Uhrzeit ändert sich

Hallo,

neues Forenmitglied (Laie und Computer-Dummie) mit seiner ersten Frage. Hoffe dieses Board ist frei von bösartigen Charakteren , die einen auf arroganteste Art niedermachen, wenn man was nicht kapiert oder nur einen eingeschränkten Computer-Horizont vorweisen kann ( musste mich daher vom CHIP-Forum verabschieden ).

Okay nun das Problem, FALLS es denn eines ist, und FALLS es hier in diese Sparte reingehoert.

Nach massiven problem mit Viren, Droppern etc, die vermutlich dazu geführt haben, das irgendwelchen unbekannten Kräfte meinen ganzen PC überwacht und kontrolliert haben, habe ich mich entschlossen, eine Runderneuerung durchzuführen.
habe jetzt seit 2 Wochen ein neues (original ) Win XP auf englisch (statt auf deutsch, damit mir hier im Ausland auch mal jemand helfen kann wenn was nicht läuft wie es soll), und eine neue Festplatte (es geht um einen Laptop). Habe null und nichts von der alten Festplatte übernommen, kein backup etc.
Wie gesagt, lebe im aussereuropäischen Ausland in einem Land das ein sehr negatives Ranking hat, was Internetfreiheit betrifft (spielt aber jetzt keine Rolle wo, ich sage das nur zur Erläuterung)
So, nun die Geschichte:
Wie schon bei der Nutzung meines alten WinXP mit der alten Festplatte, hat sich nun heute plötzlich die eingestellte Uhrzeit meines Computers verändert, und zwar auf Los Angeles/San Francisco-Zeit.
Ich war am spätnachmittag 2 stunden auf Achse, und jetzt am Abend als ich mich wieder einlogge, ist die Zeit plötzlich geändert. Ich bin aber nicht in den USA, sondern in Asien.

Wie kann das passieren ? Könnte das ein Anzeichen sein, dass sich irgendjemand wieder "Zutritt" zu meinem PC verschafft hat ?
Ich nutze von der ersten Sekunde seit dem Aufspielen des neuen WIN-XP das komplette McAfee-Security Paket (hat mich auch schon einmal bei einer verseuchten asiatischen website durch entsprechende Meldung vor Unheil behuetet, und lasse auch regelmässig, d.h. alle 3-4 Tage, nen Virencheck machen.

Vielleicht bin ich aufgrund der virengeplagten Vergangenheit und der Tatsache, daß sich meine Computerkenntnisse in Grenzen halten, etwas über-paranoid geworden, aber es wäre nett, wenn mir jemand da mal was sachlich und verständlich zu dem Thema sagen könnte.

Besten Dank

okay dann gehe ich jetzt auch mal unter die hijackthis-user... muss mich da aber erstmal bisschen schlau machen, download ist durch und auch entpackt.....
das mit der bios-batterie muesste man mir mal erklären, was das auf sich hat.
die plötzlich auftauchende zeitzone ist ja auch der standort des MS-Headquarters.
vielleicht haben die mal unbemerkt bei mir angeklopft.
updates liefen aber keine, da ich keine automatischen updates zulasse, sondern erst nach entsprechender Eingabe.

Okay, ich lasse grade mal auch einen malwarescan laufen und dann nehme ich die hijackthis-Geschichte in Angriff.

Vorab schon mal vielen Dank für Eure sachliche Unterstützung. Ein guter Beginn hier.

Falls mal im Gegenzug jemand was über Asien wissen will, stehe als virtueller Reiseführer gerne bereit ( off-topic, I know )

BORNEOBUB

zu Postfreggel:
Ja das ist auch mein erster Eindruck und ich bin auch sehr dankbar dafür. deswegen auch mein "fachfremdes" Angebot, da ich leider nicht in der Lage bin, anderen computerrelevante Hilfen zu geben.
Jeder hat halt so sein Stärken und Schwächen, GANZ dumm ist keiner.... na, fast keiner....

Hallo,
hier nun mein Logfile. Bin mal gespannt was die Experten dazu sagen. Übrigens war die auf "sicher-ins_netz" gepostete, bebilderte Hilfe bezüglich des Hijackthis-programs ausgezeichnet und idioten- (ich) sicher. Sogar BORNEOBUB hats kapiert.

Hier nun das logfile:

Logfile of HijackThis v1.99.1
Scan saved at 11:51:10, on 06.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Hallo ROLF,
also dieses Programm von Bluesky hat etwas mit chatsoftware chinesischen ursprungs zu tun.
Als ich diesen speziellen chat genutzt habe, und dazu etwas herunterladen musste, hatte ich mein MCAFEE bereits auf dem Computer und es gab keine Warnung dass da etwas faul sein könnte.
Ich weiss aber von dem QQ Messenger, dass da oft jede Menge spy- und Malware mit auf den computer kommt.
Aus einem ganz bestimmten grund bin ich aber absolut sicher, dass die anfangs beschriebenen Probleme nicht von dieser chatsoftware und gar nicht aus diesem Land kommen.

WHITEKNIGHT, ich versuche mal die Schritte wie von dir beschrieben durchzuführen. ich hoffe ich blicke da durch.
wegen der einzugebenden IP 203.144.207.29 :
Ich weiss nicht ob das eine Rolle spielt, aber ich habe hier keine feste IP. Diese wird bei jedem Einwählen neu vergeben.

okay, ich melde mich dann wieder, danke schon mal

Also ich versuche gerade dieses navilog program laufen zu lassen, wenn ich auf das icon clicke, poppt ein schwarezes Text-window auf und fragt mich nach der gewünschten sprache. als ich dann mit "e" für english un ENTER bestätige, zeigt mir mein McAfee an:

"A suspicious script has been detected"

the file C:\GetPaths.vbs contains suspicious scripting acticity and has ben stopped.

Nur zur Sicherheit bevor ich dieses script zulasse, ist das okay so ? Denn davon steht in der Anleitung nichts.

Hallo,

bevor ich nachfolgend nun die entsprechenden Scan-Ergebnisse einstelle, wollte ich noch bemerken, das mit der Uhrzeit-Verstellung ist gestern abend schon wieder passiert.
Ich war in einem anderen Ort, habe mir dort, da auf meiner neuen Festplatte nicht mehr vorhanden, eine Software für das GPRS-taugliche Handy, das ich dort mal gekauft hatte, wieder neu aufspielen lassen und eine neue SIM-Card zur Nutzung von GPRS (ist hier übrigens spottbillig) erworben.
war dann mit diesem GPRS auf der Rückfahrt im Bus an meinen Wohnort etwa 1 Stunde online. Alles okay.

Als ich dann spätabends wieder an meinem Home-Office über meinen Vertragsprovider und ADSL ins Netz ging, war die Uhrzeit wieder verstellt: Erneut auf US-Westküste, also da wo ich das MS-Hauptquartier sich befindet.

Schon dubios.

So nun hier mal NAVILOG: mit Zeitangabe US-Westküste (o_o)
=================

Search Navipromo version 2.0.5 began on 09.07.2007 at 21:06:23,31

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Program Files\navilog1
Updated on 01.07.2007 at 12h00 by IL-MAFIOSO

Done in normal mode

*** Searching for installed Software ***

*** Search folders in C:\WINDOWS ***

*** Search folders in C:\Program Files ***

*** Search folders in C:\Documents and Settings\All Users\Application Data ***

*** Search folders in C:\Documents and Settings\Frank\Application Data ***

*** Search with BlackLight Engine/F-secure ***
BlackLight Engine is a product of F-secure, for more info:
http://www.f-secure.com/blacklight/blacklight_help.html

F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 07/09/07 at 21:06:24.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items .......................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 07/09/07 at 21:08:30 (return code = 0).

*** Search files ***

*** Search registry keys ***

Search in [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

Search in [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

Search Magic Control Key



*** Complementary Search ***
(Search specifics files)

1)Search known files:

2)Heuristic Search :
*
**
***
****
*****
******
*******
********

3)Certificates Search :

*** Search completed on 09.07.2007 at 21:08:55,52 ***

Und der windows scan hier:

Die 30 neuesten Dateien im Ordner Windows:

09.07.2007 wiadebug.log 20 46:159
09.07.2007 wiaservc.log 20 46:48
09.07.2007 WindowsUpdate.log 20 44:1.061.499
09.07.2007 0.log 20 44:0
09.07.2007 bootstat.dat 20 44:2.048
USB 09.07.2007 ModemLog_Motorola 20 21:14.708
09.07.2007 setupapi.log 17 13:861.737
Systems 09.07.2007 ModemLog_Agere 17 10:5.772
09.07.2007 KB833680.log 16 59:657
09.07.2007 SchedLgU.Txt 11 49:9.304
07.07.2007 Missing.ini 13 42:152
07.07.2007 iltwain.ini 12 42:40
29.06.2007 LEXSTAT.INI 11 46:231
25.06.2007 setupact.log 10 54:168.999
25.06.2007 OEWABLog.txt 10 37:1.178
25.06.2007 wmsetup.log 10 37:1.699
22.06.2007 iis6.log 11 14:80.886
22.06.2007 ntdtcsetup.log 11 14:108.802
22.06.2007 comsetup.log 11 14:182.305
22.06.2007 imsins.log 11 14:1.374
22.06.2007 ocmsn.log 11 14:28.587
22.06.2007 tsoc.log 11 14:199.405
22.06.2007 KB935839.log 11 14:56.470
22.06.2007 ocgen.log 11 14:250.881
22.06.2007 msgsocm.log 11 14:25.900
22.06.2007 FaxSetup.log 11 14:512.333
22.06.2007 imsins.BAK 11 13:1.374


Die 50 neuesten Dateien im Ordner Windows\system32:

09.07.2007 wpa.dbl 20 46:13.646
06.07.2007 Process.exe 19 36:53.248
01.07.2007 jupdate-1.6.0_01-b06.log 16 20:3.969
29.06.2007 perfh009.dat 16 06:392.864
29.06.2007 perfc009.dat 16 06:58.998
29.06.2007 PerfStringBackup.INI 16 06:441.698
22.06.2007 FNTCACHE.DAT 11 38:99.848
22.06.2007 TZLog.log 11 10:122.436
22.06.2007 spupdsvc.inf 11 06:140
22.06.2007 mlfcache.dat 00 42:13.968
21.06.2007 msvcp71.dll 17 49:499.712
21.06.2007 msvcr71.dll 17 49:348.160
21.06.2007 wpa.bak 17 43:13.646
21.06.2007 $winnt$.inf 17 12:261
21.06.2007 CONFIG.NT 17 08:2.577
21.06.2007 amcompat.tlb 17 08:16.832
21.06.2007 nscompat.tlb 17 08:23.392
21.06.2007 logonui.exe.manifest 17 07:488
21.06.2007 WindowsLogon.manifest 17 07:488
21.06.2007 wuaucpl.cpl.manifest 17 07:749
21.06.2007 ncpa.cpl.manifest 17 07:749
21.06.2007 nwc.cpl.manifest 17 07:749
21.06.2007 cdplayer.exe.manifest 17 07:749
21.06.2007 sapi.cpl.manifest 17 07:749
21.06.2007 emptyregdb.dat 17 05:21.640
21.06.2007 h323log.txt 10 00:0
05.06.2007 MRT.exe 23 38:15.747.032
16.05.2007 inetcomm.dll 08 12:683.520
08.05.2007 mshtml.dll 02 24:3.583.488
25.04.2007 schannel.dll 07 21:144.896
25.04.2007 wininet.dll 01 41:822.784
25.04.2007 webcheck.dll 01 41:232.960
25.04.2007 urlmon.dll 01 41:1.152.000
25.04.2007 url.dll 01 41:105.984
25.04.2007 mshtmled.dll 01 41:477.696
25.04.2007 mstime.dll 01 41:670.720
25.04.2007 msrating.dll 01 41:193.024
25.04.2007 occache.dll 01 41:102.400
25.04.2007 msfeedsbs.dll 01 41:52.224
25.04.2007 msfeeds.dll 01 41:459.264
25.04.2007 inetcpl.cpl 01 41:1.824.768
25.04.2007 jsproxy.dll 01 41:27.648
25.04.2007 iertutil.dll 01 41:267.776
25.04.2007 ieframe.dll 01 41:6.058.496
25.04.2007 iernonce.dll 01 41:44.544
25.04.2007 ieaksie.dll 01 41:230.400
25.04.2007 iedkcs32.dll 01 41:384.512


# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

Hallo Whiteknight, habe leider in deinem Post vom 6.7. nicht ganz kapiert, was es damit auf sich hat:

"Oben klicke auf search strings eingeben oder reinkopieren 203.144.207.29 dann klicke auf OK,am Ende Scan Report speichern & hier posten"

WO genau hätte ich auf Search klicken müssen und WO diese IP eingeben ? habe ich was übersehen ?

ah okay, das heisst, das ist dann eiegnbtlich noch ein weiteres, drittes Programm. Einen Link oder Hinweis zum Download dieses STEELWERX Programms hatte ich bislang irgendwie nicht gefunden oder übersehen.
Aber okay, habe es laufen lassen und hier das Ergebnis:

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 09.07.2007 22:59:54 for strings:
; '203.144.207.29'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{406CFF70-CD25-4686-959C-D7EBF071BDC1}]
"NameServer"="203.144.207.29 203.144.207.49"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{406CFF70-CD25-4686-959C-D7EBF071BDC1}]
"NameServer"="203.144.207.29 203.144.207.49"

; End Of The Log...

SO, ICH GLAUBE ICH HABE JETZT ALLES. BIN MAL GESPANNT WAS DIE EXPERTEN DAZU SAGEN