Ich werde gehackt Hilfe!

Meiko · 08/25/2012, 01:23

Quote:

Originally Posted by stabbix

Es muss nichtmal n RAT sein. Kann auch Teamviewer oder aehnliches Programm sein, welches nur komplett ausgeblendet ist. Solche 'normalen' programme werden durch nichts detected.

Die Aktionen, die er in seinem ersten Post beschreibt, weisen aber gewisse Charakteristika eines RATs auf. Kein Desktop Remote Tool kann einfach so Pop-Ups mit Trollseiten wie diese alte .**** Masche erzeugen.

Quote:

Also ich habe jetzt erstmal so wie es Perseus gesagt hat alle Prozesse beim Systemstart mit Unknown deaktiviert und mein Virenprogramm geupdated.

Du solltest dich nicht auf msconfig verlassen. Bitte lade dir ein zuverlässiges und besseres Tool von Microsoft runter. Es nennt sich "autoruns" und kann direkt ausgeführt werden. Es zeigt dir auch versteckte Autorun Einträge an. Außerdem kann man es in den Windows-Ordner kopieren und es über somit direkt die Ausführen-Zeile aufrufen.

mathiasfly · 08/25/2012, 01:24

@Perseus ja ich kann die aber nicht löschen weil ich den Ordner wo die seien sollen nicht finde also die sind irgendwo in AppData Roaming svchost.exe oder hkbcmd.exe

ok iMeiko ich werde es mir jetzt runterladen, danke^^

Meiko · 08/25/2012, 01:27

Quote:

Originally Posted by mathiasfly

ok iMeiko ich werde es mir jetzt runterladen, danke^^

Du kannst auch gerne einen Screenshot von deinen Autoruns machen, damit wir genauer nachsehen können, was alles tolles sich so im Autostart bei dir verbirgt

mathiasfly · 08/25/2012, 01:28

Ein Screen wird da nichts bringen das ist sehr viel ;D

~~Perseus³~~ · 08/25/2012, 01:28

Quote:

Originally Posted by mathiasfly

@Perseus ja ich kann die aber nicht löschen weil ich den Ordner wo die seien sollen nicht finde also die sind irgendwo in AppData Roaming svchost.exe oder hkbcmd.exe

Ordneroptionen-> Zeige versteckte Ordner ankreuzen und verstecke geschütze Dateien(oder so ähnlich habe die englische version) entkreuzen

~~Der-Tee~~ · 08/25/2012, 01:29

@iMeiko

Hab mir auch grade mal das Tool geladen, und bin auf folgendes (in rot markiert) gestoßen:

sleekseek c:\windows\syswow64\b8cb64f8.dll

Der Name der .dll kommt mir schon komisch vor, Google sagt zu der *.dll Datei garnichts.

Ist das harmlos oder doch lieber nochmal komplett überprüfen? (Kaspersky braucht so lange...)

Meiko · 08/25/2012, 01:29

Quote:

Originally Posted by mathiasfly

Ein Screen wird da nichts bringen das ist sehr viel ;D

Yup, das Tool zeigt dir sehr viel mehr als msconfig an. Zeig uns einfach, was so bei dir los ist. Rat-Einträge sind eigentlich sehr schnell ausfindig gemacht.
Die nächsten logischen Schritte wären ein Reboot in den sicheren Modus, die Deaktivierung der Einträge mit anschließender manueller Entfernung der Registry-Einträge.

Quote:

Originally Posted by Der-Tee

@iMeiko

Hab mir auch grade mal das Tool geladen, und bin auf folgendes (in rot markiert) gestoßen:

sleekseek c:\windows\syswow64\b8cb64f8.dll

Der Name der .dll kommt mir schon komisch vor, Google sagt zu der *.dll Datei garnichts.

Ist das harmlos oder doch lieber nochmal komplett überprüfen? (Kaspersky braucht so lange...)

Ich habe nichts vergleichbares in meinem Autostart gefunden. Du kannst diese Datei ja einmal deaktivieren. Wenn du irgendeiner Funktion nach einem Reboot vermisst oder ein Programm falsch ausgeführt wird, weißt du, dass es wohl eher produktiv als destruktiv war

Wenn du auf der sicheren Seite stehen willst, empfehle ich dir aber mal lieber, etwas drüberlaufen zu lassen.

ayanamiie · 08/25/2012, 01:31

mathias wenn du dateinlöschen willst usw zieh einfach den inetstecker ohne inet kann der fremde auch nix bei dir am pc steuern und deine maus dmait blockieren im schlimmstenfall pc formatieren und richtig alles clearn

~~Perseus³~~ · 08/25/2012, 01:33

Quote:

Originally Posted by Der-Tee

@iMeiko

Hab mir auch grade mal das Tool geladen, und bin auf folgendes (in rot markiert) gestoßen:

sleekseek c:\windows\syswow64\b8cb64f8.dll

Der Name der .dll kommt mir schon komisch vor, Google sagt zu der *.dll Datei garnichts.

Ist das harmlos oder doch lieber nochmal komplett überprüfen? (Kaspersky braucht so lange...)

Alleine der Ordner "syswow64" gehört nicht zum normalden Windows. Was sind denn sonst noch für Dateien in diesem Ordner ?

Meiko · 08/25/2012, 01:33

Quote:

Originally Posted by Perseus³

Alleine der Ordner "syswow64" gehört nicht zum normalden Windows. Was sind denn sonst noch für Dateien in diesem Ordner ?

Doch, er ist fester Bestandteil von Windows x64.

~~Perseus³~~ · 08/25/2012, 01:35

Quote:

Originally Posted by iMeiko

Doch, er ist fester Bestandteil von Windows x64.

Ups habe mich vertan. Hatte den Dateipfad falsch gelesen. Dachte er wäre C:\Windows\Syswow64

Mein Fehler

~~Der-Tee~~ · 08/25/2012, 01:37

Der Ordner gehört zu einer 64 Bit Version von Windows

WoW64 = Windows on Windows 64, dient dazu das 32 Bit Anwendungen auf 64 Bit Windows läuft.

WOW64

Der Ordner sieht auch ganz nach Windows aus. Alles Screenen würde zu lange dauern, aber hier ein Screen:

Die b8cb64f8.dll ist die eintige mit so einem cryptischen Namen, die anderen haben vernünftige Namen wie basecsp.dll, batmeter.dll oder bcrypt.dll (:

mathiasfly · 08/25/2012, 01:37

Bei Autoruns sind manche sachen bei mir Gelb makiert, was heißt denn das?

Kannst du dir das vielleicht per TV mal angucken Meiko? Also Autoruns

~~Der-Tee~~ · 08/25/2012, 01:42

Gelb markiert: File not found (steht auch davor)

Heißt: Datei nicht gefunden, kannst du problemlos löschen.

A propro löschen, das überlege ich auch grade:

22/42 ist nicht ganz so schön D:

Meiko · 08/25/2012, 01:46

Quote:

Originally Posted by Der-Tee

Gelb markiert: File not found (steht auch davor)

Heißt: Datei nicht gefunden, kannst du problemlos löschen.

A propro löschen, das überlege ich auch grade:

22/42 ist nicht ganz so schön D:

Böse. Wirf im Safe Mode raus und lösche die entsprechenden Registry Einträge manuell, indem du regedit über Ausführen startest und in der Suche den Dateinamen eingibst. Dann alle Schlüssel entfernen, PC neustarten.