Wie werde ich Hacker los?

[^^Th€-H0r$t^^]

Hi @ all...
und zwar habe ich folgendes Problem. Ich bin mir ziemlich sicher das sich ein hacker bei mir ins system eingeloggt hat. Letztens kam nämlich folgende Nachricht:

Windows - Systemfehler
Es ist ein IP-Adressenkonflikt mit einer anderen Adresse in Ihrem Netzwerk am Gange.
<--- so ähnlich hat die Message gelautet.
Jedenfalls habe ich kein anderen PC am netzwerk angeschlossen. Ausserdem hat mein Rechner in letzter Zeit sehr oft Systemausfälle. Das heißt: irgendwann springt die CPU-auslastung auf mindestens 80%, obwohl eig nix anderes ne auslastung hat (siehe Anhang)... Wenn dieser Systemausfall auftritt kann ich nichts mehr machen und alles ist am stocken. Die maus "gleitet" nicht mehr und Musik läuft dann gar nicht mehr. Nur in einem ratternden Ton. Und naja Viren habe ich keine drauf. Eine Firewall habe ich mir jetzt auch besorgt. Ich will also nur diesen Hacker wegbekommen, das dieser mein System nicht mehr auslastet. Wie bekomme ich ihn weg?

€DIT: Cookies habe ich alle bereits gelöscht....

Würde mich schnell um eine antwort freuen. cYa

Hier der Anhang den ich grad vergessn habe^^
Habe den Taskmanager nach der CPU-auslastung sortiert...

 

[PCB]

Und welcher Prozess hat da 80 % CPU-Auslastung, sehe keinen!

PCB

 

[^^Th€-H0r$t^^]

ja das ist ja das komische... deswegn habe ich diesen Anhang ja reingemacht...

 

[VodKen]

Zieh mal den Netzwerkstecker wenns mal wieder anfangen sollte zu ruckeln

 

[^^Th€-H0r$t^^]

hab ich schon... dann funzt es nach kurzer zeit wieda... doch das ist ja nich der sinn der sache...

 

[Mr. Snoot]

Schau doch mal mit HiJackThis, ob da verdächtige Prozesse auftauchen.

Download
Auswertung des Logfiles

 

[hal9000]

benutz doch mal deen process explorer, der zeigt mehr datails an. gibt es für nix hier: http://www.sysinternals.com/Utilities/ProcessExplorer.html . ist dieser vsmon, der im screenshot zu sehen ist, der übertäter? das ist eine datei von zone alarm. eventuell solltest du da mal nachforschen.

 

[Der Turl]

mit dem befehl "netstat -an" (in der dos box) kannst mal gucken wohin ( zu welcher IP ) dein pc eine verbindung aufbaut !

 

[roman200]

1.
Würde das System mal mit folgenden Tools von Sysinternals auf Viren / ... Prüfen:
Filemon,
Rootkitrevealer,
TCPView,
TokenMon,
ProcessExplorer

2.
Falls du einen 2ten PC hast könntest du auch deinen möglicherweise infizierten PC und
diesen an ein Hub anzuschließen und dann mit Ethereal/... den Datenverkehr mal anzuschauen. Dann könntest du feststellen ob sich jemand in deinen Rechner einloggt.

3.
Eine weiter (und relativ einfache) möglichkeit wäre es den PC mit einer Boot-CD hochzufahren und ihn dann nach Viren zu scannen.

4.
Außerdem kannst du noch z.B. über http://de.trendmicro-europe.com/ deinen PC nach Viren Scannen.

5.
Ein Portscan deines PCs könnte auch Hinweise auf Trojaner/Spyware auf deinem PC
geben.

 

[^^Th€-H0r$t^^]

@hal900

Die datei vsmon.exe ist normal da ich Zonealarm benutze.

@Gauder
Hier ist die Auswertung...
Logfile of HijackThis v1.99.1
Scan saved at 18:06:08, on 12.07.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\AntiVirenKit 2006\AVKTray\AVKTray.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\Alle Ordner\Programme\Winamp\winampa.exe
D:\Alle Ordner\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\AntiVirenKit 2006\AVKService.exe
C:\Programme\AntiVirenKit 2006\AVKWCtl.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Mewös\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Alle Ordner\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\AntiVirenKit 2006\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinampAgent] D:\Alle Ordner\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Alle Ordner\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2006\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2006\AVKWCtl.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

@hal900
Hier ist des mit Process Explorer(siehe Anhang)

@dsfdsf5435 :
Ich habe meinen PC mit bereits 2 Programmen auf Viren als auch auf Spyware etc gescannt... Und zwar mit folgenden Programmen: AntiVirenKit2006 von GData und Spybot - Search & destroy.... Es wurden bei Spybot 17 Probleme gefunden, es konnten jedoch alle behoben werden. Und AntiVirenKit scannt jede einzelne Datei auf meinem PC. Also mein PC müsste zu 99,99999% sauber sein. Ausser ein Virus kann sich frei bewegn und bewegt sich willkührlich auf meiner Festplatte... geht sowas?

 

[kingsize.jones]

habe in letzter (heißer) zeit mehrere ältere rechner, die systemaussetzer oder aufhänger hatten, dadurch wieder hinbekommen, dass ich das seitenblech abgenommen habe (bessere Kühlung). Staub entfernen wirkt manchmal auch wunder.

 

[^^Th€-H0r$t^^]

habe das gehäuse seit ca 1 monat nicht mehr gesäubert...werde ich jetzt sofort mal machen.... ich sach bescheit wenn ich wieda da bin gegen 19 uhr

 

[hans_b]

Wenn das nett klappt kommste wohl nicht um ne neuinstallation von windows herum

 

[^^Th€-H0r$t^^]

das wäre dann so das 3 mal in den letzten 4 wochen^^ hatte in letzter mehr stress mit meinem PC... aber das ist alles bis auf das jez gegessen... Der hacker hatte mir jez grad noch gefehlt^^

€DIT: die CPU-auslastung is jez wieder normal...zumindes jez in den ersten 5min^^

trotzdem weiß ich noch nicht wie ich diesen Hacker loswerdn kann? funktioniert das vllt so? ich hatte mir überlegt mal bei telekom anzurufn (wo ich auch mein inet her habe) und mal nachzufragen ob sie meinen Port ändern könnten oder zurücksetzn könnten... Habe aber keine Ahnung ob das sinnvoll ist, da ich ja nicht genau weiß wie der sich bei mir einloggt...

 

[MarcWilmots]

Ich tippe auch eher auf ein Temperaturproblem.
Deine IP ändert sich bei jeder neuen Einwahl.

 

[^^Th€-H0r$t^^]

das kann ganz vllt sein... ich werde das WE mal zu nem Freak fahrn un dem alles erklären. Trotzdem ist es halt komisch das diese Fehlermeldung kam... von wegn ein IP-adressenkonflikt etc... Da muss zumindes mal jemand bei mir gewesn sein...

 

[Maik1]

Falls du alle Prozesse im TaskManager sehen möchtest musst du den Haken bei: "Prozesse aller Benutzer anzeigen" setzen

 

[DarkMole]

Wie kommst du eigentlich darauf, dass wegen eines IP-Adressenkonflikts ein Hacker bei dir war?
Wenn Windows einen Adressenkonflikt feststellt, kann es normalerweise deswegen keine Netzwerkverbundung aufbauen. In diesem Moment kann also gar niemand übers Netz auf deinem PC eingeloggt sein.

 

[^^Th€-H0r$t^^]

das hatte n kumpel gesagt dem ich des erzählt hatte... ich war zu dem zeitpunkt ja komischerweise mit dem inet verbunden?!?!?

 

[easy.2ci]

Ich glaube ebenfalls nicht an die Geschichte vom Hacker.

1. Was hast du interessantes, daß es sich lohnt, an mehreren Tagen dein System zu suchen?
2. Leerlaufprozess 99%. Auslastung 80%.

Das kommt durch ChildProcesses, die der TaskManager nicht anzeigt. Hierbei handelt es sich meistens um Kopiervorgänge auf der Festplatte. Die dafür notwendigen Rechenzeiten werden nicht dem ExplorerProzess zugeordnet.

3. IP-Adresskonflikt: Den hast du eigentlich nur, wenn du doppelte IPs im gleichen Netz hast. Da das bei dir nicht der Fall nicht, tippe ich hier auf eine Fehlfunktion durch modifizierte Netzwerktreiber.

Ich tippe ehr auf einen Virus, Spyware oder sowas. Ist diese einmal auf deinem PC drauf, kann sie sich vor Scannerprozessen verstecken. Siehe Rootkit von Sony, das ebenfalls nicht im Taskmanager auftauchte, und auch keine sichtbaren Dateien auf der Festplatte hatte.

Einige Viren schreiben ihren Code nur in die ADS(Advanced Data Streams)-Datenströme. Der Windows Explorer zeigt diese nicht an. So kann sich Schadcode so verstecken, daß es so gut wie unmöglich wird, diesen zu finden. Evtl. kommen ja auch da die 80% Auslastung her.

Was du versuchen kannst, ist mit msconfig -6 rauszufinden, was beim Boot alles geladen wird, und da ordentlich zu entrümpeln. Du hast eh nach meiner Meinung viel zu viele Prozesse am laufen. Mein Rechner zB hat nach dem Boot nur 18 laufende Prozesse.


Vielleicht findest du da ja den Übeltäter.

Gruß