Hallo an alle,
ich habe ein problem mit meinem dritten PC,
der gehört eig. meinem Vater allerdings hat der PC sich irgendetwas eingefangen.Der PC lief eine weile unbeaufsichtigt und nach einer Weile
war plötzlich der Firefox(V2) offen mit einer französischen erotik seite.
Ich habe zunächst in der Chronik nachgeschaut und dort war nur diese eine seite zu sehen darauf hin hab ich die "Zurück" funktion gewählt und ich kam auf die google seite wo nach dem stichwort "Frauensex" gesucht wurde, der erste link war auch gleich der, der zu der französischen seite führt.
Das komische war, das schon auf der google seite der Zurückpfeil deaktiviert war(grau) obwohl die startseite von t-online ist!
Da sich in unregelmäßigen abständen auch die maus für etwa 1-2 sekunden nicht mehr bewegen lies kam ich auf den Verdacht eines schädlichen programmes.
Im taskmanager hab ich keine auffälligen programme entdeckt und der Security-Task-manager hat auch nicht gemeckert.
Ist so ein programm schon bekannt???
bitte um schnelle hilfe
MFG

ps: antivir hat trotz aktuellem update nichts gefunden!

Hm und die Seite wurde nicht manuell angesteuert? Wenn man schon das Stirchwort "Frauensex" in einer Googlesuche hört
Poste mal ein Hijackthis-Logfile von der Kiste.

Hallo,
also da ich den PC nicht nutze sondern mein vater und er, naja...kurz gesagt ich trau es ihm zu, aber nichts überstürzen hier die log:
Logfile of HijackThis v1.99.1
Scan saved at 21:13:39, on 01.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Telchi\Lokale Einstellungen\Temp\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Team NRClog.exe] D:\\KingSuperFly Tools\keylogger\sss.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


So, eine weitere bitte, da ich es meinem Vater zutraue hab ich auch eine frage ob man irgendwo einen seriösen Keylogger als freeware erhält der leicht konfigurierbar ist und unauffällig ist damit man ihn nie bemerkt(zur not im taskmanager schon).
MFG

Im Logfile fällt mir dieser Eintrag auf:

Zitat:

O4 - HKLM..Run: [Team NRClog.exe] D:\KingSuperFly Toolskeyloggersss.exe

Ist dir das bekannt? Keylogger? Werte den sonst mal bei Virustotal bzw. Jotti aus.

Zitat:

So, eine weitere bitte, da ich es meinem Vater zutraue hab ich auch eine frage ob man irgendwo einen seriösen Keylogger als freeware erhält der leicht konfigurierbar ist und unauffällig ist damit man ihn nie bemerkt(zur not im taskmanager schon).

Wieso willst du die Tastenanschläge deines Vaters ausspionieren?

Ja, der kommt mir bekannt vor, der war auch gewollt drauf hab mich schonmal auf die suche nach nem keylogger gemacht.
Das ist aber der einzigste überrest, hab auch den sourcecode davon gelesen also war gutartig aber nicht mein geschmack weil der jedes mal beim start ne meldung gemacht hat, wobei wir auch schon beim thema keylogger sind.
Also das problem ist, ich bekomme sowieso immer den Ärger wenn was mit dem PC nit funzt, egal was ist, und der Ärger kommt meist von viren etc. die ja meist auch viel auf solchen schmuddelseiten sind(hab ich gehört wenn dem nciht so ist ist auch egal).Deswegen wollte ich einen keylogger aufspielen damit FALLS mein Vater das macht ich ihm das unter die nase halten kann.
Ich möchte eig. nicht mein privatleben posten^^deswegen glaubt mir einfach das meinem Vater sowas zuzutrauen ist.
Also in der log wurde nichts auffälliges gefunden wieder ein Punkt mehr auf seite "Vater wars" deswegen kennt hier jemand einen seriösen keylogger der getarnt ist?
MFG&und thx

Hi,

Zitat:

einen seriösen keylogger der getarnt ist

das ist ein Widerspruch in sich. Die Möglichkeit, einen Keylogger getarnt und unbemerkt laufen zu lassen, ist ein Merkmal dafür, daß er in die Erkennungen der Virenscanner aufzunehmen ist. Wenn dein Pa nicht bereit ist, Informationen seines Sohnes zur Computer- und Internetsicherheit zu akzeptieren, dann überlass ihm das Problem. Da handelt es sich dann nicht um ein computertechnisches, sondern um ein soziales Problem.

Wenn er eines Tages rausbekommen sollte, daß Du auf seinem Computer einen Keylogger installiert hast, dann dürfte das eine fette Krise bedeuten, zu Recht. Ich mag diese Drecksseiten auch nicht, kann und will aber niemanden verbieten, auf diese Angebote zu stehen. Dann zeig ihm, wie er sein System neu installieren kann.

Gruß, Karl

Ich kann die Geschichte mit dem Keylogger nicht für gutheißen, lass das, damit lassen sich auch Kennwörter ausspionieren - macht man nicht.
Gib ihm lieber eingeschränkte Rechte, damit das System nicht gleich wieder in Mitleidenschaft gezogen wird, wenn er unbedingt Märchenseiten aufrufen muss.
Abgesehen davon surft man grundsätzlich eh nur mit eingeschränkten Rechten.