Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Ich wurde gehackt ? (https://www.trojaner-board.de/52931-wurde-gehackt.html)

PrinzLangwei 24.05.2008 18:15
Ich wurde gehackt ?
 
Hallo,
hab ebend auf meinen Festplatten eine verdächtige vbs und inf gefunden.
Wie geh ich vor ? Ist es ernst? Habe noch eine Virtuelle Maschie auf meinem rechner mit SQL Server (VMware workstation) is der über die gekommen.

cosinus 24.05.2008 18:22
Hm...und wie hast Du die Datei entdeckt? Durch nen Zufall? Poste bitte mal ein hijackthis Log.

PrinzLangwei 24.05.2008 18:24
ps: jetzt hat er schon wieder die dateien neu aufs laufwerk geschoben ich hab die doch gelöscht
pps: internet geht aufm pc jetzt auch net mehr oO
Die lagen einfach so im Root auf meinen Laufwerken rum. Das wundert mich ja so. Ich hab die ganze zeit Antivir (natürlich aktuellste version) laufen. Wie kann das passieren ? Muss ich jetzt komplett formatioeren ?


hier meine Log:

Logfile of Trend Micro HijackThis v2.0.2

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:34:46, on 24.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\ZoneLabs\vsmon.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\FileZilla Server\FileZilla Server.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\WINDOWS\system32\PnkBstrA.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\Pen_Tablet.exe
E:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
E:\WINDOWS\system32\vmnat.exe
E:\WINDOWS\system32\vmnetdhcp.exe
E:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
E:\Programme\VMware\VMware Workstation\vmware-authd.exe
E:\WINDOWS\system32\Pen_Tablet.exe
E:\WINDOWS\RTHDCPL.EXE
E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
E:\Programme\Java\jre1.6.0_05\bin\jusched.exe
E:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
E:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
E:\Programme\VMware\VMware Workstation\vmware-tray.exe
E:\Programme\VMware\VMware Workstation\hqtray.exe
E:\Programme\Winamp\winampa.exe
E:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
E:\Programme\Picasa2\PicasaMediaDetector.exe
E:\Programme\Spamihilator\spamihilator.exe
E:\WINDOWS\system32\RUNDLL32.EXE
E:\WINDOWS\System32\WScript.exe
E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\Microsoft ActiveSync\Wcescomm.exe
E:\Programme\Messenger\msmsgs.exe
E:\Programme\DAEMON Tools Lite\daemon.exe
E:\PROGRA~1\MICROS~2\rapimgr.exe
E:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
E:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
E:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
E:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
E:\Programme\Dexpot\dexpot.exe
E:\Programme\OpenOffice.org 2.4\program\soffice.exe
E:\Programme\OpenOffice.org 2.4\program\soffice.BIN
E:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
E:\PROGRA~1\Mozilla Firefox\firefox.exe
E:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
E:\WINDOWS\system32\wuauclt.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.qip.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by *********
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\programme\google\googletoolbar1.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - E:\Programme\Free Download Manager\iefdm2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [VirtualCloneDrive] "E:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [vmware-tray] E:\Programme\VMware\VMware Workstation\vmware-tray.exe
O4 - HKLM\..\Run: [VMware hqtray] "E:\Programme\VMware\VMware Workstation\hqtray.exe"
O4 - HKLM\..\Run: [FileZilla Server Interface] "E:\Programme\FileZilla Server\FileZilla Server Interface.exe"
O4 - HKLM\..\Run: [WinampAgent] E:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ISUSPM] "E:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [Google Desktop Search] "E:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [Picasa Media Detector] E:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [Spamihilator] "E:\Programme\Spamihilator\spamihilator.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "E:\Programme\RivaTuner v2.09\RivaTuner.exe" /S
O4 - HKLM\..\Run: [*********] E:\WINDOWS\SYSTEM32\*********.vbs
O4 - HKLM\..\Run: [ZoneAlarm Client] "E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "E:\Programme\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [DLD.EXE] E:\Programme\Download Direct\DLD.exe
O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "E:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [swg] E:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Dexpot 1.4.lnk = E:\Programme\Dexpot\dexpot.exe
O4 - Startup: OpenOffice.org 2.4.lnk = E:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: Download all with Free Download Manager - file://E:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://E:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download video with Free Download Manager - file://E:\Programme\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: Download with Free Download Manager - file://E:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D60788D5-DE35-4A4C-8881-6F0C83DBDC0D}: NameServer = 192.168.1.1
O20 - AppInit_DLLs: ? O?????????0?????? K?C E:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - E:\Programme\FileZilla Server\FileZilla Server.exe
O23 - Service: GoogleDesktopManager - Google - E:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - E:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - E:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - E:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - E:\WINDOWS\system32\Pen_Tablet.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - E:\Programme\VMware\VMware Workstation\vmware-ufad.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - E:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - E:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - E:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - E:\WINDOWS\system32\vmnat.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - E:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 10522 bytes

cosinus 24.05.2008 18:27
Mach doch erstmal das mit dem hijackthis logfile. :rolleyes:

Edit: Da isses ja schon! :crazy: :D

KarlKarl 24.05.2008 20:24
Hi,

Du wurdest nicht gehackt und es kam auch nicht aus deiner virtuellen Maschine ins Hostsystem gesprungen, Du hast einfahc ienen infizierten USB-Stick oder Festplatte in deinen Rechner gesteckt.

Die Schritte zur Entfernung findest Du hier. Die relevanten Hijackthiseinträge auf deinem System sind:
Code:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by *********
O4 - HKLM\..\Run: [*********] E:\WINDOWS\SYSTEM32\*********.vbs
Und in Zukunft etwas wählerischer damit sein, wo Du USB-Laufwerke reinsteckst.

Gruß, Karl


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:25 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131