Hallo, ich habe ein Problem auf meinem Rechner, welches ich offensichtlich nicht lösen kann. Ich habe Grund zu der Annahme, dass irgendjemand Zugriff auf meinen Rechner hat, obwohl ich keinen Trojaner finden kann. Da werden dann (u.a) gezielt meine Sicherungsmassnahmen (AV-Programme etc) manipuliert. Teilweise recht geschickt: so wurde mir z.B. lange die Updates der Virendatenbanken nur vorgegaukelt. Backup-Programme werden teilweise so zerstört, dass selbst eine Neuinstallation nicht weiterhilft. Mit das Schlimmste: nachdem ich kurz im Netz bin (ca. 90 Sekunden) wird die Übertragungrate "gedrosselt", gerne mal auf 29B/sec o.ä.. Manchmal finde ich beim Hochfahren (allerdings nur bei erzwungenem Kaltstart) Dateien in einem "unzugeordneten cluster". Wenn ich mir die anschaue, sehe ich Sachen wie: die von mir gesuchten Seiten im Netz, eine Aufzählung meiner firewall, AV-Programm etc. Termen wie "Lowering of the DTR" (DTR = Data Transfer Rate?), in letzter Zeit aber alles verschlüsselt. Bei jedem Hochfahren will sich folgendes in die registry schreiben:
HKEY=HKEY_CLASSES_ROOT
PATH=vbsfile\shell\open\command
NAME=
DATA=
dies lasse ich regelmässig nicht zu, für mich als Newbie sieht das wie der Versuch eines buffer overflows aus.
Und nun wird's vollkommen paranoid: es ist gut möglich und sogar wahrscheinlich, dass sich ein Nachbar (hier wohnen ein paar Dunkelmänner, die für einen staatlichen Dienst, den ich hier nicht nennen will, arbeiten und sich von mir bedroht fühlen) "physikalisch" durch Anzapfen meiner Telefonleitung mit mir vernetzt haben.
Ist dies möglich? Ich habe schon x-mal alles neuinstalliert, sogar ein low-level Format getätigt, alles für die Katz. Hat irgendjemand schon mal Ähnliches gehört. Gibt es Erfahrungen mit "Predator" oder "Magic Lantern"?

hi Nubul,
Willkommen an Board!
Ein Paar Fragen:
Was für:
1. Betriebssystem
2. AntiVirus-Prog
3. Firewall
hast du? Gibt es irgendwelche "verdächtige" Einträge im Traffic-Protokoll von FW? Kannst du die mit Whois zurückverfolgen?
Hier noch ein Paar Links, die für dich nützlich seien könnten:
PCFlank-Trojan- und Portscanner
GFI-Trojanscanner
AV-Online Scanner
StartUp-Manager

[ 06. Juli 2003, 15:15: Beitrag editiert von: Rene-gad ]

Hi,

</font><blockquote>Zitat:</font><hr />Original erstellt von Nubul:
Und nun wird's vollkommen paranoid: es ist gut möglich und sogar wahrscheinlich, dass sich ein Nachbar (hier wohnen ein paar Dunkelmänner, die für einen staatlichen Dienst, den ich hier nicht nennen will, arbeiten und sich von mir bedroht fühlen) "physikalisch" durch Anzapfen meiner Telefonleitung mit mir vernetzt haben.
Ist dies möglich? Ich habe schon x-mal alles neuinstalliert, sogar ein low-level Format getätigt, alles für die Katz. Hat irgendjemand schon mal Ähnliches gehört. Gibt es Erfahrungen mit "Predator" oder "Magic Lantern"? </font>[/QUOTE]Ja, klar doch. Falls du das ernst meinst, wäre vielleicht mal ein Erfahrungsaustausch mit Kato und mit Tupac570 sinnvoll.

Ansonsten: nach LowLevel-Formatierung ist Schicht im Schacht. Da überlebt nichts, wir hatten hier schonmal diese Diskussion, s. 1. Link.
Ich glaube nicht, dass deine Nachbarn dein Telefonleitung angezapft haben, es sei denn, du hättest richtig "Dreck am Stecken". Ein kleiner Autonomer, Hausbesetzer oder PDS-Mitglied ist für Geheimdienste und Staatsschützer eher uninteressant [img]graemlins/lach.gif[/img]
Sollten solche Behörden Schnüffelprogramme einsetzen, wirst du das mit deinen Bordmitteln (ZA & Co) nicht mitbekommen.

Gruß
Der

Hi Rene-gad,
ich benutze 98, nicht mehr SE. Als AV benutze ich AVG (ich weiss, es gibt bessere, für mich eine Kostenfrage, bin arm), Firewall sygate 4.2 prof. und Trojancheck 5. Was dauernd ins Netz will und von mir unterbunden wirdob's verdächtig ist, weiss ich nicht) nennt sich : Kernkomponente des Windows-BS kernel 32.dll und "Distributed COM Services:C:\Windows\System\RPCSS.exe". LexPPS.exe habe ich entfernt. Browser: Opera 7.11 und Firebird 0.6. Bei Opera will dann mal gerne was bei port 1024 oder 1034 raus. (nennt sich mal FADMIN - F........ oder ähnliches, immer verschieden). Ich muss es mir mal aufschreiben, mache ich nämlich ein rule, geht Opera gar nicht mehr. Gehe ich mit Firebird irgendwohin, muss ich erstmal zulassen, dass von port 53 (DOMAIN Domain Name Server) etwas an 62.225.251.16 (=Telekom, ich gehe aber nicht mit denen ins Netz) rausgeht. Unterbinde ich dies, geht nix mehr. Besonders enervierend ist das surfen Sonntags.
Gruss Nubul

Hi,
du kannst ja auch mal OnlineScanner von Trendmicro, www.RavAntiVirus.com oder mcafee freescan probieren (besser IE benutzen; Systemanforderungen beachten !!)

Vor allem RAV sollte für dein Problem etwas besser geeignet als AVG sein..

(@all: Scannt Freescan auch - so einigermaßen befriedigend wie die Desktop-Version - LZK-Dateien ?)

Hallo Hirsch,
selbstverständlich habe ich (zumindest momentan) keinen "Dreck am Stecken". Falls es was mit'm Dienst zu tun hat, ist das auch nicht "offiziös", sondern eher eine persönliche Sache. Zwischen den Zeilen wurde mir gesteckt: eine dieser "Ratten" hat es persönlich auf mich abgesehen, will mich hier wegmobben. Die Quälereien am PC sind da nur ein Teil. Wie ich es sehe: ein alltäglicher Nachbarschaftshader mit einem Zuträger, der beim Dienst die Pferde scheu macht, oder einen "Kollegen" bittet, ihm mit "Bordmitteln" ein bisschen zu helfen. Das Ganze ist ein halber Roman, vielleicht wird's ja auch mal einer. Aber manchmal ist die Realität so überzogen, dass man es keinem erzählen kann, klingt einfach zu unglaubwürdig und soll es ja dann auch.
Das mit dem lowlevel-format ist schon eine ganze Zeit her, vielleicht mache ich das bemnext nochmal.
Wer sich hier übrigens für die "Spielereien" der Dienste interessiert: www.totalitaer.de.
Gruss Nubul

@Nubul
AVG ist kein schlechtes Programm, ich kenne auch die Profis, die es benutzen. Die Sache, dass es kein cent kostet, macht das Programm weder schlechter, noch besser (s. im Board die Tadel-Berichte von NAV, z.B.). Allerdungs würde ich den Online-Scan mit Bitdefender vorschlagen (Link s.o.), vorher Echtzeitscanner von AVG abschalten, Temp+Cache+Papierkorb leern, Registry säubern (JV16 Link s.u.), und ein Paar Tests von PCFlank (Port -und Trojan). wenn du doch nix findest - dann würde ich die Daten sichern und System neu booten, am besten - komplett format c:\ mit fdisk (die neuen Partitionen erstellen).

Hallo Herr Bott!
</font><blockquote>Zitat:</font><hr />Original erstellt von Nubul:
Wer sich hier übrigens für die "Spielereien" der Dienste interessiert: www.totalitaer.de.</font>[/QUOTE]VORSICHT, TROLLALARM!!!1! [img]graemlins/pfui.gif[/img]

@ Dr Prantl: Hallo, weder heisse ich Bott noch weiss ich, was ein Trollalarm ist. Bitte um Aufklärung.

In unregelmäßigen Abständen postet jemand hier derartigen Bullshit und verlinkt auch auf die von dir verlinkte Seite.

@ Dr Prantl: Also wenn Sie das, was ich hier anfrage als bullshit bezeichnen, sind Sie für mich halt ein Ignorant oder ein der Desinformation verpflichteter gesellschaftlicher Mitarbeiter.

Du bezeichnest dich als Newbie und wirfst trotzdem mit fachlichen Termini um dich. Du meinst, daß deine Datenübertragung gedrosselt wird? Wie willst du das festgestellt haben? Woher weißt du, daß jemand was in deine Registry schreibt? Warum vermutest du irgendwelche Dunkelmänner? Wie soll etwas ein LowLevel-Format überleben? Wie kommst du auf MagicLantern? Außerdem verlinkst du auf totalitaer.de... Solche Stories hatten wir hier schon zuhauf. Ein Schelm, wer diesmal Arges vermutet....

doc"ein der Desinformation verpflichteter gesellschaftlicher Mitarbeiter"prantl

Hab ich's doch geahnt... [img]tongue.gif[/img]

Hier bringe ich jetzt mal ein Beispiel, was in diesen "unzugeordneten cluster" abgespeichert wird. Vielleicht sagt es ja irgendjemand was.

00000000 00080000 00000000 00000003 00000000 0000000000000003 0000001E
00000069 01C343F7FB8227A0 12070201 00000000 00000000 00000000 Sygate Personal Firewall Pro 4.2.872 smc
0000006A 01C343F7FBACE120 12070202 00000000 00000000 00000000 Start Sygate Personal Firewall Pro... smc
00000073 01C343F8007C4380 12070202 00000000 00000000 00000000 Sygate Personal Firewall Pro has been started. smc

12:8:36 delete trident config...
12:8:36 delete netport...
12:8:36 Netport Manager thread stopped!
12:8:36 delete Wps...
12:8:36 Disable damper...
12:8:36 Open stop event
12:8:36 Kill Timer: 1024
12:8:36 end gui thread
12:8:36 save sys config.
12:8:36 sys config has been saved.
12:9:57 STD version!!!
12:10:4 TeeferOpen Mem=1024 NIC=0000...12:10:5 Success
12:10:5 TSE is located at: D:\PROGRAMME\SYGATE\SPF\
12:10:6
============ Network Interface List =========
12:10:6 =============================================
12:10:6 TSE started.
12:10:6 Use new Config... 45177
12:10:6 Apply Config... 45177
12:10:7 ULD: uld file initialized, total: 0
12:10:8 Switch To New Location... 46359
12:10:8 Apply Config... 46359
12:10:8 ULD: uld file initialized, total: 0
12:10:8 Start TridentEngine... 46364
12:10:8 initial service success
12:10:16 STD version!!!
12:10:16 -start
12:10:16 command line has been handled
12:10:16 handle showgui event
12:10:16 create gui thread
13:35:18 STD version!!!
13:35:30 TeeferOpen Mem=1024 NIC=0000...13:35:30 Success
13:35:30 TSE is located at: D:\PROGRAMME\SYGATE\SPF\
13:35:30
============ Network Interface List =========
13:35:30 =============================================
13:35:30 TSE started.
13:35:30 Use new Config... 42237
13:35:30 Apply Config... 42237
13:35:31 ULD: uld file initialized, total: 0
13:35:31 Switch To New Location... 42759
13:35:31 Apply Config... 42759
13:35:31 ULD: uld file initialized, total: 0
13:35:31 Start TridentEngine... 42761
13:35:31 initial service success
13:35:43 STD version!!!
13:35:43 -start
13:35:44 command line has been handled
13:35:44 handle showgui event
13:35:44 create gui thread
19:14:23 STD version!!!
19:14:29 TeeferOpen Mem=1024 NIC=0000...19:14:29 Success
19:14:29 TSE is located at: D:\PROGRAMME\SYGATE\SPF\
19:14:29
============ Network Interface List =========
19:14:29 =============================================
19:14:29 TSE started.
19:14:29 Use new Config... 34314
19:14:29 Apply Config... 34314
19:14:29 ULD: uld file initialized, total: 0
19:14:29 Switch To New Location... 34716
19:14:29 Apply Config... 34736
19:14:29 ULD: uld file initialized, total: 0
19:14:29 Start TridentEngine... 34740
19:14:29 initial service success
19:14:51 STD version!!!
19:14:51 -start
19:14:52 handle showgui event
19:14:52 create gui thread
19:14:52 command line has been handled
19:14:57 Message Console fail to get system log from sylog, the log id is 7201


Wichtig wäre für mich auch mal etwas über dieses ominöse vbsfile (s.o.) zu erfahren.

</font><blockquote>Zitat:</font><hr />Original erstellt von Nubul:

Wichtig wäre für mich auch mal etwas über dieses ominöse vbsfile (s.o.) zu erfahren. </font>[/QUOTE]Welches vbsfile? Ich erkenne in den Logs kein VBS File?
Ausserdem ist das das normale Logfile der Sygate Firewall. Das zeigt den Start und den Beendenvorgang dieser, sofern ich das jetzt am frühen Morgen richtig erkenne.

Lucky