Hacker!!??

Hallo,

als ich heute ein pc spiel starten wollte kamm die meldung, dass ein programm sich in mein spiel einklicken will... des hab ich dann auch verboten... und der ordne rin dem die datei drin war heiß:
Prozess C:\Dokumente und Einstellungen\....\Lokale Einstellungen\Temp\~e5.0001 (PID: 240): Versuch zum Eindringen in einen anderen Prozess wurde blockiert.
und in dem ordner waren datein wie zum. inet explorer und hiddenattack...
als ich dann dachte das es ein hack angriff ist/wahr wollte ich emin system nochmal neu aufspielen, des hat aber irgentwie net geklappt und ich hab nur mein windows "repariert"
als ich dann meinen pc neu gestartet habe kam die erste meldung:

19.09.2008 13:48:53 Die Anwendung SVCHOST.EXE wurde verändert
19.09.2008 13:49:13 Die Anwendung SVCHOST.EXE wurde verändert
19.09.2008 13:49:14 Die Anwendung SVCHOST.EXE wurde verändert
19.09.2008 13:49:15 Die Anwendung SVCHOST.EXE wurde verändert
19.09.2008 13:49:16 Die Anwendung SVCHOST.EXE wurde verändert
19.09.2008 13:49:16 Die Anwendung SVCHOST.EXE wurde verändert
19.09.2008 13:49:17 Die Anwendung SVCHOST.EXE wurde verändert
19.09.2008 13:49:17 Die Anwendung SVCHOST.EXE wurde verändert
19.09.2008 13:49:18 Die Anwendung SVCHOST.EXE wurde verändert
19.09.2008 13:49:22 Die Anwendung SVCHOST.EXE wurde verändert
19.09.2008 13:49:22 Die Anwendung SVCHOST.EXE wurde verändert
19.09.2008 13:49:31 Die Anwendung SVCHOST.EXE wurde verändert
19.09.2008 13:51:41 Der Versuch von Prozess mit PID 2020 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 836 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
19.09.2008 13:54:59 Die Anwendung IEXPLORE.EXE wurde verändert
19.09.2008 13:55:02 Die Anwendung SVCHOST.EXE wurde verändert
19.09.2008 13:58:25 Die Anwendung SVCHOST.EXE wurde verändert
19.09.2008 13:58:56 Die Anwendung SVCHOST.EXE wurde verändert
19.09.2008 13:58:57 Die Anwendung SVCHOST.EXE wurde verändert
19.09.2008 13:58:58 Die Anwendung SVCHOST.EXE wurde verändert
19.09.2008 14:01:16 Die Anwendung SVCHOST.EXE wurde verändert
19.09.2008 14:06:29 Die Anwendung IEXPLORE.EXE wurde verändert
19.09.2008 14:07:55 Die Anwendung SVCHOST.EXE wurde verändert
19.09.2008 14:08:20 Die Anwendung SVCHOST.EXE wurde verändert
19.09.2008 14:11:25 Die Anwendung SVCHOST.EXE wurde verändert
19.09.2008 14:14:47 Die Anwendung SVCHOST.EXE wurde verändert
19.09.2008 14:16:46 Die Anwendung SVCHOST.EXE wurde verändert
19.09.2008 14:20:37 Der Versuch von Prozess mit PID 3984 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 332 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
19.09.2008 14:20:38 Der Versuch von Prozess mit PID 1448 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 332 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
19.09.2008 14:22:19 Die Anwendung SVCHOST.EXE wurde verändert
19.09.2008 14:24:30 Die Anwendung SVCHOST.EXE wurde verändert
19.09.2008 14:39:07 Die Verbindung, die von der Anwendung
19.09.2008 14:39:31 Schutz des Computers ist aktiv.

( ich hab kaspersky)

was soll ich jetzt tun??


mfg

 

Kaspersky macht da wohl die Pferde scheu.
svchost.exe wird ständig verändert, weil sie Systemprozesse verwaltet.
Die Datei gibt es auch mehrmals als Prozess.
Das nächste mal kannst du mal im Taskmanager gucken, welcher Prozess genau hinter der PID steckt. http://de.wikipedia.org/wiki/Prozess_ID
Informativer als der Taskmanager ist Process Explorer.
http://technet.microsoft.com/de-de/sysinternals/bb896653.aspx

Im Kaspersky Forum kann man darüber auch etwas lesen
http://forum.kaspersky.com/index.php?showtopic=50050

 

dankeschön erstmal...

aber was ist mit dem archiv hiddenattack???

 

Lass es mal bei www.virustotal.com/de untersuchen.

 

also...
die ham jetzt erstmal nichts gefunden!!...
was soll ich jetzt tun...
weil ich bin mir garrantiert sicher,
das ich nie eine datei namens hiddenattack runtergeladen hab...
und immer wenn ich bestimmte (immer unterschiedliche) prozess starte wird des in den besagten temp ordner reinkopiert...

also ich könntee alle datein löschen die in dem ordner sich, bis auf
jetba5a.tmp wenn ikch die löschen will kommt das die datei ein laufender prozess ist und somit nicht zum löschen geht..
aber in eminem taskmanager steht nichts von so einer datei!!!

 

Mach mal bitte ein Hijackthis-Log.
Die Datei wird im Anhang hoch geladen!

 

der hjyacklog

 

Schädlinge sehe ich das keine.

Du kannst mal alle Temporären Dateien löschen inkl. des "archiv hiddenattack".
http://forum.hijackthis.de/showthread.php?t=22182
"archiv hiddenattack" mal woanders sichern, falls es ein Bestandteil des Spiels ist und dann als fehlend gemeldet wird.
Und dann das Spiel noch mal starten und gucken was passiert. Wenn Kaspersky dann wieder etwas meldet, kannst du das Spiel in die vertraunenswürdige Zone übernehmen, damit es spielbar ist.
Oder ist das Spiel kein Original? Dann könnte es absichtlich manipuliert wurden sein.

 

also...vielen DANK

des spiel funkt jetzt zeigt zwar imme rnoch die meldung an , aber es funkt!!

aber in dem temp ordner sind immer noch versch. detein mit der endung .tmp und die kann ich ent löschen...
und es kommen auch imme rnoch neue datein hinzu wo ich keine ahnung hab wo die herkommen!!!

ich hab jetzt mal versucht die dat mit nem extra programm zu löschen es geht zwar dann aber ines ist icq und die anere dartei firefox teil...
und wenn ich dann den temp ordner wiede röffne sind se wieder da!

 

was mir auch noch sorgen macht ist das:

19.09.2008 18:03:22 Der Versuch von Prozess mit PID 2272 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 1992 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
19.09.2008 18:03:22 Der Versuch von Prozess mit PID 2272 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 1088 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
19.09.2008 18:04:54 Der Versuch von Prozess mit PID 3040 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 1992 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
19.09.2008 18:04:54 Der Versuch von Prozess mit PID 3040 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 1088 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
19.09.2008 18:05:04 Der Versuch von Prozess mit PID 616 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 1992 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
19.09.2008 18:05:04 Der Versuch von Prozess mit PID 616 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 1088 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
19.09.2008 18:05:31 Der Versuch von Prozess mit PID 2580 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 1992 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
19.09.2008 18:05:31 Der Versuch von Prozess mit PID 2580 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 1088 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
19.09.2008 18:05:34 Der Versuch von Prozess mit PID 3496 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 1992 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
19.09.2008 18:05:34 Der Versuch von Prozess mit PID 3496 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 1088 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
19.09.2008 18:05:44 Der Versuch von Prozess mit PID 3268 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 1992 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
19.09.2008 18:05:44 Der Versuch von Prozess mit PID 3268 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 1088 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
19.09.2008 18:06:04 Datei C:\Programme\ICQ6\ConfigFiles\TopSearches.7z//TopSearches.xml: kennwortgeschützt.
19.09.2008 18:06:04 Datei C:\Programme\ICQ6\ConfigFiles\TopSearchesDe.7z//TopSearchesDe.xml: kennwortgeschützt.
19.09.2008 18:06:37 Der Versuch von Prozess mit PID 1852 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 1992 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
19.09.2008 18:06:37 Der Versuch von Prozess mit PID 1852 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 1088 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
19.09.2008 18:06:43 Der Versuch von Prozess mit PID 1220 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 1992 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
19.09.2008 18:06:43 Der Versuch von Prozess mit PID 1220 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 1088 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
19.09.2008 18:12:44 Der Versuch von Prozess mit PID 1924 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 1992 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
19.09.2008 18:12:44 Der Versuch von Prozess mit PID 1924 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 1088 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
19.09.2008 18:12:52 Der Versuch von Prozess mit PID 1744 Zugriff auf den Prozess Kasper

ist das normal?

 

Die Meldung über den Kaspersky Selbstschutz ist normal.
"die Meldungen abstellen und gut ist es"
http://forum.kaspersky.com/index.php?showtopic=25868
ICQ ist kennwortgeschützt, damit da kein unbefugtes Programm Zugriff hat.

 

Die aktuelle Version ist 2.0.2

 

so...
ich hab heute nochmal mein kaspersky durch mein system gejagt,
diesesmal auf höchster stufe!
UND es hat den trojaner

trojanisches Programm Trojan-PSW.Win32.IMMultiPass.ul
c:\windows\standart stealer.exe 728,6 KB
gefunden!!
und konnte den löschen!!! soweit noch alles ok... aber jetzt hab ich nochmals in den temp ordner gekuckt und hab diese narrichten gefunden( im anhang)
da steht das da irgentwas gedownloadet wird...

 

Von Adparatus gibt es ein BHO (Browser Helper Objekt) für den IE, mit dem gezielt Werbung eingespielt wird. So eins habe ich aber nicht im HijackThis-Log gesehen.
Das sieht so aus:

Code:

O2 - BHO: Adparatus - {8B2C7C9D-716D-4e9e-9358-B9C80A81B7ED} - C:\Programme\Adparatus\Adparatus.dll

 

mhm...
kann mir des gefährlioch werden?

mein hijacklog hat des aber nicht gefunden..habs nochmal geskennt

 

mhm ich post nochmal den enuen hijacklog

 

Warum nimmst Du nicht die neuste Version von >>HijackThis<<?

 

so jetzt nochmal den neuuen Hijackthis-Log

aber ioch find imme rnoch nicht die datei

 

Mal im abgesicherten Modus fixen:

Code:

R3 - URLSearchHook: (no name) - - (no file)

Was bedeutet Fixen ?
http://members.linzag.net/680262/HJT/HijackThis.html#Was_bedeutet_FIXEN

 

DANKE!!!
Ich glaube jetzt ist alles wieder in ordnung!!!