Moin Leute!

Ich habe ein ordentliches Problem:

Nachdem ich im Oktober 2004 bereits als Tatverdächtiger wegen einer Bombendrohung zur Polizei geladen wurde, erhielt ich vom Gericht gestern eine Anklageschrift.

Zwar wurde die Bombendrohung per Brief verschickt (meine Fingerabdrücke sind nicht drauf, dafür jede Menge andere), aber es ist über den Online-Dienst www.faxen-online.de ein Geständnis an die Staatsanwaltschaft in meinem Namen verschickt worden.
Die StA (Staatsanwaltschaft) hat dann noch eine genauere Überprüfung durchgeführt und festgestellt, dass das Fax über www.faxen-online.de von meiner IP-Adresse aus verschickt wurde (zur Info: ich habe nur ein 56K Modem und da kann man ja von der IP direkt auf den Telefonanschluss schließen).
Die Ermittler haben dann festgestellt, dass halt die IP,über welche das Geständnis an die StA geschickt wurde, meinem Telefonanschluss zugeordnet war.
Nun sagt das Gericht, dass ja ein detailliertes Geständnis nur vom Täter abgelegt werden konnte.
Und das bin wegen des Geständnisses ICH!

Aber ich habe überhaupt keinen Bezug zu der Schule wo die Drohung war.
Am Tag der Bombendrohung war ich nachweislich 120 Kilometer weit vom Tatort entfernt!
Das stört die StA nicht, denn mein Geständnis ist ja über einen "technischen Beweis" verifiziert worden.

Ich gehe also mal davon aus, dass in meinem System, trotz AV-Software, ein Trojan sitzt.
Mein Virenscanner findet nix, aber irgendwo muss da ja jemand zugriff auf meinen PC gehabt haben.
Also meine Fragen:

1. Wie kann es sein, dass jemand meinen PC komplett übernimmt und für illegale Handlungen sogar meine IP "kapern" kann?
2. Wie finde ich den Trojan?
3. Was mache ich dann damit?

Also das ist ein ernstes Thema jetz,zumindestens das krasseste was ich hier lese!

Poste bitte ein Logfile von HijackThis hier her!

Download und Anleitung unter http://filepony.de/download-hijackthis/

Da ich aus dem Jura Bereich komme,solltest du,wenn ich nicht mehr online sein sollte,die Festplatte in dem Zustand lassen wie sie ist,auch als Hinweis für die anderen Helfenden hier!

Dies dient der Beweissicherung für die Polizei und vor Gericht!


Gruss

Anwalt einschalten.

Hier ist der Log!

Logfile of HijackThis v1.99.0
Scan saved at 18:53:15, on 03.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
E:\Programme\Norton AntiVirus\navapsvc.exe
E:\Programme\Norton AntiVirus\SAVScan.exe
E:\WINDOWS\system32\sdpasvc.exe
E:\WINDOWS\system32\SLEE503.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LMPDPSRV.EXE
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
E:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
E:\Programme\Logitech\iTouch\iTouch.exe
E:\WINDOWS\system32\devldr32.exe
E:\WINDOWS\Dit.exe
E:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\Messenger\msmsgs.exe
E:\Programme\Steganos Security Suite 6\spm.exe
E:\Programme\WinZip\WZQKPICK.EXE
E:\Programme\Microsoft Office\Office\OSA.EXE
E:\Programme\OnlineCounter 2004\OnlineCounter.exe
E:\Programme\Lexmark X125\LEX125SU.exe
E:\WINDOWS\hpbtbqab.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\PROGRA~1\WINZIP\winzip32.exe
E:\Dokumente und Einstellungen\Thorsten\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - E:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - E:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [LMPDPSRV] E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LMPDPSRV.EXE
O4 - HKLM\..\Run: [ccApp] "E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] E:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [EM_EXEC] E:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] E:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] E:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] E:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\RunServices: [WinLoader] hpbtbqab.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SSS6_SPM] "E:\Programme\Steganos Security Suite 6\spm.exe" /booting
O4 - Startup: OnlineCounter 2004-Autostart.lnk = E:\Programme\OnlineCounter 2004\OnlineCounter-Autostart.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = E:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = E:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = E:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = E:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://e:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://e:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://e:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://e:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - E:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/ClickYesToContinue/ie/bridge-c14.cab
O23 - Service: Symantec Event Manager - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - E:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - E:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - E:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SDPAUMS server service - Matsushita Electric Industrial Co.,Ltd. - E:\WINDOWS\system32\sdpasvc.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] - Unknown - E:\WINDOWS\system32\SLEE503.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Mach einen escan im abgesicherten Modus,geh dazu nach dieser Anleitung vor http://www.trojaner-board.de/42731-escan-anleitung.html

Lösche aber nichts!!

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)


Der Scan dauert mindestens 1 Stunde!

Ich nehme an, du nutzt zur Zeit einen anderen als den betroffenen Rechner.

Wenn nicht,
falls du da einen Trojaner drauf hast, mit Hilfe dessen das Fax geschickt wurde dann solltest du den Rechner sofort vom Netz nehmen. Willst du weitere Zugriffe auf deinen Rechner ermöglichen ?

Paß bloß auf das du kein Beweismaterial vernichtest.

Kannst du dir sicher sein das niemand deinen Rechner vor Ort gestartet hat ?


Domino

War kein anderer dran.

Das hier ist ein anderer PC.

Zitat:

Zitat von MrEvil

War kein anderer dran.

Das hier ist ein anderer PC.

Du musst schon ein Log und einen escan von dem betroffenen Rechner aus machen,sonst ist das hier alles sinnlos!

Solltest zudem einen Anwalt einschalten,der sich im Internetrecht auskennt!


Gruss

das muss nicht unbedingt ein trojaner sein.
es könnte jemand deine zugangsdaten haben und damit das fax verschickt haben...

Zitat:

Zitat von Bolivar di Griz

das muss nicht unbedingt ein trojaner sein.
es könnte jemand deine zugangsdaten haben und damit das fax verschickt haben...

Bei einem 56k Modem bezweifel ich das sehr!

Zitat:

War kein anderer dran.

Lässt eigentlich auf nichts anderes schliessen!

Zitat:

Zitat von MrEvil

Hier ist der Log!

E:\WINDOWS\system32\SLEE503.exe
E:\WINDOWS\system32\devldr32.exe
E:\WINDOWS\Dit.exe
E:\WINDOWS\hpbtbqab.exe

O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\RunServices: [WinLoader] hpbtbqab.exe

diese exe files halte ich für malware.
und hpbtbqab.exe sieht sehr verdächtig nach dem subseventrojaner aus.
der eintrag "winloader" unter Runservices lässt darauf schließen...

wir werden bald gewissheit haben.
lass die datei hpbtbqab.exe im ordner c:\windows mal bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis.

@all

liest diesen link mal durch
http://board.protecus.de/showtopic.p...4517&pagenum=2

EOD
chaosman

interessant. der gewöhnliche subseven wird offensichtlich für weit mehr als nur n bissal daten klauen benutzt.
damit isses wohl auch bestätigt; ein subseven auf dem pc. das was in dem link steht, sollte wohl in diesem fall getan werden.

Also s7 ist ja nun kein Tool was man sich bereitwillig auf den rechner zieht,die Zeiten sind eindeutig vorbei,jeder Virenscanner in der jetzigen Zeit sollte einen s7 Server plätten.Vor allem verbreitet sich s7 seit Jahren eigentlich nicht mehr selbständig(meine Meinung)

Daher vermute ich jetzt mal,das s7 bewusst installiert wurde/ausgeführt wurde!

Wie auch immer,HD(Festplatte) sichern und ab zur Polizei damit!


Gruss