Vollständige Version anzeigen : Vermutung Teamview gehackt?


White_Angel
15.11.2012, 23:25

Hi,

ich habe momentan das Problem, dass mir bis jetzt 2 Seite gemeldet haben, dass mein Login gehackt wurden ist.
Einmal auf Facebook iwo aus Japan...
Gut habe ich durchgecheckt, nichts gefunden und gedacht ok.
Jetzt habe ich miche heute bei wieder bei einer anderen Seite eingeloggt und
hatte die selbe Meldung, dass mein Account gehackt wurden ist..;(nach paar Monaten aber nur)

Jetzt werde ich aber extrem misstrauisch..

ich möchte mein System sehr ungern neu aufsetzen, deswegen stell ich erstmal meinen hijack logfile hier aus...

Logfile of Trend Micro HijackThis v2;0;4
Scan saved at 23:25:50, on 15;11;2012
Platform: Windows 7 SP1 (WinNT 6;00;3505)
MSIE: Internet Explorer v9;00 (9;00;8112;16421)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\CyberLink\YouCam\YCMMirage;exe
C:\Program Files (x86)\Samsung\Easy Settings\dmhkcore;exe
P:\Programme (x86)\Avira\AntiVir Desktop\avgnt;exe
P:\Programme (x86)\Common Files\Java\Java Update\jusched;exe
P:\Programme (x86)\Winamp\winampa;exe
P:\Programme (x86)\TeamViewer\Version7\TeamViewer;exe
C:\Program Files (x86)\Samsung\Samsung Recovery Solution 5\WCScheduler;exe
P:\Programme (x86)\ICQ7M\ICQ;exe
P:\Programme (x86)\Mozilla Firefox\firefox;exe
P:\programme (x86)\avira\antivir desktop\avscan;exe
W:\Benutzer\...;\Desktop\HiJackThis204;exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ;samsung;msn~com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ;search;babylon~com/home?affID=17425&tt=3812_8
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ;go;microsoft~com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ;go;microsoft~com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ;go;microsoft~com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ;search;chatzum~com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank;htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system;ini: UserInit=userinit;exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - P:\Programme (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim;dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - P:\PROGRA~2\MICROS~1\Office14\GROOVEEX;DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - P:\Programme (x86)\Java\jre7\bin\ssv;dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin;dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - P:\PROGRA~2\MICROS~1\Office14\URLREDIR;DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - P:\Programme (x86)\Java\jre7\bin\jp2ssv;dll
O3 - Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - (no file)
O4 - HKLM\.;\Run: [avgnt] "P:\Programme (x86)\Avira\AntiVir Desktop\avgnt;exe" /min
O4 - HKLM\.;\Run: [SunJavaUpdateSched] "P:\Programme (x86)\Common Files\Java\Java Update\jusched;exe"
O4 - HKLM\.;\Run: [WinampAgent] "P:\Programme (x86)\Winamp\winampa;exe"
O4 - HKUS\S-1-5-19\.;\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar;exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\.;\RunOnce: [mctadmin] C:\Windows\System32\mctadmin;exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\.;\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar;exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\.;\RunOnce: [mctadmin] C:\Windows\System32\mctadmin;exe (User 'NETZWERKDIENST')
O8 - Extra context menu item: An OneNote s&enden - res://C:\PROGRA~1\MICROS~2\Office14\ONBttnIE;dll/105
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL;EXE/3000
O9 - Extra button: ;C:\Program Files (x86)\Windows Live\Writer\WindowsLiveWriterShortcuts;dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension;dll
O9 - Extra 'Tools' menuitem: ;C:\Program Files (x86)\Windows Live\Writer\WindowsLiveWriterShortcuts;dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension;dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - P:\Programme (x86)\Microsoft Office\Office14\ONBttnIE;dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - P:\Programme (x86)\Microsoft Office\Office14\ONBttnIE;dll
O9 - Extra button: ICQ7M - {781B39EC-2E18-41FC-9B00-B84E4FFCA85F} - P:\Programme (x86)\ICQ7M\ICQ;exe
O9 - Extra 'Tools' menuitem: ICQ7M - {781B39EC-2E18-41FC-9B00-B84E4FFCA85F} - P:\Programme (x86)\ICQ7M\ICQ;exe
O9 - Extra button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - P:\Programme (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes;dll
O9 - Extra 'Tools' menuitem: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - P:\Programme (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes;dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp;dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp;dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - P:\PROGRA~2\COMMON~1\Skype\SKYPE4~1;DLL
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler;dll
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - P:\Programme (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF;DLL
O20 - AppInit_DLLs: C:\windows\SysWOW64\nvinit;dll
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService;exe
O23 - Service: ;%SystemRoot%\system32\Alg;exe,-112 (ALG) - Unknown owner - C:\windows\System32\alg;exe (file missing)
O23 - Service: Avira Planer (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - P:\Programme (x86)\Avira\AntiVir Desktop\sched;exe
O23 - Service: Avira Echtzeit Scanner (AntiVirService) - Avira Operations GmbH & Co. KG - P:\Programme (x86)\Avira\AntiVir Desktop\avguard;exe
O23 - Service: Alcohol Virtual Drive Auto-mount Service (AxAutoMntSrv) - Alcohol Soft Development Team - P:\Programme (x86)\Alcohol Soft\Alcohol 120\AxAutoMntSrv;exe
O23 - Service: Bluetooth Device Monitor - Intel Corporation - C:\Program Files (x86)\Intel\Bluetooth\devmonsrv;exe
O23 - Service: Bluetooth Media Service - Intel Corporation - C:\Program Files (x86)\Intel\Bluetooth\mediasrv;exe
O23 - Service: Bluetooth OBEX Service - Intel Corporation - C:\Program Files (x86)\Intel\Bluetooth\obexsrv;exe
O23 - Service: Intel(R) Centrino(R) Wireless Bluetooth(R) 3;0 + High Speed Security Service (BTHSSecurityMgr) - Intel(R) Corporation - C:\Program Files\Intel\BluetoothHS\BTHSSecurityMgr;exe
O23 - Service: CyberLink Product - 2012/03/12 22:50:13 (CLKMSVC10_38F51D56) - CyberLink - C:\Program Files (x86)\CyberLink\PowerDVD10\NavFilter\kmsvc;exe
O23 - Service: Intel(R) Content Protection HECI Service (cphs) - Intel Corporation - C:\windows\SysWow64\IntelCpHeciSvc;exe
O23 - Service: Device Error Recovery Service (dgdersvc) - Devguru Co;, Ltd. - C:\windows\system32\dgdersvc;exe
O23 - Service: ;%SystemRoot%\system32\efssvc;dll,-100 (EFS) - Unknown owner - C:\windows\System32\lsass;exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng;exe
O23 - Service: ;%systemroot%\system32\fxsresm;dll,-118 (Fax) - Unknown owner - C:\windows\system32\fxssvc;exe (file missing)
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files (x86)\WildGames\Game Console - WildGames\GameConsoleService;exe
O23 - Service: Intel(R) Capability Licensing Service Interface - Intel(R) Corporation - C:\Program Files\Intel\iCLS Client\HeciServer;exe
O23 - Service: Intel(R) ME Service - Unknown owner - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\FWService\IntelMeFWService;exe
O23 - Service: Intel(R) Dynamic Application Loader Host Interface Service (jhi_service) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service;exe
O23 - Service: ;keyiso;dll,-100 (KeyIso) - Unknown owner - C:\windows\system32\lsass;exe (file missing)
O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS;exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - P:\Programme (x86)\Mozilla Maintenance Service\maintenanceservice;exe
O23 - Service: ;comres;dll,-2797 (MSDTC) - Unknown owner - C:\windows\System32\msdtc;exe (file missing)
O23 - Service: Wireless PAN DHCP Server (MyWiFiDHCPDNS) - Unknown owner - C:\Program Files\Intel\WiFi\bin\PanDhcpDns;exe
O23 - Service: ;%SystemRoot%\System32\netlogon;dll,-102 (Netlogon) - Unknown owner - C:\windows\system32\lsass;exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\windows\system32\nvvsvc;exe (file missing)
O23 - Service: ;%systemroot%\system32\psbase;dll,-300 (ProtectedStorage) - Unknown owner - C:\windows\system32\lsass;exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc;exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files (x86)\CyberLink\Shared files\RichVideo;exe
O23 - Service: Remote Packet Capture Protocol v;0 (experimental) (rpcapd) - CACE Technologies, Inc. - P:\Programme (x86)\WinPcap\rpcapd;exe
O23 - Service: ;%systemroot%\system32\Locator;exe,-2 (RpcLocator) - Unknown owner - C:\windows\system32\locator;exe (file missing)
O23 - Service: ;%SystemRoot%\system32\samsrv;dll,-1 (SamSs) - Unknown owner - C:\windows\system32\lsass;exe (file missing)
O23 - Service: SamsungDeviceConfiguration (SamsungDeviceConfigurationWinService) - Unknown owner - C:\Program Files (x86)\Samsung\Easy Settings\SamsungDeviceConfiguration;exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files (x86)\Skype\Updater\Updater;exe
O23 - Service: ;%SystemRoot%\system32\snmptrap;exe,-3 (SNMPTRAP) - Unknown owner - C:\windows\System32\snmptrap;exe (file missing)
O23 - Service: ;%systemroot%\system32\spoolsv;exe,-1 (Spooler) - Unknown owner - C:\windows\System32\spoolsv;exe (file missing)
O23 - Service: ;%SystemRoot%\system32\sppsvc;exe,-101 (sppsvc) - Unknown owner - C:\windows\system32\sppsvc;exe (file missing)
O23 - Service: StarWind AE Service (StarWindServiceAE) - StarWind Software - P:\Programme (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE;exe
O23 - Service: SwitchBoard - Adobe Systems Incorporated - P:\Programme (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard;exe
O23 - Service: TeamViewer 7 (TeamViewer7) - TeamViewer GmbH - P:\Programme (x86)\TeamViewer\Version7\TeamViewer_Service;exe
O23 - Service: ;%SystemRoot%\system32\ui0detect;exe,-101 (UI0Detect) - Unknown owner - C:\windows\system32\UI0Detect;exe (file missing)
O23 - Service: Intel(R) Management and Security Application User Notification Service (UNS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS;exe
O23 - Service: ;%SystemRoot%\system32\vaultsvc;dll,-1003 (VaultSvc) - Unknown owner - C:\windows\system32\lsass;exe (file missing)
O23 - Service: ;%SystemRoot%\system32\vds;exe,-100 (vds) - Unknown owner - C:\windows\System32\vds;exe (file missing)
O23 - Service: ;%systemroot%\system32\vssvc;exe,-102 (VSS) - Unknown owner - C:\windows\system32\vssvc;exe (file missing)
O23 - Service: ;%systemroot%\system32\wbengine;exe,-104 (wbengine) - Unknown owner - C:\windows\system32\wbengine;exe (file missing)
O23 - Service: ;%Systemroot%\system32\wbem\wmiapsrv;exe,-110 (wmiApSrv) - Unknown owner - C:\windows\system32\wbem\WmiApSrv;exe (file missing)
O23 - Service: ;%PROGRAMFILES%\Windows Media Player\wmpnetwk;exe,-101 (WMPNetworkSvc) - Unknown owner - P:\Programme (x86)\Windows Media Player\wmpnetwk;exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Zero Configuration Service (ZeroConfigService) - Intel® Corporation - C:\Program Files\Intel\WiFi\bin\ZeroConfigService;exe

--
End of file - 12502 bytes


Ich kann nichts verdächtiges sehen, aber trotzdem wurden mir angeblich 2 mal Login-Daten geklaut...

Hardware Preisvergleich | Amazon Blitzangebote!

Videos zum Thema
Video Loading...
Bruckl
16.11.2012, 00:42

O3 - Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - (no file)
solltest du fixen toolbars sind oft der grund allen übels
and this
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Nation Search (;search;chatzum~com/)
btw hast du viele lsass;exe vllt nen virus alle mal überprüfen

"lsass;exe" ist der lokale Sicherheit-Authentifizierungsserver. Er überprüft die Gültigkeit der Benutzeranmeldung für Ihren PC oder Server. Lsass erzeugt den Prozess, der dafür zuständig ist, die Benutzer für den Winlogon-Dienst zu authentifizieren. Dies wird ausgeführt, indem Authentifizierungspakete wie das standardmäßige "msgina;dll" verwendet werden. Wenn die Authentifizierung erfolgreich ist, erzeugt Lsass das Zugriffstoken des Benutzers, was verwendet wird, um die anfängliche Benutzeroberfläche zu starten. Andere Prozesse, die der Benutzer startet, übernehmen dieses Token. lsass;exe Windows Prozess - Was ist das? (;;;neuber~com/taskmanager/deutsch/prozess/lsass;exe;html)

Wichtig: Die Datei "lsass;exe" befindet sich im Ordner C:\Windows\System32. Wenn das nicht der Fall ist, handelt es sich bei lsass;exe um einen Virus, Spyware, Trojaner oder Worm! Überprüfen Sie dieses z;B. mit Security Task Manager.

Viren mit gleichem Namen:
W32;Nimos;Worm - Symantec Corporation
W32;Sasser;E;Worm (Lsasss;exe) - McAfee
W32;HLLW;Lovgate;C;mm - Symantec Corporation


raid-rush
16.11.2012, 12:28

schonmal teamview überwacht? kommt nicht selten vor das der gehackt wird.

ebenso könnte die ursache software sein die gecrackt wurde...


White_Angel
16.11.2012, 13:41

;Bruckl

die Sachen habe ich mit hijack nun gefixt nun zu der Datei "lsass;exe"
ich kenne mich nicht besonders damit aus was ein virus sein und was nicht und wie oft das ding vorkommen soll oder kann

;;0;xup~in/exec/ximg;php?fid=92840122 (;;;xup~in/dl,92840122/Unbenannt;jpg/)



schonmal teamview überwacht? kommt nicht selten vor das der gehackt wird.

ebenso könnte die ursache software sein die gecrackt wurde..;


Wie meinst du das mit überwacht ? Ich habe das Teil auch meistens aus.

Bei Software hmm.... ich habe gestern einen vollen Systemscan gemacht und hatte keine Funde... ich finde das alles schon ein bisschen merkwürdig...

ansonsten müsste ich mal Windows plätten... muss sowieso irgendwann mal gemacht werden.


phraser
16.11.2012, 14:05

Ne sinnvolle Untersuchung funktioniert nur bei einem nicht von der Platte gebooteten System. Deshalb nimm eine Live-CD/DVD. Anleitungen findest du bei Google und auch hier im Forum genügend..


dreamax
16.11.2012, 18:38

Sofern Teamview = TeamViewer, und du es richtig eingestellt hast, liegt es nicht daran.


zwe-etschge
17.11.2012, 23:43

also die lsass;exe war bei mir früher ne umbenannte dfind;exe
vllt scannt ja jemand bei dir :D


Cpt.Xer0
25.01.2013, 02:11

HiJackthis wird kaum noch weiterentwickelt bzw. Wurde schon eingestampft, ist daher nicht wirklich sehr aussagekräftig, da zum beispiel keine versteckten Registry verweise erkannt werden.

Ich empfehle folgenden ablauf, abgesichert mit netzwerk starten (F8 Startoptionen), malwarebytes im tiefenscan durchlaufen lassen, eventuell gefundene malware enfernen lassen und falls neustart erwünscht, halt neustarten und wieder abgesichert mit netzwerk den pc starten lassen.

Dann combofix downloaden (bei bleeeping (;;;bleepingcomputer~com/download/combofix/)) und diesen mit adminrechte ausführen.
Die log darfst du dann hier posten.

Vielleicht findet sich mit combofix ein rootkit oder einfach nur versteckte registry einträge die eventuell mehr infos zu tage bringen was da bei dir los ist.
Im grunde ist die isass;exe ein lokaleer sicherheits authentifizierungsserver, in vergangenheit wurde aber genau diese schon mal gerne von viren entführt bzw. Infiziert.


Ähnliche Themen zu Vermutung Teamview gehackt?
  • msn gehackt, was nun?
    das msn von einer freundin ist gehackt und jemand schreibt von dort aus nachrichten an mich und alle anderen aus ihrer liste. was für möglichkeiten hat sie ihr msn zurückzubekommen? kann ich ihr vllt irgendwie helfen? diese person schafft es auch irgendwie, dass sie selbst immer rausfliegt wenn s [...]

  • PSP GO gehackt?
    (;;;pspking~de/cfw550;html) Angeblich wurde die psp go ja schon gehackt dort soll es dazu schon ein tutorial geben. Meint ihr das dass stimmt? [...]

  • Flirtbörse der rechten Szene gehackt (Thor Steinar auch gehackt)
    Flirtbörse der rechten Szene gehackt 39067 (;;;bilder-hochladen~net/files/29xh-2-png;html) Hacker aus dem Umfeld des 26. Chaos Communication Congress (26C3) in Berlin haben sich Zugang zur kompletten Datenbank hinter der Partnersuchseite "MA Flirt" verschafft und diese samt Nutzerdaten und P [...]

  • Vermutung: DHL Paket auf Transportweg verloren gegangen-Was nun?
    Hallo Leute, seit einigen Tagen verändert sich der Status meines Packets nicht, es steht dort immer noch: Transport zum Zustellpaketzentrum. Ich vermute mal, dass mein Paket verloren wurde und es deshalb nicht aktualisiert wird. Wisst ihr wie ich nun vorgehen könnte? Danke Greetz [...]



raid-rush.ws | Imprint & Contact pr