Hacked by PH-113

Screenshot zeigen ??
http://www.hijackthis.de/  <<< nutzen ...

hier^^

So nun hast du einen Shot...und was jetzt...?
Wie bringt dich der weiter ?
Hauptsache den User mal mit was beschäftigt,oder ?

Wenn du Bilder sehen willst wechsel in ein Fotobord !!!

Hallo Curuba,
ich denke ich weiß was da bei dir los ist..
Um sicher zugehen muß ich vorher aber ein Logfile von Hijackthis sehen.
Dies ist ein Programm um den aktuellen Zustand deines PC zu zeigen,du bekommst es hier :www.hijackthis.de
Poste mir diese Log ohne Veränderungen oder sonstiges einfach per "kopieren" und hier "einfügen"
Eventuell muß ich meine Rettungsaktionen anpassen deswegen brauch ich einen Blick auf das Log...
Sir Reklov

Hey "reservierter Sir Reklov " komme mal wieder runter. Ich fand diese Idee mit dem Sreen gar nicht so schlecht. Oder hast du aus der Beschreibung von Curuba erkennen können, dass er eine WLan-Verbindung hat? Nein!!! Also motz hier mal nicht andere Forumuser an, du hast nämlich in diesem Thread noch nichts geleistet, außer dich über HCK aufgeregt und ihm nachgeplappert (Hijackthis).
Also: Schön nett bleiben, sry,  werden!!!

ps.: Hijack ist keine Schlechte idee.
     Wlan-Verschlüsseung?
     Virenscan(z.B: hacktools, backdoor...)
     Nach einem Hijacklog wisssen wir dann alle mehr.
     Warum ist Java an? Der eine Browser ist auf Google und der andere auf Computerhilfen, vielleicht könnte man da was finden?! <--- ist nur eine Idee, bitte nicht schimpfen^^
 

Ich muß ein Logfile sehen um sicher zu sein...

Wenn ich nicht weiter weiß oder die Lösung nicht hinbekäme wärst du der erste der dann ran darf...

Sir Reklov


----------------------
rechthaberisches Gelaber
entfernt
Nope
 

Ok, Logefile also machen...

Will ja nicht blöde rüber kommen, aber das Know How bitte 

Btw. , Java war nur an, da ich zuvor ein Onlinespiel geöffnet hatte, für das ich eben Java brauchte.

Oh, sorry...

Nachdem ich mir die Seite etwas genauer angesehn hab, selbst gefunden, also dann:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:28:48, on 23.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Belkin\F5D7051\WLService.exe
C:\Programme\Belkin\F5D7051\WLanCfgG.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
D:\DAEMON Tools\daemon.exe
C:\Programme\Winamp Remote\bin\OrbTray.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by PH-113
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.178.6
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - D:\Programme\rpbrowserrecordplugin.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E1C90C9-E443-4994-9D69-938109F27DA2} - C:\WINDOWS\system32\mswidctl.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [EIKEPC] C:\WINDOWS\SYSTEM32\EIKEPC.vbs
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "D:\Steam.exe" -silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools] "D:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Belkin High-Speed Mode Wireless G USB Driver (Belkin High-Speed Mode Wireless G USB Network Adapter Service) - Unknown owner - C:\Programme\Belkin\F5D7051\WLService.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

--
End of file - 7196 bytes
 

Hallo,
wie ich es mir gedacht habe...
Kein Problem wenn du machst was ich dir zeige....
Dein Java ist ok und in der neuesten Version.
dieersten Schritte gehen so :

Vorerst keine USB-Sticks und -Platten an den Rechner anschließen, eventuell angeschlossene trennen.

Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:

    * Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
    * Geschützte Systemdateien ausblenden -> Haken weg
    * Inhalte von Systemordnern anzeigen -> Haken setzen
    * Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen
Wenn du soweit bist brauchst du den Taskmanager.
Du weißt wie man den aufruft ?

Ich habe kurzfristig was zu tun.
Bin aber bald wieder bei dir.Wir kriegen das locker gebacken...
Sir Reklov

----------------------------------------

Wenn hier alle Stümper sind, was bist du dann,
warum beleidigst du dich selbst?
Entfernt - für den Rest der Welt.
Nope

Wollte hier auch mal einen Komment ablassen--
Sir Reklov:
bist du/sind sie falsch aufgestanden? Sind hier alles nur User die helfen wollen ,und da brauch man sie wegen einer Meinungsverschiedenheit nicht gleich "zum Tode verurteilen"
Man soll sich ja nicht in Threads einmischen,also halt ich mich auch wieder raus.

Erstmal Danke an dich Sir Reklov für deine Hilfe,

Habe nun versucht deinen Schritten zu folgen, doch leider gibts da wiedermal ein Problem..
IE -> Extras -> doch dann nichts mit Ordneroptionen  , sind nur die Internetoptionen aufzufinden, doch ich gehe mal davon aus das du nicht diese meinst, da ich auch in diesen keinen von deinen 4 Punkten gefunden habe.

Könnte es sein, dass ich nicht den neusten IE habe?

Aber du bist ja der Fachmann, also sags mir bitte 

Danke schonmal für den weiteren Verlauf^^

 

Erstmal Danke an dich Sir Reklov für deine Hilfe,

Habe nun versucht deinen Schritten zu folgen, doch leider gibts da wiedermal ein Problem..
IE -> Extras -> doch dann nichts mit Ordneroptionen  Tongue, sind nur die Internetoptionen aufzufinden, doch ich gehe mal davon aus das du nicht diese meinst, da ich auch in diesen keinen von deinen 4 Punkten gefunden habe.

Könnte es sein, dass ich nicht den neusten IE habe?

Aber du bist ja der Fachmann, also sags mir bitte  Grin

Danke schonmal für den weiteren Verlauf^^

Er meint nicht den Browser sondern:
klicke mal auf start(rechtsklick): Explorer(alle benutzer):Extras:Ordneroptionen
 

     * Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
    * Geschützte Systemdateien ausblenden -> Haken weg
    * Inhalte von Systemordnern anzeigen -> Haken setzen
    * Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen

TaskMgr: Strg+alt+entf
 

Ich habe kurzfristig was zu tun.
Bin aber bald wieder bei dir.Lass dir vor allem von den Stümpern hier nix erzählen.Wir kriegen das locker gebacken...
Sir Reklov 

PS:Nicht alle sind stümper !!! 
EDIT:
Habe mich nur eingemischt ,weil
 

Ich habe kurzfristig was zu tun.
Bin aber bald wieder bei dir

,das hier keine Unstimmigkeiten aufkommen 

Man kann sich auch dumm anstellen 

Hab nun alles gemacht wie du gesagt hast Sir Reklov  .

Was nun weiter im Taskm. ?

zu dem "Hacked by PH-113" Screenshot ...
Es gibt ein Tool / Einstellung , mit dem ich die Überschrift im IE ändern kann .
Hast Du oder ein Mitnutzer des PC da "rumgespielt" ??
Ich hatte selber mal meinen auf HCK-IE umgestellt ... KA mehr wie .. 

http://forum.chip.de/browser-plugins/microsoft-ie-umbenennen-258967.html

 

Hab nun alles gemacht wie du gesagt hast Sir Reklov  Smiley.

Stimmt ,der erste Beitrag war von ihm ^^
 

Was nun weiter im Taskm. ?

Ich halt mich daraus ,sonst werde ich noch als Stümper bezeichnet
JA.80 Beitrag

Vielleicht sind nicht alle Stümper...
Aber den Taskmanager mit gebrochenen Fingern aufrufen ...wo doch ein Mausklick mit der rechten Taste in die untere blaue Leiste genügt hätte....

Also wie der Explorer aufzurufen ist ,ist jetzt auch klar,ja ?
Sind die von mir genannten Dinge umgestellt ?

Dann machen wir jetzt weiter im Text ,okay ?

Wichtig für dich sind diese beiden Einträge in deinem Hijackthis Log !!!

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by PH-113

 

O4 - HKLM\..\Run: [EIKEPC] C:\WINDOWS\SYSTEM32\EIKEPC.vbs

Der Taskmanager folgendes ist zu tun : alle laufenden Prozesse wscript.exe bzw. cscript.exe beenden.
Es könnte sich auch um einen anderen Buchstaben handeln ...wichtig für dich ist die Endung :script.exe !!!
 Die schon von mir erkannte VBS-Datei löschen :C:\WINDOWS\SYSTEM32\EIKEPC.vbs
Die suchst du am Besten erstmal über die "suchen Funktion von Windows.Start "suchen eingeben : "EIKEPC" oder "EIKEPC.vbs"
Hast du sie gefunden :löschen
 Deine Festplatten nach Dateien mit dem Namen "autorun.inf" absuchen wie  du es oben auch schon gemacht hast. Dabei drauf achten, dass alles durchsucht wird, "weitere Optionen" entsprechend setzen. Die ebenfalls löschen.
In HiJackThis vor folgende Zeilen einen Haken machen und dann "Fix checked" klicken(der Button links unten), dabei alle anderen Programme (besonders Webbrowser) geschlossen haben:
 

  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by PH-113

O4 - HKLM\..\Run: [EIKEPC] C:\WINDOWS\SYSTEM32\EIKEPC.vbs

Damit sollte der Rechner selber erledigt sein, nun kommen die USB-Laufwerke dran.falls du welche hast !!
 Um beim Anschluss eine Neuinfektion zu verhindern, die Shift-Taste gedrückt halten , das verhindert den Autorun.Jedes Gerät einzeln einstöpseln und erst durcharbeiten !!
 Zusätzlich kannst Du auch vorher in system32 die wscript.exe umbenennen, das aber am Ende wieder rückgängig machen, sie ist ein wichtiger Teil von Windows.Die vorhin im Taskmanager ausgeschalteten Tasks kommen nach einem Neustart von selbst wieder zurück.
Du kannst nun einen Neustart machen .
Aber nur wenn du keine USB Geräte angeschlossen hast.!!!
Das ist wichtig sonst bist du keinen Schritt weiter..

Auf allen USB-Geräten nun nach Kopien dieser vbs-Datei die ich dir gezeigt habe und autorun.inf-Dateien suchen und die ebenfalls löschen. dabei ebenfalls die Suchoptionen so einstellen das komplett abgesucht wird.


Das sollte es gewesen sein. Ohne einen einzigen Neustart, ohne formatieren und neuinstallieren....

Allerdings meine ich noch anderes Zeug bei dir gesehen zu haben...

Du meldest dich wenn du durch bist und gibst ein Bericht ab wie es gelaufen ist und ob alles klar ist...?

Oder aber wenn du mit irgend was nicht klar kommst.....
Sir Reklov

Habe gleich mal (ja ,ich specialagent) ein bissel die "neuen" Tricks aus Sir Reklovs Trickkiste ausprobiert.. Schon cool.. Nur bei mir öffnet sich weder der TaskMgr mit Strg+alt+entf noch mit der Taskleiste???
Könntest du mir auch helfen
Mein Prob: Schlüssel System nicht vorhanden,nehme an ,dass ich mein System vorher  zugemült habe,..
EDIT :alter mann? wie alt ,wenn ich fragen darf? 

Rechtsklick in die Taskleiste > Taskmanager > Reiter Prozesse > gesuchter Prozess blau machen >Rechtsklick >Prozess beenden

 

Achjaa...

Im Taskm. liefen keine Prozesse die script.exe enthalten.
Außerdem habe ich die Datei C:\WINDOWS\SYSTEM32\EIKEPC.vbs nicht gefunden, auch nicht bei direkter Betrachtung im system32.
Nur die von autorun.inf hab ich drei gefunden und gelöscht.

 

Wo die autorun ist muß auch die vbs. Datei sein...
Hast du "alle Dateien sichtbar " gemacht ...?
Mit Hijack this die angegebenen Dateien gefixt..?

Wie läuft die Kiste denn jetzt..
kommt noch der "hacket" Kram ?

Sir Reklov 

So hab nun einfach das im HJT gemacht, und nun isses wech im IE.
Hoffe mal das wars nun 

Darum vielen Danke an dich Reklov 

Gern geschehen...

Ich würde dir aber noch empfehlen dieses Tool durchlaufen zu lassen
http://www.zdnet.de/downloads/prg/7/2/de10804572-wc.html

Auch da wird ein Log erstellt und auch da würde ich gerne mal einen Blick drauf wertfen.
Ich bin mir nämlich nicht so ganz sicher ,ob du schon als Geheilt entlassen werden kannst....
Sir Reklov

hallo,
ich schaltem mich mal einfach dazu, da ich wahrscheinlich selbiges oder aber ein ähnliches problem hab.
mein betriebssystem ist vista in der 32 bit version sp1 und bei meinemie-browser steht hacked by lieriormliam, interessant sind dabei die letzten 4 buchstaben.
liam ist (ich wohne in einem internat) mein nachbar und hat seinen rechner seit einem jahr nicht am netz gehabt(kein anschluss auf den zimmern), lieriormliam ist der name seines rechners.
nachdem ich meinen usbstick bei ihm angeschlossen hatte, hatte ich eine scriptdatei mit diesem namen auf meinem laptop, nod32 hats in null komma nix gelöscht, dann sehe ichs in meinem i-netexplorer...
könnt ihr mir auch ohne logdatei selbiges problem wie bei curuba diagnostizieren, sonst fertige ich noch eine an

schon mal danke im vorraus

mad matt