Windows XP: hackerangriff

Mach mal bitte ein Logfile mit hijackthis und poste ihn unverändert 

Denke dass du dir Zlob eingefangen hast.

Erstell das Logfile was Schalker gesagt hat.

Außerdem lade dir Malwarebytes runter,mache damit einen Komplettscan. Lasse alle Funde löschen und poste den Report hier.


 

danke für die tips hab das problem gelöst

bei malwarebytes kriege ich ne fehlermeldung (Run-time Error 339) kp warum .naja hab avast runtergeladen und hat im dos virengescannt 2 viren und 17trojaner xD antivir zeigt kein viren an oO

danke ne schalker & ersguterjunge

MOMENT!!

Poste bitte den report oder die Funde von Avast.

Denke nicht dass dein System sauber ist. 

hab das erst ne stunde wo finde ich diesen logdatei..?
hab eine gefunden hat aber über 16000 zeichen ist das vllt?wenn ja dann kann ich das nicht schicken xD

Dann ladt es auf rapidshare hoch und setz den Link rein.

Oder guck in dem Report nach was für Funde da sind.

Mach auch bitte trotzdem das Logfile mit Hijackthis.

ogfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:52:44, on 22.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\icq\ICQ6\ICQ.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.unitymedia.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.unitymedia.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.unitymedia.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von UnityMedia
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7C109800-A5D5-438F-9640-18D17E168B88} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: (no name) - {51D81DD5-55B7-497F-95DB-D356429BB54E} - (no file)
O3 - Toolbar: gktxaspm - {AE7C2D7A-58B4-4DDD-904F-E089A9514E0F} - C:\WINDOWS\gktxaspm.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Programme\NetProject\scit.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Programme\NetProject\sbmntr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.getietool.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.getietool.com/redirect.php (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\icq\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\icq\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O21 - SSODL: gnowmebk - {7C74F070-334F-4BC8-AF9E-5F6595575427} - C:\WINDOWS\gnowmebk.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Print Spooler Service (oauu5aanygnba4i) - Unknown owner - C:\WINDOWS\system32\ucovnbgkh.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 7578 bytes
 

das ist der report

05/22/2008 18:40
Scan aller lokalen Laufwerke

Datei C:\Dokumente und Einstellungen\Canpolat\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZBRQMCSG\AntiVirProtectSetup[1].exe ist infiziert von Win32:FraudLoad-P [Trj], Gelöscht
Datei C:\Programme\NetProject\sbun.exe\[UPX] ist infiziert von Win32:Zlob-BMV [Trj], Gelöscht
Datei C:\Programme\NetProject\scm.exe\[UPX] ist infiziert von Win32:Zlob-BVQ [Trj], Gelöscht
Datei C:\System Volume Information\_restore{B74FC4B8-FFAF-4DF2-A6C7-F3280BA41806}\RP106\A0081732.exe ist infiziert von Win32:Trojan-gen {Delphi}, Gelöscht
Datei C:\System Volume Information\_restore{B74FC4B8-FFAF-4DF2-A6C7-F3280BA41806}\RP108\A0083474.exe\[UPX] ist infiziert von Win32:Zlob-BVQ [Trj], Gelöscht
Datei C:\System Volume Information\_restore{B74FC4B8-FFAF-4DF2-A6C7-F3280BA41806}\RP108\A0083479.exe\[UPX] ist infiziert von Win32:Zlob-AJZ [Trj], Gelöscht
Datei C:\System Volume Information\_restore{B74FC4B8-FFAF-4DF2-A6C7-F3280BA41806}\RP108\A0083481.exe\[UPX] ist infiziert von Win32:Zlob-BMV [Trj], Gelöscht
Datei C:\System Volume Information\_restore{B74FC4B8-FFAF-4DF2-A6C7-F3280BA41806}\RP108\A0083482.dll ist infiziert von Win32:Zlob-AJV [Trj], Gelöscht
Datei C:\System Volume Information\_restore{B74FC4B8-FFAF-4DF2-A6C7-F3280BA41806}\RP108\A0083496.exe\[UPX] ist infiziert von Win32:Zlob-BVQ [Trj], Gelöscht
Datei C:\System Volume Information\_restore{B74FC4B8-FFAF-4DF2-A6C7-F3280BA41806}\RP108\A0083503.exe\[UPX] ist infiziert von Win32:Zlob-BVQ [Trj], Gelöscht
Datei C:\System Volume Information\_restore{B74FC4B8-FFAF-4DF2-A6C7-F3280BA41806}\RP108\A0083534.exe ist infiziert von Win32:Agent-PCP [Trj], Gelöscht
Datei C:\System Volume Information\_restore{B74FC4B8-FFAF-4DF2-A6C7-F3280BA41806}\RP109\A0083640.dll ist infiziert von Win32:Zlob-AJV [Trj], Gelöscht
Datei C:\System Volume Information\_restore{B74FC4B8-FFAF-4DF2-A6C7-F3280BA41806}\RP110\A0090004.dll ist infiziert von Win32:Vapsup-EB [Adw], Gelöscht
Datei C:\System Volume Information\_restore{B74FC4B8-FFAF-4DF2-A6C7-F3280BA41806}\RP110\A0090006.dll ist infiziert von Win32:Agent-LTS [Trj], Gelöscht
Datei C:\System Volume Information\_restore{B74FC4B8-FFAF-4DF2-A6C7-F3280BA41806}\RP110\A0090007.exe\[UPX] ist infiziert von Win32:Zlob-BMV [Trj], Gelöscht
Datei C:\System Volume Information\_restore{B74FC4B8-FFAF-4DF2-A6C7-F3280BA41806}\RP110\A0090008.exe\[UPX] ist infiziert von Win32:Zlob-BVQ [Trj], Gelöscht
Datei C:\WINDOWS\mdtgkswr.exe ist infiziert von Win32:Vapsup-BW [Adw], Gelöscht
Anzahl durchsuchter Ordner: 5437
Anzahl der geprüften Dateien: 60685
Anzahl infizierter Dateien: 17
 

Dein Pc ist wie vermutet nicht sauber!!

Würde ihn Formatieren.

Würde ihn Formatieren.

habe grad mit nlite ne bootbare cd erstellt kann man im windows testen ob die cd funktioniert?

habe grad mit nlite ne bootbare cd erstellt kann man im windows testen ob die cd funktioniert?
[/qoute]
Du soltes keine cd erstellen, du sollst mit der WindowsCD  formatieren

so ich hatte genau das selbe problem da nützt nischts

also kurz und schmerzlos die maschiene plätten und dann neu installieren

hör lieber gleich auf rumzubasteln ^^

..die Überschrift stimmt nicht
..das hat soviel mit "Hackerangriff" zu tun wie ein Floh im Ohr.

@kackboon
das ist genau was du bist (habe mir jetzt!erst deine sugar logfile angeschaut!).
das du dich nicht schähmst uns sowas zu präsentieren
http://www.trojaner-board.de
..denke die können besser mit so was umgehen!

Kann man als Laie ja nicht wissen!!

In der Fake meldung steht ja :

Windows has detectet an internet attack 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
    O2 - BHO: (no name) - {7C109800-A5D5-438F-9640-18D17E168B88} - (no file)
    O3 - Toolbar: (no name) - {51D81DD5-55B7-497F-95DB-D356429BB54E} - (no file)
Unbekannt
   O3 - Toolbar: gktxaspm - {AE7C2D7A-58B4-4DDD-904F-E089A9514E0F} - C:\WINDOWS\gktxaspm.dll
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Programme\NetProject\scit.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Programme\NetProject\sbmntr.exe
O21 - SSODL: gnowmebk - {7C74F070-334F-4BC8-AF9E-5F6595575427} - C:\WINDOWS\gnowmebk.dll
   
FORMATIEREN!!!!!

Wurde hier schon oft genug gesagt Orkun 

Jo wollte es nur noch Deutlich sagen