An die Profis: Hijackthis Logfile nach Hackerangriff
- geschlossen
- Problem
- pspgamer
- 1682 Aufrufe 8 Antworten
Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen
-
-
Die Log-Datei kannst du auch hier reinstellen, oder du machst es mal hier: HijackThis Logfileauswertung[SIZE="1"]User helfen Usern: Die FSB-Tutoren
Sag nein zu Filehostern - [color="blue"]AOKHA[/color]
Ups: Horst Evers MovieMix How High Generals + 2x Xvid Viele Klassiker-Games[/SIZE] -
Ok
Hier ist das Logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:47:50, on 18.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Apache\bin\httpd.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
D:\Programme\Apache\bin\httpd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\ZoneAlarm\zlclient.exe
D:\Programme\private folder\PrfldSvc.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\private folder\ShellHelper.exe
C:\Dokumente und Einstellungen\martin\Desktop\HiJackThis202.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')
O4 - S-1-5-18 Startup: Thoosje Vista Sidebar.lnk = D:\Programme\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Thoosje Vista Sidebar.lnk = D:\Programme\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe (User 'Default user')
O4 - Startup: Thoosje Vista Sidebar.lnk = D:\Programme\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - update.microsoft.com/microsoft…eb_site.cab?1188631799623
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - update.microsoft.com/microsoft…eb_site.cab?1188631783480
O17 - HKLM\System\CCS\Services\Tcpip\..\{2AE73EBC-9C69-488D-B969-E11500458C37}: NameServer = 192.168.178.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{2AE73EBC-9C69-488D-B969-E11500458C37}: NameServer = 192.168.178.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2.2 - Apache Software Foundation - D:\Programme\Apache\bin\httpd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Private Folder Service (prfldsvc) - Unknown owner - D:\Programme\private folder\PrfldSvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
--
End of file - 8010 bytes -
Damit meinte ich eigtl. einfach reinposten^^ Also den Text.
Kann da nix böses erkennen, hijackthis.de auch nicht...[SIZE="1"]User helfen Usern: Die FSB-Tutoren
Sag nein zu Filehostern - [color="blue"]AOKHA[/color]
Ups: Horst Evers MovieMix How High Generals + 2x Xvid Viele Klassiker-Games[/SIZE] -
pspgamer schrieb:
Nachdem ein Hacker versucht hat sich bei mir einzuhacken
Woraus schliesst du das, es kommt äusserst selten vor, das Privatpersonen "gehackt" werden!
Wenn, dann hast du irgendeine Datei ausgeführt und dir nen BDS geholt, doch gehackt wurdest du dann noch lange nicht!
Mfg -
Ineedhelp!2nd schrieb:
Woraus schliesst du das, es kommt äusserst selten vor, das Privatpersonen "gehackt" werden!
Wenn, dann hast du irgendeine Datei ausgeführt und dir nen BDS geholt, doch gehackt wurdest du dann noch lange nicht!
Mfg
Weil mir meine Firewall Zonealarm angezeigt hat das IP-Adresse "so und so" versuch auf mein System Zuzugreifen auf Port "so und so" -
na dann werte doch mal die log dateien von deinem firewall aus:D
dort stehen ja die ip drin die versucht haben eine verbindung herzustellen
die kannst dan zurück verfolgen,dann weißt du ob du gehackt wurdest:D
und im übrigen:gelb: was haben RS -Links hier zu suchen
könnt ihr keine Boardregeln lesen:depp:
würde ich lieber mal entfernen bevor die keule kommt;)
gruß wakiya:drum: -
Vielleicht wars ein Scherzkeks mit Telnet, oder so
Außerdem ist ZoneAlarm AFAIK kein IDS, daher werden die LOG soviel nützen wie wenn du versuchst deinen 4 Wochen alten Einkaufszettel als Kochrezept zu gebrauchen...
Was ist eigentlich BDS für ein Synonym? -
@pspgamer:
Stell doch mal bei deiner supertollen Firewall die Benachrichtigungsstufe auf "Hoch"!
Ich versichere dir, dann wirst du jede Sekunde voll krass gehackt:D
Nein, mal im Ernst:
Auch Zone Alarm wird dich gegen einen richtigen Angriff nicht schützen können!
Amarocker schrieb:
Außerdem ist ZoneAlarm AFAIK kein IDS, daher werden die LOG soviel nützen wie wenn du versuchst deinen 4 Wochen alten Einkaufszettel als Kochrezept zu gebrauchen...
Verstehst du das, was du erzählst?
Zone Alarm hat mit Sicherheit ein IntrusionDetectionSystem, eine Firewall braucht dieses, um Portscans o.ä. überhaupt zu erkennen! Es analysiert die Datenströme und wertet diese aus, ebenso die angeblichen Zugriffe auf deinen PC! Vielleicht meinst du ja ein HIPS (HostIntrusionPreventionSystem), keine Ahnung ob ZA das hat!
Bevor du fragst, das ist ein Verhaltenbasierter Schutz!
Die Logs von ZoneAlarm wären eig. ganz sinnvoll, wärem sie nicht mit den Hackerangriffen zugemüllt!
Amarocker schrieb:
Was ist eigentlich BDS für ein Synonym?
BackDoorServer!
-
Teilen
- Facebook 0
- Twitter 0
- Google Plus 0
- Reddit 0