ComputerBase Menü
Aktuelles

PC in irgendeiner Form gehacked?

waps

waps

Captain
Registriert
Sep. 2001
Beiträge
3.348
Hi!

Ich hatte demletzt ein Problem mit meinem Rapidshare-Account. Mein Passwort wurde mir beim
Login als falsch gemeldet, keiner meiner E-Mail-Adressen wurde bei der Anforderung eines
neuen Passworts erkannt. Meine Vermutung: irgendwer ist irgendwie an meine Daten gekommen
und hat Passwort sowie Mailaddy geändert. Nach einem kurzen, schriftlichen Austausch mit
der Serviceabteilung konnte ich mich als Eigentümer des Accounts identifizieren und habe den
Account wieder zurück. Auch Rapidshare hatte einen Missbrauch im Verdacht.

Nun frage ich mich: wie konnte das passieren?

Habe danach Antivir und Adaware komplett durchlaufen lassen. Antivir hat mir zwei Trojaner
ausgeliefert, davon einer angeblich völlig harmlos, habe beide entfernt. Adaware hat nichts
gefunden. Alle Passwörter bei allen Onlinediensten, Mailaccounts und so weiter wurden von
mir direkt danach geändert.

Anbei noch ein Hijack-Log von eben, vielleicht fällt ja einem noch was auf. Habe halt Angst
dass es beim nächsten Mal das Onlinebanking und nicht Rapidshare betrifft...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:39:16, on 17.12.2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Samsung\Samsung New PC Studio\NPSAgent.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Logitech\GamePanel Software\Applets\LCDMedia.exe
C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files (x86)\Windows Media Player\wmplayer.exe
C:\Program Files (x86)\Miranda IM\miranda32.exe
C:\Program Files (x86)\Last.fm\LastFM.exe
C:\Program Files (x86)\Java\jre6\bin\javaw.exe
C:\Program Files (x86)\The KMPlayer\KMPlayer.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Windows\sysWow64\SearchProtocolHost.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live ID-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files (x86)\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files (x86)\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [AutoStartNPSAgent] C:\Program Files (x86)\Samsung\Samsung New PC Studio\NPSAgent.exe
O4 - HKCU\..\Run: [RESTART_STICKY_NOTES] C:\Windows\system32\StikyNot.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Global Startup: Gladinet Cloud Desktop.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O13 - Gopher Prefix:
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FLEXnet Licensing Service 64 - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe
O23 - Service: GladFileMonSvc - Gladinet, INC - C:\Program Files (x86)\Gladinet\Gladinet Cloud Desktop\GladFileMonSvc.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: @C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files (x86)\TuneUp Utilities 2010\TuneUpUtilitiesService64.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 9388 bytes
Zum Vergrößern anklicken....
 
Am merkwürdigsten finde ich diesen Eintrag:
O23 - Service: GladFileMonSvc - Gladinet, INC - C:\Program Files (x86)\Gladinet\Gladinet Cloud Desktop\GladFileMonSvc.exe

und

O4 - Global Startup: Gladinet Cloud Desktop.lnk = ?

Kennst du das Programm?

und dieses:
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FLEXnet Licensing Service 64 - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe

außerdem finde ich das komisch:
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll

Auch die Datei "wmpnetwk.exe" habe ich nicht auf meinem System, und ich fände es merkwürdig, wenn Microsoft seine Dateien so abkürzt.
 
Zuletzt bearbeitet:
Danke schonmal.

Was die .dll-Files sind oder machen weiss ich nicht.

Gladinet ist ein Programm, mit dem man Windows Skydrive in den Arbeitsplatz einbinden kann. Sollte harmlos sein. :)
 
Passwörter sind nirgends aufgeschrieben. Hab mir aber jetzt, nachdem ich alle geändert habe, erstmal ne
xls-Datei gemacht wo alle drinstehen (bis ich sie sicher auswendig kann). Allerdings in ner AES-256-
verschlüsselten 7z-Datei mit nem sicheren 15-stelligen Passwort.
 
Benutze keine Proxys, benutze keine Remotedesktopverbindung, Antivir lief schon bevor eine Internetverbindung
bestand, per TuneUp ist alles deaktiviert was aus Sicherheitsgründen empfohlen wurde, zwischen PC und Netz
hängt ein Router sprich Hardwarefirewall... ist mir alles sehr rätselhaft...

Hab jedenfalls nicht vor meinen PC auf einen Verdacht, den man nicht belegen kann, neu aufzusetzen.
 
Antivir hat mir zwei Trojaner
ausgeliefert, davon einer angeblich völlig harmlos, habe beide entfernt.
Zum Vergrößern anklicken....

da sollte der hund begraben sein ;)


zu onlinebanking:

es gibt dafür ne ganz sichere lösung und zwar ne Linux Live CD...
das ist als ob du jedes mal mit einem frisch aufgesetztem system online gehst 100% trojaner frei

und dafür empfielt sich DSL = Damn Small Linux, denn das ist nur 50 mb groß und schnell geladen

hier homepage: http://www.damnsmalllinux.org/index_de.html

es gibt noch ne version für paranoide wo der sudo befehl abgestellt ist so das wirklich wirklich nichts pasieren kann aber da hab ich jetzt ka lust zu suchen ;)
 
Gut, beim Onlinebanking hab ich ja noch die TANs und die Seiten dürften ungleich sicherer aufgebaut sein
als Sachen wie Rapidshare oder Forumbase. Wollte nur sicher sein dass der PC clean ist...

Würde es denn was bringen einen Online-Virenscanner durchlaufen zu lassen? Der könnte immerhin nicht
von irgendwelchen Progs aufm Rechner beeinflusst werden.
 
ne online virenscanner würden auch nichts erkennen falls der trojaner von nem rootkit geschützt wird...
 
Gibts denn dann vllt nen Virenscanner der vor dem Boot von Windows schon scannt?
 
leider gibts für rootkits keine 100% sicherheit.... nur system neu aufsetzen
 
Du brauchst ne Boot-CD mit Virenscanner drauf...
Von Heise gibts z.B. Knoppicillin, GData hat was im Angebot usw....
Viel Erfolg bei der Virenbeseitigung.

FalconTR
 
hallo,

schau mal im system volume information ordner nach ( mit a² free oder avast ) ob sich da noch was befindet, was sich da nicht rumtummeln sollte.
dann mal mit pc flank oder texosoft die ports scannen ( online ) .

ich selber bin seit 3 jahren ca. virenfrei, da ich mein sicherheitskonzept überarbeitet hatte. seitdem ist alles plaketti.

tipp: alle passwörter mit mind. 12 zeichen und soweit möglich mit alphanumerischen zeichen versehen.
jeden monat neu erstellen und sicher aufbewahren. ein kollege von mir hatte vor etwa 3 monaten bei seinem provider den eindruck, dass sich jemand mit seinem pw eingeloggt haben könnte. das pw war kurz und unsicher. dem gab ich den selben tipp.

was ich noch machen würde wäre, ein backtrace prog. mal testen. sollte es ungewöhnliche verbindungen geben, werden diese aufgezeigt. will selber nochmal schauen, was ich in meinem archiv an progs trial habe wegen info an dich. die fw mal etwas schärfer einstellen, damit die sich meldet wegen portaktivitäten.

wie loch1985 schon schrieb, 100 pro ist leider nichts. wäre schön.

gruss senfi
 
Die FW kann ich leider nicht einstellen, macht der Vermieter, über den läuft der Telekomvertrag und er hat
die Kontrolle über den Router.

Passwörter sind mittlerweile alle sicher genug.

Ports werde ich mal scannen, wenn Du ein paar gute Progs finden könntest wär ich Dir sehr dankbar.

Die beiden Fieslinge die Antivir gefunden hat waren übrigens in der System Volumen Information ;)
 
Ich würde mal mit Malware Bytes Antimalware scannen ,war bei mir schon weitaus zuverlässiger als Antivir , aber wie gesagt , ich würde mich net mehr bei Rapidshare einloggen bevor du den Pc net neue aufgesetzt hast.
 
Speziell bei der Rapidshare Geschichte gibt aber auch Links wo du auf eine nachgebaute Rapidshare Seite geleitet wirst und wenn du dich dann anmeldest sacht er dir dann natürlich dass das PW falsch ist.

Der Inhaber dieser nachgebauten Seite hat dann deine Account Daten abgegriffen und kann jede Menge Unfug damit treiben.

Deshalb sollte man sich immer vergewissern ob man auch wirklich auf der Rapidshare Seite ist bevor man sich einloggt oder noch besser jDownloader o.ä. verwenden, da können solche Sachen nämlich nicht passieren
 
Den Verdacht hatte ich auch und es wäre sicher die für mich beste Variante ;)

jDownloader verwende ich übrigens, logge mich nur ab und an auf der Seite ein.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

kaepten
Dokumente Ordner (versehentlich) auf OneDrive
Antworten
7
Aufrufe
830
Terrier
T
L
Virus? Arbeitsspeicher, Absturz - HijackThis
Antworten
19
Aufrufe
4.277
BloodReaver87
BloodReaver87
A
Windows 10 Defender deaktiviert?
Antworten
17
Aufrufe
2.063
Winterday
Winterday
TheChris80
AC odyssey in Lutris.
2
Antworten
33
Aufrufe
1.045
Tanzmusikus
Tanzmusikus
S
Alte Windows Fotoanzeige - Diese App kann auf dem PC nicht ausgeführt werden
Antworten
12
Aufrufe
4.912
NotNerdNotDau
N
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz