Hi,

ich habe seit einiger Zeit den Verdacht, dass mein PC (kein Netzwerk, ledgl. DSL Flatrate (oft online)) von "Bekannten" gezielt ausspioniert wird.

Kann das extern also ohne Zugriff von innen überhaupt so einfach gemacht werden (ich meine gezielt bei mir). Hatte schon oft Trojaner Spyware etc. auf der Platte, die die entsprechenden Virenprogramme gefunden haben.

Dann mein weiteres Problem, vor einiger Zeit hatte jemand ca. 15 Minuten vollen Zugriff auf meinen PC. Ich habe gelesen, dass es im Handel bestimmte auch für Laien bedienbare Spionageprogramme gibt, die nur installiert werden zu brauch und dann Tastaturfolgen und alles Mögliche aufzeichen und diesen Daten dann im Paket unbemerkt an eine gewünschte Mail Adresse versenden, wenn man online ist. Wie kann ich das Erkennen (habe wirklich den dringenden Verdacht)??????????

Vielen Dank für eine schnelle Hilfe....

@hansII
poste ein logfile von HJT download hier
falls du ein antivirenscanner hast, dann gehe in den abgesicherten modus und scannen. http://www.trojaner-board.de/63335-w...s-starten.html

poste dann vom normalen modus ein HJT logfile, poste auch die eventuell gefundenene ergebnisse

chaosman

Poste erstmal ein HijackThis Logfile ins Forum.
Wenn tatsächlich jmd. vollen Zugriff auf dein System hatte gibts nur eins -> http://www.trojaner-board.de/showpos...28&postcount=2

Zitat:

Dann mein weiteres Problem, vor einiger Zeit hatte jemand ca. 15 Minuten vollen Zugriff auf meinen PC.

Woher weißt du das?

Zitat:

Ich habe gelesen, dass es im Handel bestimmte auch für Laien bedienbare Spionageprogramme gibt, die nur installiert werden zu brauch und dann Tastaturfolgen und alles Mögliche aufzeichen und diesen Daten dann im Paket unbemerkt an eine gewünschte Mail Adresse versenden, wenn man online ist

Ja es gibt tatsächlich solche Programme, die praktisch ohne Vorkenntnisse verwendet werden können.

Zitat:

ich habe seit einiger Zeit den Verdacht, dass mein PC (kein Netzwerk, ledgl. DSL Flatrate (oft online)) von "Bekannten" gezielt ausspioniert wird.

Nette Freunde hast du da (wenns denn so ist).

Das jemand ungestört Zugriff auf meinen PC hatte, weiss ich natürlich weil ich Ihn gelassen habe (definitiv) und den Raum verlassen hatte!! Tja war zwar blöd von mir, aber ich bin mir wirklich sicher.

Ich vermute wirklich, dass er mir eine von Ottonormalverbraucher nutzbare Spyware installiert hat. Er ist zwar kein Profi, aber jemand anderes könnte ihn beraten haben. Um diese Diagnose gehts mir. Werden diese Programme auch von Virenscannern erkannt????

Ich verwende Antivir, a sqared two und Pestpatrol. Hatte auch mal einige Zeit Ärger mit dem BDS Agent, wie es hier ja viele haben. Ich glaube persönlich aber eher, dass auf meinem PC etwas lokal installiert wurde.

Mit Hi Jack kenne ich mich leider nicht aus.....

@hansII
HJT anleitung
hier
um dir helfen zu können brauchen wir ein logfile
chaosman

Dank Euch.

Habe jetzt mal ein HJK... erstellt:

Logfile of HijackThis v1.98.2
Scan saved at 22:20:50, on 23.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sstray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\mHotkey.exe
C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
C:\Programme\CyberLink\PowerVCRII\Agent.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\winupdate.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Winamp3\Winampa.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\Logitech\iTouch\kbdtray.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Winamp3\winamp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 5.0\Acrobat\Acrobat.exe
C:\Programme\Gemeinsame Dateien\Adobe\Web\AOM.exe
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Meine empfangenen Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://out.true-counter.com/b/?656387 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://itseasy.us/browser/
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://out.true-counter.com/b/?656387 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://search.unipages.cc/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\system32\search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = C:\WINDOWS\system32\searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://itseasy.us/browser/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://itseasy.us/browser/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://yourbookmarks.info/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://itseasy.us/browser/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.enhancedSearch.com/sidesearch.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://itseasy.us/browser/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://yourbookmarks.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://itseasy.us/browser/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://out.true-counter.com/b/?656387 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://findloss.com/srchasst.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchxp.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://itseasy.us/browser/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://itseasy.us/browser/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://findloss.com/srchasst.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://findloss.com/home.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://www.fastwebfinder.com/hp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://www.unipages.cc/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
F1 - win.ini: run=info32.exe
O1 - Hosts: 207.68.176.190 auto.search.msn.com
O1 - Hosts: 207.68.176.190 www.auto.search.msn.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFAD} - (no file)
O2 - BHO: (no name) - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFAF} - (no file)
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [IW Controlcenter] C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
O4 - HKLM\..\Run: [Agent] C:\Programme\CyberLink\PowerVCRII\Agent.exe
O4 - HKLM\..\Run: [Remote_Agent] C:\Programme\CyberLink\PowerVCRII\RemoteAgent.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\winupdate.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\Winampa.exe"
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 4.0\THGuard.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Update] C:\WINDOWS\winupdate.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {7F241C00-DAB6-11d5-AAA8-0001028DF1BC} - file://C:\Programme\websearch\System\Temp\ebates_script0.htm (file missing) (HKCU)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {AB1E62EB-3DE3-428F-A417-64AB3C9B6CF0} - http://econnect.libereco.net/econnect.cab
O19 - User stylesheet: C:\WINDOWS\Web\oslogo.bmp


Ich verstehe da leider nicht viel von...

Scanne mal

C:\WINDOWS\winupdate.exe

hier: http://virusscan.jotti.org/de

Ist wahrscheinlich ein mail-worm, aber trotzdem.

@mountainking

Vielen Dank hab ich getan. Die von Dir genannte HP hat gesagt, dass es sich bei der Datei um malware handelt.

Wie entferne ich dass jetzt????