|
Hilfe wurde gehackt!!! Hi freunde der Sonne heute um halb 6 wurde ich gehackt! Als erstes hat sich der Editor geöffnet und da schrieb dann der Depp! weißt du wie mein richtiger Name ist? Und hallo! Die Wörter sind so erschienen wie bei Matrix ganz am anfang die Szene wo Neo vorm PC sitzt!Die Buchstaben einzeln Ich hatte einen verdacht wer das ist! Dann schrieb ich wenn du das bist (hier stand der Name) gibt es feuer! (er sagt aber er war es nicht) Dann ist noch was gekommen aber ich hatte schon voll panik!Also Editor ausgemacht und in ICQ die verdächtige Person angeschrieben! Auf einmal hat der Hacker in das ICQ Feld wo ich eigentlich reinschreibe geantwortet ! Ob ich keinen spaß verstehen würde? Auch hier konnte ich sehen wie er jeden einzelnen Buchstabe eintippt! ICQ ging dann aus! Der Bildschirmhintergrund wurde auch verändert! Hier Stand dann im Matrix Hintergrund Hacked by NeoX Ich dann Router Stromkabel raus und PC resetet! So Kabel wieder rein und wieder meine verdächtige Person angeschrieben! Wieder dasselbe er schrieb in mein Textfeld rein wo ich eigentlich meinen Text vor dem abschicken reinschreibe! Diesmal mit sama (hier der verdächtige Name) warum bist du denn so böse da müssen wir aber was ändern! Er wollte weiter schreiben aber da war mein Router Stromkabel schon draußen! Bildschirmhintergrund war schon wieder verändert! Nach dem Neustart war wieder mein richtiger da! Mein PC ist durch die Firewall vom Router geschützt durch die Kaspersky Firewall und durch Kaspersky selber! Kaspersky hatte auch nix gefunden! Bin grad mit einem andern PC Online! Habe auch voll panik das der an Daten von mir dran gekommen ist Hoffe einer kann mir helfen! |
Geh mit diesem System vorerst nicht mehr ins Internet, trenne am besten physikalisch die Verbindung (Kabel ziehen...). Übertrage Hijackthis per Diskette oder so auf den Rechner (vorher die hijackthis.exe z.B. in hjt.com umbenennen) und auf der gehackten Kiste ein Log erstellen - dieses hier posten. Nur um mal zu sehen, durch was der Cracker raufgekommen sein kann, auf ein Neuaufsetzen wirds wohl eh hinauslaufen. |
Ok evtl. kann ja hier mir einer mehr helfen! Andere Boards konnten das nicht so! Der log scheint ganz ok zu sein außer diese desktop(2).ini könnte was schlimmes sein! Ich bekomme sie auch nicht gefixt auch nicht im abgesicherten Modus! Auch über die Windows suche wird diese Datei nicht gefunden! So noch was gefunden!!! Unter c ist was gespeichert worden! Ein Textdokument mit dem Name Wichtig von Neo X an Neo X! Inhalt ist sama was klaust du mir eigentlichen meinen name?? Dann ist nach ein bild gespeichert worden eine Bitmap datei wo der Hintergrund von ihm drauf ist! Hacked by NeoX Aber hier erstmal das log! Logfile of HijackThis v1.99.1 Scan saved at 07:47:24, on 04.07.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe E:\Alcohol 120%\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Microsoft IntelliType Pro\type32.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe E:\ATI Tray Tools\atitray.exe E:\Kaspersky Anti-Hacker\KAVPF.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\WINDOWS\System32\svchost.exe C:\hijackthis\hjt.com.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bild.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [KAVPersonal50] "E:\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe" O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [ICQ Lite] "E:\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AtiTrayTools] "E:\ATI Tray Tools\atitray.exe" O4 - HKCU\..\RunOnce: [ICQ Lite] E:\ICQLite\ICQLite.exe -trayboot O4 - Startup: desktop(2).ini O4 - Global Startup: desktop(2).ini O4 - Global Startup: Kaspersky Anti-Hacker.lnk = E:\Kaspersky Anti-Hacker\KAVPF.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQLite\ICQLite.exe O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by108w.bay108.mail.live.com/mail/resources/MsnPUpld.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1179073718078 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: kavsvc - Kaspersky Lab - E:\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - E:\Alcohol 120%\Alcohol 120\StarWind\StarWindService.exe |
Hallo Peter. Hast du nach der Desktop.ini wie in meiner Signatur beschrieben gesucht?? Gruß Undoreal |
Ne so machte ich das nicht! Hat jetzt was gefunden! Ich denk ja mal löschen oder? |
Nicht wenn du wissen willst was auf deinenm Rechner los ist. ;) Lass die Datei mal bei virustotal auswerten und/oder schau mal was in der Datei drinsteht. lg myrtille |
:) wunderbar. danke myrti. |
So grad gemacht sind 3 daten und bei keiner wurde ein Virus gefunden! Ich will wissen wie diese ....... auf mein System drauf gekommen ist!!! Und vor allem ob er an meine Daten konnte!! |
Öffne die Dateien bitte im Editor und hänge sie hier an. [EDIT] ich würde an deinem System alles unverändert lassen und den Rechner der Polizei übergeben. mfg |
Zitat:
@undoreal, die Polizei braucht Beweise wie hier beschrieben, ohne sowas ist es sinnfrei. |
Hallo, Zitat:
....und seine Hausaufgaben macht er dann in der Polizeidienststelle ,sozusagen unter behördlicher Aufsicht ?: Da steht was dem Backdoor so alles an Eigenschaften mitgegeben wurde.... Mir würde das ein wenig Angst machen....:Boogie: Zitat:
Ich kann dir auch gerne noch die Liste posten ,der Spiele bzw.Keys für die sich dein Backdoor besonders intressiert..... Beantwortet das diese Frage ?:rolleyes: Zitat:
|
Bitteschön 1.Datei [.ShellClassInfo] LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787 2.Datei [.ShellClassInfo] LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787 3.Datei [LocalizedFileNames] WordPad.lnk=@%SystemRoot%\system32\shell32.dll,-22069 Rechner.lnk=@%SystemRoot%\system32\shell32.dll,-22019 Paint.lnk=@%SystemRoot%\system32\shell32.dll,-22054 Windows Movie Maker.lnk=@C:\PROGRA~1\MOVIEM~1\wmmres.dll,-61424 Scanner and Camera Wizard.lnk=@C:\WINDOWS\system32\sti_ci.dll,-11Ok Ja an das mit denn bullen dachte ich auch schon nur wird dann mein System über wochen weg sein!!! |
desktop.ini oder desktop(2).ini? Ich vermute ersteres, wir wollen letzteres. ;) |
die (2) ja |
Na gut, das scheinen allerdings ganz normale Dateien zu sein. Dann würde ich jetzt mal silentrunners durchlaufen lassen, vielleicht sieht man da mehr als im HJT-log. lg myrtille |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:53 Uhr. |
Copyright ©2000-2025, Trojaner-Board