Help, der Bas*** hat meinen Pc gehackt...

Death~Light · 04/14/2011, 07:52

Son Typ aus der nostale trading sektion hat einen "Angeblichen Item Hack" erstellt. Ich habs mir runtergeladen, um zu schauen was das ist. Ich dachte normaler Keylogger, doch des isn richtiger Wurm. Den Task-Manager hat er mir gesperrt, was kann ich außer pc neu formatieren?
#Edit mit Ausführen --> regedit hat er auch geblockt

Kazaaa · 04/14/2011, 07:53

#moved

.sun · 04/14/2011, 08:23

ohne jegliche überlegungen formatieren dann kannst du dir nur sicher sein und es gibt für kein online game item hacks merkt dir das und guck dir immer virutotal ergebnisse an

MrChiLLouT · 04/14/2011, 10:33

Windows wirst du neuinstallen müssen. Wenn du schlau gewesen wärst, hättest du die Datei vorher mal nach virustotal.com geschickt.

Du kannst zwar mit Programmen die infizierten Daten löschen. Allerdings werden die vorgenommenen Veränderungen udn Einstellungen vom Virus nicht zurückgesetzt.

.StarSplash · 04/14/2011, 11:28

Die Registry kannst du mit diesem Tool (Achtung automatischer download)

wieder entsperren und dann dort die Änderung für den Taskmanager rückgängig machen, dannach bitte ein HijackThis Log posten !

Wenn man dir dann nciht helfen kann Windows wohl oder übel neuinstallieren.

Death~Light · 04/14/2011, 12:14

@ Star das Programm ist ein Erolg, danke. Jedoch weiß ich nicht, was ich jetzt tun soll, wo ich im regedit drinne bin.

.sun · 04/14/2011, 12:32

reinstalliere es wenns wirklich ein wurm sein sollte könntest du ernsthafte probleme bekommen

Death~Light · 04/14/2011, 12:38

Hab den Wurm rausbekommen^^ War ein klassischer dllhost.exe wurm. Einfach
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies
suche den Schlüssel "DisableTaskMgr."
Doppelklick auf diesen und gibt ihm den Wert 0.
Dann hatte es AntiVir schon wieder erkannt und ich habs gelöscht. Falls die datei trotzdem auf dem Pc bleibt, am besten die Softwar "Spyware Doctor" runterladen. Mit der löscht man jeden Wurm

Danke für die Hilfe #closerquest.

Diablo_ · 04/14/2011, 13:54

Ne ne. So schnell geht das nicht. Wenn es ein Wurm war musst du formatieren. Eventuel sind auch schon andere PCs in deinem Netzwerk infiziert.

Formatiere oder mach' in 2 Wochen einen neuen Thread auf.

Grüße

Death~Light · 04/14/2011, 15:42

Es war nur ein dllhost.exe worm?

Diablo_ · 04/14/2011, 15:50

Quote:

Originally Posted by Death~Light

Es war nur ein dllhost.exe worm?

Achso, es ist nur ein Wurm. Nicht persönlich nehmen aber wie naiv bist du? Wenn man davon wenig bis keine Ahnung hat sollte man das ganze nicht schön reden.

Quote:

The Welchia (MSBLAST.D or Nachi) worm infects machines via network connections. It can attack entire networks of computers or one single computer connected to the Internet. Similar to the original MSBlast worm it exploits a known windows vulnerability that is easily patched, however few systems seem to have this patch installed. It attacks Windows 2000 and Windows XP machines and exploits the DCOM RPC Vulnerablity. It uses TFTP (Trivial File Transfer Protocol) to download its files into a system. It also exploits one more vulnerability known as the WebDAV exploit to travel from system to system.
Ironically, this worm attempts to patch the RPC DCOM Buffer Overflow. It first checks for the running Windows version and then downloads a patch from Microsoft. In essence this worm patches your computer against the MSBlast.A worm. When the current system year is 2004, the worm removes itself from the system.

Death~Light · 04/14/2011, 15:55

Die Datei "dllhost.exe" befindet sich im Ordner C:\Windows\System32. Wenn das nicht der Fall ist, handelt es sich bei dllhost.exe um einen Virus, Spyware, Trojaner oder Worm! Überprüfen Sie dieses z.B. mit Security Task Manager.
Ich habe Security Task Manager, aber gefunden hat er nach dem ich es gelöscht habe nichts mehr.

Diablo_ · 04/14/2011, 16:30

Es ist dir überlassen. Ich versuche ungern Leuten zu helfen die sich nicht helfen lassen.

Wenn du weißt um was es sich handelt und was Sache ist dann gut.

"When opened, Nachi.A.1 copies itself as C:\%SystemDIR%\Wins\Dllhost.exe. It makes a copy of C:\%Systemdir%\Dllcache\Tftpd.exe, named C:\%System%\Wins\svchost.exe.

It makes the following registry subkey:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic e RpcPatch RpcTftpd

It sets the service:

Service Name: RpcTftpd
Service Display Name: Network Connections Sharing
Service Binary: %System%\wins\svchost.exe

This service is manually started.

Service Name: RpcPatch
Service Display Name: WINS Client
Service Binary: %System%\wins\dllhost.exe

This service is automatically started.

It terminates "Msblast" process and deletes the file C:\%SystemDIR%\msblast.exe.

Then it chooses IP addresses in two modes: The worm uses the infected computer's IP A.B.0.0, or it composes an IP address out of encoded ones. After choosing the start address, it uses a class B network. It sends a CMP reply or PING, to verify if the chosen IP address corresponds to an active computer on the network.

It starts the TFTP Server on the attacked computer and downloads Dllhost.exe and Svchost.exe on it. When the update is downloaded and run, the worm restarts the computer, to install the correction routine.

It verifies the system date. In the year 2004, the worm deletes the file C:\%SystemDIR%\Wins\Dllhost.exe and the services RpcPatch and RpcTftpd, and removes the registry entries:
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\RpcPatch
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\RpcTftpd
"

Denk' mal an deine Mitmenschen.

Grüße

Death~Light · 04/14/2011, 16:32

Was kann dieser wurm bei mir anrichten?

Diablo_ · 04/14/2011, 16:46

Quote:

Originally Posted by Death~Light

Was kann dieser wurm bei mir anrichten?

Der Wurm verbreitet sich selbstständig ohne das du etwas machst und infiziert andere PCs in deinem Netzwerk.

Er löscht Dateien und downloadet Neue. Du wirst es merken wenn dein I-Net lahm ist. Er wird viel Bandbreite verbrauchen.

Grüße