An die Profis: Hijackthis Logfile nach Hackerangriff

  • geschlossen
  • Problem

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • An die Profis: Hijackthis Logfile nach Hackerangriff

    Nachdem ein Hacker versucht hat sich bei mir einzuhacken es aber hoffe ich nicht geschafft hat (Antivir und Spywaredoctor finden nichts) habe ich nochmal Hijackthis drüber laufen lassen. Da ich keine Ahnung habe, welcher Eintrag gefährlich sein könnte, bitte ich, dass sich jemand, der sich damit auskennt, sich per PN bei mir meldet. Ich schicke ihm dann mein .log File
  • Ok
    Hier ist das Logfile:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 08:47:50, on 18.03.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16574)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    D:\Programme\Apache\bin\httpd.exe
    C:\Programme\Bonjour\mDNSResponder.exe
    C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    C:\WINDOWS\RTHDCPL.EXE
    D:\Programme\Apache\bin\httpd.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    D:\Programme\ZoneAlarm\zlclient.exe
    D:\Programme\private folder\PrfldSvc.exe
    C:\WINDOWS\ATK0100\HControl.exe
    C:\Programme\CyberLink\Shared Files\RichVideo.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\svchost.exe
    D:\Programme\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe
    C:\WINDOWS\ATK0100\ATKOSD.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    D:\Programme\private folder\ShellHelper.exe
    C:\Dokumente und Einstellungen\martin\Desktop\HiJackThis202.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programme\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')
    O4 - S-1-5-18 Startup: Thoosje Vista Sidebar.lnk = D:\Programme\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe (User 'SYSTEM')
    O4 - .DEFAULT Startup: Thoosje Vista Sidebar.lnk = D:\Programme\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe (User 'Default user')
    O4 - Startup: Thoosje Vista Sidebar.lnk = D:\Programme\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe
    O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - update.microsoft.com/microsoft…eb_site.cab?1188631799623
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - update.microsoft.com/microsoft…eb_site.cab?1188631783480
    O17 - HKLM\System\CCS\Services\Tcpip\..\{2AE73EBC-9C69-488D-B969-E11500458C37}: NameServer = 192.168.178.1
    O17 - HKLM\System\CS2\Services\Tcpip\..\{2AE73EBC-9C69-488D-B969-E11500458C37}: NameServer = 192.168.178.1
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Apache2.2 - Apache Software Foundation - D:\Programme\Apache\bin\httpd.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing)
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    O23 - Service: Private Folder Service (prfldsvc) - Unknown owner - D:\Programme\private folder\PrfldSvc.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
    O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:\Programme\Spyware Doctor\pctsAuxs.exe
    O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:\Programme\Spyware Doctor\pctsSvc.exe
    O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    --
    End of file - 8010 bytes
  • Ineedhelp!2nd schrieb:

    Woraus schliesst du das, es kommt äusserst selten vor, das Privatpersonen "gehackt" werden!
    Wenn, dann hast du irgendeine Datei ausgeführt und dir nen BDS geholt, doch gehackt wurdest du dann noch lange nicht!
    Mfg


    Weil mir meine Firewall Zonealarm angezeigt hat das IP-Adresse "so und so" versuch auf mein System Zuzugreifen auf Port "so und so"
  • na dann werte doch mal die log dateien von deinem firewall aus:D

    dort stehen ja die ip drin die versucht haben eine verbindung herzustellen

    die kannst dan zurück verfolgen,dann weißt du ob du gehackt wurdest:D


    und im übrigen:gelb: was haben RS -Links hier zu suchen

    könnt ihr keine Boardregeln lesen:depp:

    würde ich lieber mal entfernen bevor die keule kommt;)


    gruß wakiya:drum:
  • Vielleicht wars ein Scherzkeks mit Telnet, oder so :D

    Außerdem ist ZoneAlarm AFAIK kein IDS, daher werden die LOG soviel nützen wie wenn du versuchst deinen 4 Wochen alten Einkaufszettel als Kochrezept zu gebrauchen...

    Was ist eigentlich BDS für ein Synonym? :D
  • @pspgamer:
    Stell doch mal bei deiner supertollen Firewall die Benachrichtigungsstufe auf "Hoch"!
    Ich versichere dir, dann wirst du jede Sekunde voll krass gehackt:D

    Nein, mal im Ernst:
    Auch Zone Alarm wird dich gegen einen richtigen Angriff nicht schützen können!

    Amarocker schrieb:

    Außerdem ist ZoneAlarm AFAIK kein IDS, daher werden die LOG soviel nützen wie wenn du versuchst deinen 4 Wochen alten Einkaufszettel als Kochrezept zu gebrauchen...

    Verstehst du das, was du erzählst?
    Zone Alarm hat mit Sicherheit ein IntrusionDetectionSystem, eine Firewall braucht dieses, um Portscans o.ä. überhaupt zu erkennen! Es analysiert die Datenströme und wertet diese aus, ebenso die angeblichen Zugriffe auf deinen PC! Vielleicht meinst du ja ein HIPS (HostIntrusionPreventionSystem), keine Ahnung ob ZA das hat!
    Bevor du fragst, das ist ein Verhaltenbasierter Schutz!
    Die Logs von ZoneAlarm wären eig. ganz sinnvoll, wärem sie nicht mit den Hackerangriffen zugemüllt!

    Amarocker schrieb:


    Was ist eigentlich BDS für ein Synonym? :D


    BackDoorServer!