Hallo an alle,
ich habe ein problem mit meinem dritten PC,
der gehört eig. meinem Vater allerdings hat der PC sich irgendetwas eingefangen.Der PC lief eine weile unbeaufsichtigt und nach einer Weile
war plötzlich der Firefox(V2) offen mit einer französischen erotik seite.
Ich habe zunächst in der Chronik nachgeschaut und dort war nur diese eine seite zu sehen darauf hin hab ich die "Zurück" funktion gewählt und ich kam auf die google seite wo nach dem stichwort "Frauensex" gesucht wurde, der erste link war auch gleich der, der zu der französischen seite führt.
Das komische war, das schon auf der google seite der Zurückpfeil deaktiviert war(grau) obwohl die startseite von t-online ist!
Da sich in unregelmäßigen abständen auch die maus für etwa 1-2 sekunden nicht mehr bewegen lies kam ich auf den Verdacht eines schädlichen programmes.
Im taskmanager hab ich keine auffälligen programme entdeckt und der Security-Task-manager hat auch nicht gemeckert.
Ist so ein programm schon bekannt???
bitte um schnelle hilfe
MFG

ps: antivir hat trotz aktuellem update nichts gefunden!

Hm und die Seite wurde nicht manuell angesteuert? Wenn man schon das Stirchwort "Frauensex" in einer Googlesuche hört
Poste mal ein Hijackthis-Logfile von der Kiste.

Hallo,
also da ich den PC nicht nutze sondern mein vater und er, naja...kurz gesagt ich trau es ihm zu, aber nichts überstürzen hier die log:
Logfile of HijackThis v1.99.1
Scan saved at 21:13:39, on 01.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Telchi\Lokale Einstellungen\Temp\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Team NRClog.exe] D:\\KingSuperFly Tools\keylogger\sss.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


So, eine weitere bitte, da ich es meinem Vater zutraue hab ich auch eine frage ob man irgendwo einen seriösen Keylogger als freeware erhält der leicht konfigurierbar ist und unauffällig ist damit man ihn nie bemerkt(zur not im taskmanager schon).
MFG

Im Logfile fällt mir dieser Eintrag auf:

Zitat:

O4 - HKLM..Run: [Team NRClog.exe] D:\KingSuperFly Toolskeyloggersss.exe

Ist dir das bekannt? Keylogger? Werte den sonst mal bei Virustotal bzw. Jotti aus.

Zitat:

So, eine weitere bitte, da ich es meinem Vater zutraue hab ich auch eine frage ob man irgendwo einen seriösen Keylogger als freeware erhält der leicht konfigurierbar ist und unauffällig ist damit man ihn nie bemerkt(zur not im taskmanager schon).

Wieso willst du die Tastenanschläge deines Vaters ausspionieren?

Ja, der kommt mir bekannt vor, der war auch gewollt drauf hab mich schonmal auf die suche nach nem keylogger gemacht.
Das ist aber der einzigste überrest, hab auch den sourcecode davon gelesen also war gutartig aber nicht mein geschmack weil der jedes mal beim start ne meldung gemacht hat, wobei wir auch schon beim thema keylogger sind.
Also das problem ist, ich bekomme sowieso immer den Ärger wenn was mit dem PC nit funzt, egal was ist, und der Ärger kommt meist von viren etc. die ja meist auch viel auf solchen schmuddelseiten sind(hab ich gehört wenn dem nciht so ist ist auch egal).Deswegen wollte ich einen keylogger aufspielen damit FALLS mein Vater das macht ich ihm das unter die nase halten kann.
Ich möchte eig. nicht mein privatleben posten^^deswegen glaubt mir einfach das meinem Vater sowas zuzutrauen ist.
Also in der log wurde nichts auffälliges gefunden wieder ein Punkt mehr auf seite "Vater wars" deswegen kennt hier jemand einen seriösen keylogger der getarnt ist?
MFG&und thx

Hi,

Zitat:

einen seriösen keylogger der getarnt ist

das ist ein Widerspruch in sich. Die Möglichkeit, einen Keylogger getarnt und unbemerkt laufen zu lassen, ist ein Merkmal dafür, daß er in die Erkennungen der Virenscanner aufzunehmen ist. Wenn dein Pa nicht bereit ist, Informationen seines Sohnes zur Computer- und Internetsicherheit zu akzeptieren, dann überlass ihm das Problem. Da handelt es sich dann nicht um ein computertechnisches, sondern um ein soziales Problem.

Wenn er eines Tages rausbekommen sollte, daß Du auf seinem Computer einen Keylogger installiert hast, dann dürfte das eine fette Krise bedeuten, zu Recht. Ich mag diese Drecksseiten auch nicht, kann und will aber niemanden verbieten, auf diese Angebote zu stehen. Dann zeig ihm, wie er sein System neu installieren kann.

Gruß, Karl

Ich kann die Geschichte mit dem Keylogger nicht für gutheißen, lass das, damit lassen sich auch Kennwörter ausspionieren - macht man nicht.
Gib ihm lieber eingeschränkte Rechte, damit das System nicht gleich wieder in Mitleidenschaft gezogen wird, wenn er unbedingt Märchenseiten aufrufen muss.
Abgesehen davon surft man grundsätzlich eh nur mit eingeschränkten Rechten.

Ich kann und ewrd auch nicht versuchen hier jemanden zu überreden, allerdings ist mein Vater nicht PC begabt, also surfen und so läuft noch aber mehr auch nicht.Also hat er auch keine geheimen Passwörter weil die alle von mir Verwaltet werden(ebay,mail,etc.) und die, die nicht von mir verwaltet werden sind die benutzerdaten von seiten die keiner kennen darf bzw. den märchenseiten.
Kleiner einwurf des privatlebens:
Seine P****-sammlung hab ich schon gefunden
Also deswegen trau ich ihm auch sowas zu...
Daher sehe ich das nicht als "ausspionieren" o.ä. sondern eher als "Wahrheitsaufdeckung" o.ä.
MFG

"ausspionieren" und "Wahrheitsaufdeckung" können verdammt nah beieinander liegen, siehe auch die Diskussionen über den Polizeitrojaner.

Richte ihm sein System möglichst sicher ein, verbiete am besten die Ausführung des Internet Explorers (Sicherheitrsrichtlinie Softwareeinschränkungen), damit er den nicht benutzen kann. Sorge dafür, daß er das Administratorpasswort nicht kennt. Das HijackThis oben ist übrigens mit Administratorrechten gemacht worden. Also falls das das normale Benutzerkonto war, ist es schon mal verkehrt.

Wie gesagt, mein Vater hat recht wenig ahnung vom PC und würde schon meckern wenn er sich irgendwo anmelden muss da bricht er schon in panik aus, was er jetzt wo eingeben muss und so, und der PC wird auch von meiner mutter benutzt, die strickt gegen mehrere benutzer ist.Ein benutzer muss reichen, und der muss ja normalerweise Admin sein, allerdings halte ich es auczh nicht für nötig ihm die admin rechte zu endziehen weil er die eh nicht komplett ausnutzt.Und der IE ist auf dem system nit mehr installierbar wegen ner alten IE7beta version die das installieren des alten IE6 verhindert deswegen hab ich sowieso Firefox eingerichtet.
Aber ich werde mal euren rat befolgen und firefox eingeschränkt einrichten.
Das mit dem keylogger werd ich wohl auch lassen, es reicht ja wenn es verboten ist auf solche seiten zu gehen.
Kann man bei Firefox solche seiten irgendwie automatisch blockieren?
MFG

Deine Eltern können ja gerne gemeinsam ein Konto mit eingeschränkten Rechten nutzen. Vielelicht wissen sie nichts mit Admin-Rechten anzufangen, die Schreiber der Viren, Würmer, Bots usw. wissen das aber umso mehr. Wenn man sich beim surfen eine Malware ienfängt, dann hat sie erstmal die Rechte des benutzten Kontos. Ist das eingeschränkt, kann sie die meisten bösen Sachen schon mal nicht mehr machen.

Seiten blocken geht schon. Man kann z.B. in der Hosts-Datei Einträge folgender Art anlegen:

Code: Alles auswählenAufklappen

ATTFilter

127.0.0.1 www.boese_seite.com
         

Dann wir der Zugriff auf diese Seite auf localhost (den eigenen Computer) umgeleitet, wo natürlich nichts kommt. Aber: es gibt derartige Mengen schlechte Seiten, und die wechseln andauern, Du würdest kein Ende finden, diese Liste einzurichten (und die Festplatte müßte ziemlich groß sein, um sie aufzunehmen).

Gibt es erweiterungen für Firefox oder ein externes tool welches einmal automatisch reagiert sobald eine solche seite geöffnet wird und zweitens auch sicherheitsmäßig(gefährliche/böse html-scripts/java etc.) reagiert?
Und zweitens wo liegt diese hosts-datei?

Zitat:

Wie gesagt, mein Vater hat recht wenig ahnung vom PC

Irgendwie habe ich das Gefüh, dass dies auf euch beide zutrifft, wenn ich folgendes Zitat lese.

Zitat:

Ein benutzer muss reichen, und der muss ja normalerweise Admin sein, allerdings halte ich es auczh nicht für nötig ihm die admin rechte zu endziehen weil er die eh nicht komplett ausnutzt.

Weisst du auch, dass Schadsoftware die selben Rechte wie der Benutzer hat?

Zitat:

Das mit dem keylogger werd ich wohl auch lassen, es reicht ja wenn es verboten ist auf solche seiten zu gehen.
Kann man bei Firefox solche seiten irgendwie automatisch blockieren?

Im ersten Post schreibst du, dass der PC eigentlich deinem Vater gehört. Was einen Keylogger, oder Einschränkungen gegenüber deinen Vater betreffen, dazu äußere ich mich lieber nicht, denn dabei kann es sich wohl nur um einen Aprilscherz handeln.

Zitat:

der PC wird auch von meiner mutter benutzt, die strickt gegen mehrere benutzer ist

Was ist daran so schlimm, wenn sie nach dem hochfahren auf ihren Kontonamen klicken muss?

Ja weiß ich, hatte ich aber erst auch garnicht mehr bedacht.
Das es noch andere konten gibt die nur bei der auswahl nicht angezeigt werden(Administrator,...) weiß ich auch.

Das mit dem Aprilschertz versteh ich im mom nicht ganz, der PC gehört auch meinem Vater.(Is schon spät und es sind ferien mein Hirn is im mom nit so auf leistung:Þ)

Was daran so schlimm ist weiß ich auch nicht, allerdings hab ich da keinen einfluss drauf, weil es wie gesagt nicht mein PC ist und einfach mir die Admin rechte zuweisen und n Kennwort vorhängen und meinen Eltern ein eingeschränktes Konto zuzuweisen halte ich nicht für die beste lösung.
Aber trotzdem danke für eure bemühungen.
Ich werd mal eingenständig nach erweiterungen oder tools/programmen suchen thx

Zitat:

Zitat von marv93

Das mit dem Aprilschertz versteh ich im mom nicht ganz, der PC gehört auch meinem Vater.(Is schon spät und es sind ferien mein Hirn is im mom nit so auf leistung:Þ)

Na dann schau dir dochmal das Datum an!

Zitat:

Was daran so schlimm ist weiß ich auch nicht, allerdings hab ich da keinen einfluss drauf, weil es wie gesagt nicht mein PC ist und einfach mir die Admin rechte zuweisen und n Kennwort vorhängen und meinen Eltern ein eingeschränktes Konto zuzuweisen halte ich nicht für die beste lösung.

Komisch, da haste Gewissensbisse, hast aber keinerlei Skrupel wenn es um das Ausspähen von Tastatureingaben geht...
Abgesehen davon weiß ich nicht was es DICH angeht, was dein Vater online treibt, das ist allein seine Sache und somit privat! Oder verzichtest du gern auf deine eigene Privatsphäre?

Zitat:

Aber trotzdem danke für eure bemühungen.
Ich werd mal eingenständig nach erweiterungen oder tools/programmen suchen thx

Gib deinem Vater eingeschränkte Rechte und gut ist. Surfen sollte man eh nie mit Adminrechten.
Besorg dir auch ein Imagingtool wie z.B. Norton Ghost oder Acronis True Image. Sollte der Rechner wider Erwarten verseucht oder die Festplatte defekt sein, kann man ohne lange Rumfrickelei das System wiederherstellen.