLTRAY.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\PROGRAMME\MESSENGER\MSMSGS.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\TEMP\TD_0003.DIR\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=12345
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=12345
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\SYSTEM\khooker.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [CVPND] "C:\Programme\Cisco Systems\VPN Client\cvpnd.exe" start
O4 - HKLM\..\RunServices: [AolAcsDaemon1] "C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE"
O4 - Startup: MagicKeyboard.lnk = C:\Programme\SAMSUNG\MagicKeyboard\MagicKBD.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: MA101 Configuration Utility .lnk = C:\Programme\NETGEAR\MA101 USB Adapter Configuration Utility\WlanMonitor.exe
O4 - Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = spsu
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 168.28.176.63,168.28.176.11

Du hast WLAN?

Dann hast Du anscheinend "Mitbenutzer" gehabt, welche vollen Zugriff auf Deine Daten hatten!

Wenn dieses kein von Dir eingerichtetes Netzwerk ist, kann es nur eins geben:

Neuaufsetzen des Systems (Posting von Cidre)

Ändere sämtliche Passwörter und sichere zukünftig Dein WLAN ab!

Ich habe kein W-Lan. Bin aber auf dem Campus einer Uni.
Ich habe vor kurzem den Rechner nicht mit -Ruhezustand- ausgemacht , sondern mit -Herunterfahren-. Seitdem erscheint kein Fremdbenutzer auf dem Desktop. Ist jetzt wohl alles OK oder soll ich das System doch löschen?
Ich wüßte dann nicht, wie ich Anitvir etc. bekomme.

Sind die Tips auch obligatorisch, wenn ich kein W-Lan habe?

spsu ist sicher eine Uni-Domäne. Die Meldungen
dürften theoretisch nur dann gekommen sein, wenn Du am LAN der Uni angeschlossen warst. Dann gilt: Neuaufsetzen!
Falls nicht, mach bitte folgendes:
eScan-Anleitung (Posting von Gigamail)

Ich habe nun mit einem Experten gesprochen über Schutz vor Hackern, insbesondere bei Onlinebanking. Er sagte, daß es davor keinen Schutz gäbe, was sehr beunruhigend ist. Es sei sehr leicht, auf dem Campus in fremde Rechner zugehen und auch bei Onlinebanking. Das passiere aber selten und man könne diese Hacker ausfindig machen. Er meinte aber auch, das ich zwar Windows XP laden sollte, daß dadurch aber kein Schutz vor Hackern bestehe.
Leute was ist denn nun der Fall?!

-soll ich mein Windows löschen, was bringt mir das?
-wie sicher ist Onlinebanking in meiner Situation?
-kann man die Diebe ausfindig machen?
-ich habe nur selten von Diebstahl gehört; stimmt es, das dies online sehr oft passiert,wer haftet dafür?

Meiner Meinung nach --> JA, da Du nicht weisst, wozu Dein Rechner genutzt wurde¹ und was ggf. alles verändert wurde (eScan könnte ggf. aufzeigen, ob Backdoorprogramme auf Deinem Rechner sind...diese dann z.B. auf CD sichern)
Außerdem könntest Du dann wieder sicher sein (vorausgesetzt, Dein LAN ist sicher konfiguriert), dass Dein Rechner nicht mehr "mißbraucht" werden kann.

UNsicher! Da ja eventuell "mitgelesen" wurde, was Du eingegen hast (Passwörter usw.).

Bin ich nicht der Experte dafür, meiner Meinung nach nur mit enormen Aufwand.

Wenn Du nachweisen könntest, dass Du Transaktionen nicht durgeführt hast -> die Bank bzw. der Täter (s.o. ....ausfindig machen) ansonsten Du. Sicher, führt ein Unbefugter eine Überweisung innerh. Deutschlands aus, ist er vermutl. zu ermitteln. Aber wenn die Überweisung nach z.B. Osteuropa (Beispiel) geht???
Ob dies online oft passiert, weiss ich nicht. Man hört ab und zu davon.

¹ z.B. könnte er ja als z.B. Zwischenstation für illegale Angebote genutzt worden sein