ComputerBase Menü
Aktuelles

Hijackthis Logfile, da ICQ Account gehackt

F

foema

Cadet 4th Year
Registriert
Jan. 2005
Beiträge
73
Hey,

also mir wurde heute gesagt, dass mein ICQ Account schon mehrmals an Leute aus meiner Kontaktliste Nachrichten verschickt hat, während ich definitiv nicht in ICQ war und mein PC aus war.
Habe nun erstmal mein Passwort geändert und einen Virenscan mit Antivir gemacht, es wurde aber nichts gefunden.
Daher habe ich mal mit Hijackthis ein Logfile erstellt, für mich sieht das aber eigentlich recht in Ordnung aus, kenne mich aber nicht so gut aus, daher hier das Logfile:

Code: 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:39:57, on 15.07.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\System Control Manager\MGSysCtrl.exe
C:\Program Files\Zubehör\Logitech\SetPoint\LBTWiz.exe
C:\Windows\WindowsMobile\wmdSync.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Program Files\AVEO\AVEO UVC Filter Driver Kit\AveoSTI.exe
C:\Program Files\RMClock\RMClock.exe
C:\Program Files\Protector Suite QL\psqltray.exe
C:\Program Files\Zubehör\Logitech\SetPoint\SetPoint.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\system32\MDM.EXE
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Internet Tools\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msi.com.tw
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msi.com.tw
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [PSQLLauncher] "C:\Program Files\Protector Suite QL\launcher.exe" /startup
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\Video Tools\Quicktime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [AveoKeySti] "C:\Program Files\\AVEO\AVEO_UVC_FILTER_DRIVER_KIT\AveoSTI.exe"
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [MGSysCtrl] C:\Program Files\System Control Manager\MGSysCtrl.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Bluetooth Connection Assistant] LBTWIZ.EXE -silent
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [RMClock] "C:\Program Files\RMClock\RMClockLauncher.exe"
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: aveosti.exe.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: VPN Client.lnk = ?
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\Internet Tools\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\Internet Tools\ICQ6.5\ICQ.exe
O13 - Gopher Prefix: 
O15 - Trusted Zone: http://asia.msi.com.tw
O15 - Trusted Zone: http://global.msi.com.tw
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O23 - Service: AccSys WLAN Control Service (accvssvc) - AccSys GmbH - C:\Program Files\Common Files\AccSys\AccVSSvc.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Internet Tools\VPN Client\cvpnd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet 

Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c9a0e9990eb5c7) (gupdate1c9a0e9990eb5c7) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: SCM Driver Daemon (NishService) - Unknown owner - C:\Program Files\System Control Manager\edd.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 7574 bytes

Wäre nett wenn ihr euch das mal anschauen könntet.

Vielen Dank

foema
 
bei geht es, muss aber sehr lange warten.
so ne minute da ist die seite da.
die auswertung dauert genau so lange.
 
Zuletzt bearbeitet:
Verstehe nicht so ganz was ihr mir damit sagen wollt, braucht man diese Seite um das beurteilen zu können?

MfG foema
 
Nein, die Seite dient lediglich als Anhaltspunkt für Anfänger.
Die dort angebotenen Informationen sind allerdings relativ unvollständig und oft komplett falsch.

Desshalb sollte man sein Logfile immer von Fachpersonen überprüfen lassen,
insbesondere wenn man bereits erkennbare Probleme vorweisen kann.

90% der Einträge sind mir bekannt, den Rest google ich eben oder suche gezielt in Sicherheitscommunities.

So, es sieht soweit alles gut aus.
2 Eklärungen hab ich: Für dein ICQ Problem wüsste ich nur, dass du dich einmal über eine unseriöse Seite eingeloggt hast. Viele bieten diesen Dienst an und werben damit, dass man "unsichtbare" Benutzer sieht ect. - in Wahrheit klauen diese Seiten im Anschluss das Passwort und schicken kräftig Werbung an alle Kontakte.

Zweite Erklärung: Schadcode mit mehreren Verbreitungsmethoden fungiert unsichtbar aus einem Rootkit, ändert dein ICQ Passwort lokal und sendet kompromittierte Links an deine Kontakte, um sich weiter zu verbreiten. In diesem Fall müsstest du dein System umgehend formatieren und im Anschluss daran alle Passwörter ect. ändern Das gilt jedoch nur, falls Erklärung1 nicht zutrifft - und sonst niemand dein Passwort kannte oder herausfinden hätte können. (Nachname, Name123, 123Name, NameGeburtsdatum, Ortschaft, ...)

mfg,
Markus
 
Hey,

danke erstmal für die Antworten.

@markus1234:

Also ich habe mich ein oder zwei mal über icq2go (auf icq.com) eingeloggt glaube ich, aber sonst sicher nirgendwo, von daher ist das denk ich auszuschließen.

Ja also Möglichkeit zwei hört sich ja nicht so gut an, mein ICQ Passwort wurde jedoch nicht geändert oder sonstiges, es wurden lediglich Nachrichten über meinen Account verschickt (habe das aber auch nur von einem einzigen Kontakt gehört, von daher weiss ich nicht ob es überhaupt zwangsläufig an meinem rechner liegen muss).
Mein Passwort war halbwegs kompliziert (zufällige buchstaben) und kannte auch niemand, von daher müsste es ja wenn ein trojaner/rootkit sein. kann das denn sein, obwohl man mit hijackthis nichts erkennt?


@boogeyman:

Stimmt hast recht, hab davon gelesen, dass es erschienen ist, aber wollte es dann automatisch über das Windows Update installieren lassen. Aktiviert habe ich die automatischen updates auf jeden fall, muss mal schauen warum das in dem fall nicht geklappt hat.

MfG foema

edit: So, nun ist mein Windows auf dem aktuellen Stand.
lag wohl daran, dass ein paar Updates noch nicht installiert waren, daher hat er das Service Pack nicht runtergeladen, ka warum Win mich deswegen nicht informiert hat.

Was ich mich im Moment frage ist, ob es halt überhaupt an meinem Rechner liegt, da nur ein Kontakt mir gesagt hat, dass er schon ein paar mal Nachrichten was von meinem Account bekommen hat als ich eigentlich offline war.
Es müsste doch möglich sein, herauszufinden ob auf meinem Rechner nen Rootkit oder so läuft. Gibt es noch andere Software, um sowas rauszufinden?

MfG foema
 
Zuletzt bearbeitet:
Was ich mich im Moment frage ist, ob es halt überhaupt an meinem Rechner liegt, da nur ein Kontakt mir gesagt hat, dass er schon ein paar mal Nachrichten was von meinem Account bekommen hat als ich eigentlich offline war.
Zum Vergrößern anklicken....

Nein, ICQ selbst macht das nicht. Das klappt auch nur, wenn bereits jemand anders dein Passwort hat - dann wohl auch automatisiert.

Es müsste doch möglich sein, herauszufinden ob auf meinem Rechner nen Rootkit oder so läuft. Gibt es noch andere Software, um sowas rauszufinden?
Zum Vergrößern anklicken....
Nein, Rootkits sind die Virencontainer der Zukunft, ganz einfach weil sie unauffindbar sind.

Können deine Kontakte bestätigen, dass von deinem Account Werbung ausging?

mfg,
Markus
 
Nein, ICQ selbst macht das nicht. Das klappt auch nur, wenn bereits jemand anders dein Passwort hat - dann wohl auch automatisiert.
Zum Vergrößern anklicken....

ja gut also falls das jetzt nochmal passiert trotz geändertem passwort werd ich auf jeden fall formatieren. hab demjenigen gesagt, dass er mir sofort bescheid sagen soll, wenn er wieder ne komische nachricht von mir bekommt.

Können deine Kontakte bestätigen, dass von deinem Account Werbung ausging?
Zum Vergrößern anklicken....

Ja, aber nur ein einziger, der meinte, aber dass er schon 3 oder 4 mal ne Nachricht mit nem komischen Link von mir bekommen hat. Zumindest beim letzten mal war ich auf jedenfall offline und mein pc aus.

also wie gesagt werd jetzt erstmal warten ob nochmal irgendwas passiert, datensicherung hab ich eh regelmässig gemacht von daher kann eigentlich nichts tragisches passieren.

mfg foema
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

L
Virus? Arbeitsspeicher, Absturz - HijackThis
Antworten
19
Aufrufe
4.549
BloodReaver87
BloodReaver87
S
kaputten laptop gekauft ?
Antworten
18
Aufrufe
2.659
engine
E
C
ständig keine Rückmeldung bei Windows 10
Antworten
3
Aufrufe
4.894
HisN
HisN
K
Windows 10 läuft extrem langsam, trotz niedriger Auslastung
Antworten
7
Aufrufe
6.387
PCTüftler
PCTüftler
_Headsh0t_
Programme und Hardware funktionieren nach einiger Zeit nicht mehr
Antworten
4
Aufrufe
2.118
woodpeaker
W
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz