Befürchte, dass mein Rechner gehackt wurde!

#1 Hallo zusammen,
dies ist mein erster Beitrag und gleich ein großer Notfall:

Folgendes:
Auf unserem "Familien-PC" habe ich u.a. Programme wie MSN, ICQ usw. installiert. Auf meinem eigenen Laptop ebenfalls. Als ich letzte Woche nach Hause kam, riefen mehrere Bekannte an und sagten, dass ich ihnen per MSN eine Nachricht geschrieben haben soll, mal mit der Bitte nach einer Aussprache, mal mit Beschimpfungen.
Dies kann allerdings nicht persönlich von mir stammen, da ich nicht zuhause war und absolut niemand mein Passwort hat.
Anfangs dachte ich bloß, dass jemand mein MSN-Passwort gehackt hat. Ich ging also an den Familien-PC und schaute nach, was sich da bei MSN getan hat (ich benutze generell nur über meinen Laptop MSN). Dort sah ich, dass ein anderes Bild (ein früheres) zu sehen ist und eine vollkommen fremde Away-Nachricht. Außerdem besaß ich angeblich nur noch 13 Kontakte, obwohl es eigentlich über 50 sind. Also ging ich wieder zu meinem Laptop und änderte dort mein MSN-Passwort, was auch erfolgreich war.
Auf dem Familien-PC löschte ich sämtliche Programme von mir (vorallem MSN!!!), da zuvor eine fremde Word-Datei auf dem Desktop erschienen ist, wichtige Ordner meiner Eltern verschwunden sind und der Hammer war, dass ich sah, dass mir "jemand" in eine Mail etwas reingeschrieben hat. Ich war dabei eine Mail zuschreiben und plötzlich tippte jemand Beschimpfungen dort rein. Aufgrund von all dem löschte ich wie gesagt u.a. MSN von dem Familien-PC.

Seitdem läuft der Laptop weiterhin ohne Fehler und den Familien-PC hatten wir nur einmal an, um mit dem Sophos-Virencheck nach Viren zu suchen. Dieser fand natürlich nichts.
Meine Familie hat zufällig schon vorher einen komplett neuen Rechner gekauft, der die Tage ansich auch angeschlossen werden soll.
Auf dem alten, "verseuchten" Familien-Rechner sind noch zwei Ordner, die meiner Familie sehr wichtig sind. Unser Plan war, die beiden Ordner auf einen USB-Stick zu ziehen, den alten Rechner abzubauen und den neuen dann aufzubauen. Dann wollten wir den USB-Stick anschließen und den Wechseldatenträger per Trojaner-Viren-Scanner nach Viren überprüfen lassen. Geht das? Erst dann wollen wir den neuen Rechner nutzen.

Nun zu meinen Fragen:
- Ist es wahrscheinlich/sicher, dass unser Familien-PC gehackt wurde?
- Ist unser Plan der richtige Weg um den neuen Rechner nicht mit dem Virus von dem jetztigen Rechner "anzustecken"?
- Mein Laptop ist per Wireless-Lan mit dem Familien-PC verbunden. Kann der Virus, sollte es einer sein, dadurch übertragen bzw. hat der Hacker jetzt auch Zugriff auf meinen Laptop?
- Wenn unser Plan nicht gut ist, was ist der richtige Weg um die zwei Ordner zu retten und den neuen Rechner nicht anzustecken?


Also...bitte bitte bitte helft mir und meiner Familie, es ist uns sehr wichtig!!!
Ich hoffe, ich könnt mir diesen Gefallen tun; ich bin dankbar für einen einheitlichen Ratschag.

Vielen Dank im Vorraus,

JazzBar (17)

#2 Moi

Zitat

- Ist es wahrscheinlich/sicher, dass unser Familien-PC gehackt wurde?

Schwierige Frage, schon möglich - wenn ja wäre die wahrscheinlich Methode ein Trojaner den du dir A) irgendwie eingefangen hast B) irgendwie auf dein PC eiengeschleußt wurde.
Das müßte dann auch gleichzeitig heißen das ihr keinen Router habt sondern eurer PC sich direkt einwählt.
Eventuell war auch netbios offen (Datei/Druckerverwaltung) oder auch eine Kombination von beidem.

Zitat

- Ist unser Plan der richtige Weg um den neuen Rechner nicht mit dem Virus von dem jetztigen Rechner "anzustecken"?

Möglich, nur Skriptdateien, .doc/.xls (mit Makros?) und executables (.exe) -
lassen sich versuchen - Bilder, Musik etc. nicht.

Zitat

- Mein Laptop ist per Wireless-Lan mit dem Familien-PC verbunden. Kann der Virus, sollte es einer sein, dadurch übertragen bzw. hat der Hacker jetzt auch Zugriff auf meinen Laptop?

WLAN würde wohl implizieren das ihr doch einen Router habt wenn ja ist der Eindringling eventuell ja nicht direkt aus dem Internet gekommen sondern eher aus der Nachbarschaft - vielleicht war/ist euer WLAN insecure aufgebaut.
Ein übertragen der Dateien geschieht eher mutwillig als eigenwillig, aber theoretisch natürlich möglich wenn beide Rechner zugriff und freigegebene Laufwerke haben.

Zitat

- Wenn unser Plan nicht gut ist, was ist der richtige Weg um die zwei Ordner zu retten und den neuen Rechner nicht anzustecken?

Das kommt ganz auf den Inhalt an.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#3 Grüß dich, Jazzbar, willkommen im Forum.

Ich sehe da zwei Probleme:
1. Du könntest einen Trojaner (also ein Backdoor) auf deinem PC haben, auch dann, wenn der Virenscanner nichts gefunden hat. Manchmal finden Scanner nicht alles. Nimm mal einen anderen, kostenlos ist Avira AntiVir.
2. Dein wireless LAN könnte gehackt sein. Prüfe mal, ob dein WLAN verschlüsselt ist und wenn ja, mit welcher Verschlüsselung. Ganz ohne und mit schlechten Passwörtern (oder vielleicht garkeinen) ist es ein Leichtes euren PC zu übernehmen.

Wenn du irgendwas was machst: TRENNE ZUERST JEDEN PC VOM NETZ, also Netzkabel ziehen und/oder WLAN-Router aus!
Dann kannst du zunächst ohne Schaden die Ordner mit einem Stick rüberkopieren. Wenn nur kopiert wird, ohne dass die Dateien in dem Ordner geöffnet oder gestartet werden, ist erstmal keine Gefahr. Dann scannst du die Dateien mit zwei Scannern. Wenn dann kein Schädling gemeldet wird, ist der neue PC höchstwahrscheinlich (man kann nie ganz sicher sein!) virenfrei.
Danach gehst du an das WLAN ran und checkst die Verschlüsselung. WEP ist schon ganz gut, WPA ist viel besser, aber viele Router haben das nicht.
Schließlich vergibst du sichere Passwörter für die Konten am PC.
Ich hoffe mal du hast eine Firewall, da reicht schon die von Windows.
Was deinen Laptop betrifft, so gilt das Gleiche: Mit einem offenen WLAN kann jeder Amateurhacker eine Menge Schaden anrichten.

Gruß Reinhart

P.S. Ich sehe gerade, Xeper hats eigentlich auch schon gesagt, aber nun sei's drum, dann isses halt doppelt.

#4 Noch eine Theorie ganz ohne Malware.
Zumal XP ja auch Benutzerkonten ohne Passwörter erlaubt. Von den Möglichkeiten des Remote-Desktop gänzlich abgesehen.
Hat der Rechner ein aktives Gastkonto ?
Sind Laufwerke oder Ordner freigegeben, wenn ja- wie ? Berechtigungen
Sind die starke Passwörter bei allen Konten gesetzt ?
Welches Betriebssystem verwndest Du denn überhaupt ?

Zitat

Ich hoffe mal du hast eine Firewall, da reicht schon die von Windows.

Leider sind die Regeln für Ordnerfreigaben standardmäßig als Ausnahme gesetzt.

Hoffe du findest gute Anhaltspunkte um den Rechner mal zu checken.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#5 Vielen Dank Leute!

Ich werde mich bei nächster Gelegenheit an den Rechner setzen und die empfohlenen Ratschläge befolgen.

@joschi:
Soweit ich weiß, hat der Familien-PC kein aktives Gastkonto (meine Eltern benutzen den Rechner hauptsächlich, leider kenn ich mich dehalb nicht beosnders gut aus, was da so vor sich geht).
Laufwerke und Ordner sind denk ich mal auch nicht freigegeben; wie gesagt, ich hab ansich nicht viel mit dem Teil am Hut.
Und als Passwort hatten meine Eltern glaub ich auch keins so richtig; die sind immer als Administrator reingegangen und haben kein Passwort eingegeben. Bei der Anmeldung haben die immer nur die Eingabe-Taste gedrückt =/
Das Betriebssystem ist auf dem Familien-PC Windows 2000 NT, mein Laptop hat XP.

Ihr merkt, dass ich mich, was das alles angeht, nicht auskenne, deshalb bin ich auch so hilflos, was ich machen soll

Ich werd mich die Tage wohl hier nochmal melden.
Danke nochmal!

JazzBar

#6 Jazzbar

ich kann mir den Rechner mal ansehen.
arbeite das ab und poste hier das Log vom HijackThis
http://virus-protect.org/hjtkurz.html

---------------------------------------------------------------------------------------------
hier ein anderes Beispiel von einem kompromitiertem Rechner:
http://virus-protect.org/kompsystem.html

Zitat

ist folgendes passiert: Plötzlich hat sich mein Mausanzeiger gezielt bewegt und verschiedene Sachen angeklickt, dann hat jemand in meinem Navigator vor meinen Augen eine Erotikseite eingetippt und ist darin rumgesurft ! Ich habe dann schnellstens das Internetkabel gezogen!

__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hi Leute,

@Sabrina: Das wäre nett. Ich hab so ein "HijackThis-Ding" allerdings noch nie gemacht; ich hoffe, ich habe das so richtig gemacht:

Logfile of HijackThis v1.99.1
Scan saved at 18:59:16, on 25.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\WINDOWS\system32\sistray.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe



Das ist jetzt das Log von meinem Laptop (ich hoffe, dass dieser nicht gehackt wurde; er ist allerdings über WLan mit dem betroffenen Rechner verbunden.).

Hoffentlich kannst du was damit anfangen.
Schonmal ein Danke im Vorraus.

Grüße,
JazzBar

P.S.: Kann mir jemand sagen, wie ich die Sicherheitsfrage bei MSN ändern kann, wenn dies möglich ist?

#8 Es sollte schon ein Log von dem Rechner sein, der das Problem tatsächlich aufwies. Allerdings ist auch ein Hijack-Logfile in Hinsicht auf die Sicherheit eines Rechners nur bedingt aussagekräftig.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#9 Gut, dann werde ich ein Hijack-Logfile von dem betroffenen Rechner machen.
Das wird dann wohl am Wochenende geschehen.

Ein weiteres Problem ist bei mir aufgetreten:
Ich sagte ja bereits, dass per MSN Nachrichten an meine Kontakte geschickt werden, die ich nicht geschrieben hab. Nachdem ich dies erfahren hatte, hab ich sofort sämtliche Passwörter geändert, mit der Hoffnung, dass der Hacker, sollte es einer sein, keinen Zugriff mehr darauf hat. Jetzt hab ich grad ebend erfahren, dass solche Nachrichten immernoch verschickt werden.
Kann mir jemand sagen, wie das zustande kommen kann bzw. was ic machen soll???

Und wie oben schon gestellt, weiß ich immernoh nicht ob bzw. wo ich meine Sicherheitsfrage von MSN ändern kann.

Grüße,
JazzBar

#10 Unter https://accountservices.msn.com/uiChangeSQ.srf?lc=1033&id=2 läasst sich die Geheimabfrage ändern (mehr lInks unter http://board.protecus.de/t23158.htm)
__________
Durchsuchen --> Aussuchen --> Untersuchen

#11 @joschi: Danke.

Das Logfile von dem Rechner, der die Probleme aufweist, schicke ich die Tage.
Kann mir denn jemand sagen, was das mit der MSN-Sache bei mir auf sich hat?
Obwohl ich mein Passwort und mittlerweile sogar die Sicherheitsfrage geändert hab, wurde mindestens eine Nachricht "von mir" (also von dem Hacker/durch ein Trojaner-Virus) an jemanden aus meiner Kontaktliste geschickt.

Danke für eure Hilfe!

JazzBar

#12 solange, wie ich den rechner nicht in Form von Logs sehen kann - ist alles nur spekulation
woher sollen wir wissen, welche Routinen der hacker verwendet, wenn wir den Rechner nicht kennen und du statt dessen einen sauberen Rechner hier vorstellst. ???
__________
MfG Sabina

rund um die PC-Sicherheit

#13 @Sabrina: Ich bin mir garnicht so sicher, dass mein Rechner "sauber" ist, wie du sagst. Da ich per WLan mit dem betroffenen Rechner verbunden bin, kann doch auch mein Rechner in Gefahr sein oder nicht?! Das meinte jedenfalls ein Bekannter von mir, der ansich ganz gut Ahnung hat.

Ich werd demnächst ein Log von dem Familien-PC posten.

JazzBar

#14

Zitat

Ich werd demnächst ein Log von dem Familien-PC posten.

du laesst dir aber viel Zeit
----------

ist vielleicht das beste - zwei Ordner

Zitat

Auf dem alten, "verseuchten" Familien-Rechner sind noch zwei Ordner, die meiner Familie sehr wichtig sind. Unser Plan war, die beiden Ordner auf einen USB-Stick zu ziehen, den alten Rechner abzubauen und den neuen dann aufzubauen. Dann wollten wir den USB-Stick anschließen und den Wechseldatenträger per Trojaner-Viren-Scanner nach Viren überprüfen lassen. Geht das? Erst dann wollen wir den neuen Rechner nutzen.

__________
MfG Sabina

rund um die PC-Sicherheit

#15 So Leute,
nun kommt endlich das Logfile von dem betroffenen Rechner, wäre nett, wenn sich das mal jemand (Sabrina?!) angucken könnte:

Logfile of HijackThis v1.99.1
Scan saved at 11:21:16, on 03.02.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\2000PRO\System32\smss.exe
C:\2000PRO\system32\winlogon.exe
C:\2000PRO\system32\services.exe
C:\2000PRO\system32\lsass.exe
C:\2000PRO\system32\svchost.exe
C:\2000PRO\system32\spoolsv.exe
C:\2000PRO\system32\svchosts.exe
C:\2000PRO\system32\svchost.exe
C:\2000PRO\system32\hidserv.exe
C:\2000PRO\system32\regsvc.exe
C:\2000PRO\system32\MSTask.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\Programme\Sophos SWEEP for NT\SWUPDATE.EXE
C:\2000PRO\System32\WBEM\WinMgmt.exe
C:\2000PRO\system32\svchost.exe
C:\2000PRO\Explorer.EXE
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\winstall.exe
C:\2000PRO\system32\nfomon\nfomon.exe
C:\2000PRO\system32\vidmon\vidmon.exe
C:\Programme\Ipwindows\ipwins.exe
C:\Programme\webHancer\Programs\whagent.exe
C:\Programme\Gemeinsame Dateien\{40B8F740-01F5-1031-1020-980518990031}\Update.exe
C:\2000PRO\system32\internat.exe
C:\2000PRO\STEM~1\tracert.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: (no name) - {43B01E8D-D31C-DCB9-1903-D958647DF0EB} - C:\2000PRO\system32\hhst.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {43B01E8D-D31C-DCB9-1903-D958647DF0EB} - C:\2000PRO\system32\hhst.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: 888Bar - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\GEMEIN~1\{30B8F~1\888Bar.dll (file missing)
O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Programme\webHancer\programs\whiehlpr.dll
O2 - BHO: StarMoney Toolbar - {D695B6EC-25D9-4244-B604-988AA1DFB8F3} - C:\Programme\StarMoneyToolbar\StarMoneyToolbar.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\2000PRO\system32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: StarMoney Toolbar - {D695B6EC-25D9-4244-B604-988AA1DFB8F3} - C:\Programme\StarMoneyToolbar\StarMoneyToolbar.dll (file missing)
O3 - Toolbar: 888Bar - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\GEMEIN~1\{30B8F~1\888Bar.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [hpfsched] C:\2000PRO\hpfsched.exe
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [explorer] C:\Dokumente und Einstellungen\Administrator\Desktop\winstall.exe
O4 - HKLM\..\Run: [Nfo] C:\2000PRO\system32\nfomon\nfomon.exe
O4 - HKLM\..\Run: [vidmon] C:\2000PRO\system32\vidmon\vidmon.exe
O4 - HKLM\..\Run: [IpWins] C:\Programme\Ipwindows\ipwins.exe
O4 - HKLM\..\Run: [webHancer Agent] C:\Programme\webHancer\Programs\whagent.exe
O4 - HKLM\..\Run: [{40B8F740-01F5-1031-1020-980518990031}] "C:\Programme\Gemeinsame Dateien\{40B8F740-01F5-1031-1020-980518990031}\Update.exe" mc-110-12-0000904
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [startkey] C:\2000PRO\system32\me.exe
O4 - HKCU\..\Run: [Uods] "C:\2000PRO\STEM~1\tracert.exe" -vt yazb
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Startup: BJ Status Monitor Canon PIXMA iP2000.lnk = C:\Dokumente und Einstellungen\Administrator\cnmss Canon PIXMA iP2000 (Local).exe
O4 - Startup: Reminder-hpc41003.lnk = C:\Programme\HP DeskJet 610C Series\ereg\Remind32.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\2000PRO\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\2000PRO\web\related.htm
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {E055C02E-6258-40FF-80A7-3BDA52FACAD7} (Installer Class) - http://activex.matcash.com/speedtest2.dll
O23 - Service: COM+ Messages - Unknown owner - C:\2000PRO\system32\svchosts.exe" -e mc-110-12-0000904 (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\2000PRO\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: SWEEP for Windows NT Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
O23 - Service: SWEEP for Windows NT Update (SweepUpdate) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWUPDATE.EXE



Danke schonmal.

Grüße,
JazzBar