Hallo,
ich war mal in ICQ drin und habe neben bei mit Firefox gesurft. Am nächsten Tag konnte mir dann ein ICQ kontakt genau sagen was ich gemacht habe. Ist das möglich, wenn ja wie geht das oder was muss ich machen dass sowas nicht geht.

mfg Truman2

Vllt hast du bei Dir im System ein rootkit drin. Damit ist rein theoretisch alles möglich. Der pöhse "Hacker" kann dann alles sehen was du machst, Deinen PC fernsteuern und und und...
Poste mal so ein HijackThis logfile damit könnte man für den Anfang schon was sehen.

Dnake für die schnellen Antwort.

hier ist die Log File:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:57:02, on 15.02.2008
Platform: Windows XP SP3, v.3264 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\Programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\FRITZ!\Friweb32.exe
C:\Programme\S.A.D\CyberGhost VPN\cyberghost.exe
C:\Programme\S.A.D\CyberGhost VPN\openvpn.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Andre\LOKALE~1\Temp\Rar$EX00.406\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.daemonsearch.com/intl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1199482212921
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1199482186234
O17 - HKLM\System\CCS\Services\Tcpip\..\{02CDD380-7190-47CB-83F3-859C5828BE13}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{02CDD380-7190-47CB-83F3-859C5828BE13}: NameServer = 192.168.120.252,192.168.120.253
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: CyberGhost VPN Client (CGVPNCliSrvc) - mobile concepts GmbH - C:\Programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe

--
End of file - 9040 bytes

Zitat:

Platform: Windows XP SP3, v.3264 (WinNT 5.01.2600)

Deine Updatewut in Ehren, aber wieso installierst Du jetzt schon das SP3? Das ist noch in der Testphase und somit "nur" ein Release Candidate. Oder bist du Betatester?

Zitat:

C:\Programme\Sygate\SPF\smc.exe

Hmhm..ich will hier nicht über Sinn und Unsinn von PFWs streiten...aber wenn Du meinst nicht ohne eine auskommen zu können dann solltest du keine nehmen, bei der die Entwicklung schon seit 2,5 Jahren eingestellt ist. Eine veraltete PFW macht dein System noch unsicherer, da sie ebenfalls Sicherheitslücken enthalten kann. Und nach so langer Zeit wurden da bestimmt welche drin gefunden und es gibt keine Updates/Patches mehr dafür.
Als gute Alternative: Sygate wegkloppen und Windows-Firewall anschalten.

Naja...böse Einträge seh ich da sonst nicht drin aber könnte es sein daß dieser angebliche Internet-Anonymisierer CyberGhost schlecht konfiguriert ist? Ich würd für solche Verschleierungen eh ein anderes Tool nehmen (TOR/Privoxy).
Fiesere Malware würde man auch garnicht mehr so einfach in HijackThis sehen also falls du doch irgendwie ein rootkit im System hast könntest du ne chance mit diversen Rootkitaufspürern wie Blacklight, gmer, RootkitReavealer usw. haben.

Also des mit dem SP3 des hab ich einfach so gemacht, kann man des wieder ändern auf SP2 oder iss des Wurst ob des 3er etz drauf ist. Die Firewall will ich eh löschen weil wie du schon gesagt hast kann man keine updates machen und des Cyberghost des hab ich gerade erst draufgemacht. Alo ich hab schon mal AD-Aware 2007 drüberlaufen lassen und es hat 23 Spyware gefunden ich hbas dann gelöscht. ich hol mir mal die anderen progs auch mal und mach mal scans.

nochmal zu dem Cyberghost, ich hab auch noch JAP ist des auch gut oder iss des auch Shrott.

mfg Truman

Zitat:

Also des mit dem SP3 des hab ich einfach so gemacht, kann man des wieder ändern auf SP2 oder iss des Wurst ob des 3er etz drauf ist.

Also ich weiß ja nicht wie verfrickelt deine Kiste ist und kann dir daher nicht sagen ob du einfach so das SP3 wieder deinstallieren kannst. Da hab ich keine Erfahrungswerte. Aber man macht grundsätzlich vor solchen Systemeingriffen wie das Installieren von Service Packs ein Backup bzw Systemimage. Steht ja auch im Setup drin. Aber das SP3 soll ja nur eine Sammlung von Patches sein und bringt keine großartigen Neuerungen wie damals das SP2 es tat. Naja mußte selber wissen ob du das "Beta"-SP3 behalten willst. Ich hätts garnicht erst installiert sondern erst die Finalversion.

Zitat:

Alo ich hab schon mal AD-Aware 2007 drüberlaufen lassen und es hat 23 Spyware gefunden ich hbas dann gelöscht.

Damit kann man rein garnichts anfangen wenn die Angaben zu den Schädlingsnamen fehlen. Abgesehen davon ist Ad-Aware eh nicht grad das Gelbe vom Ei...

Zitat:

nochmal zu dem Cyberghost, ich hab auch noch JAP ist des auch gut oder iss des auch Shrott.

Ich weiß ja nicht was du so vorhast und sonst so machst im Web aber ist so ne verschleierungssoftware wirklich notwendig? Und wie gesagt wenn würde ich zu TOR/Privoxy greifen und den Firefox mit der Erweiterung torbutton ausstatten. Das Surfen kann aber SEHR langsam sein!

Ich weiß ja nicht was du so vorhast und sonst so machst im Web aber ist so ne verschleierungssoftware wirklich notwendig? Und wie gesagt wenn würde ich zu TOR/Privoxy greifen und den Firefox mit der Erweiterung torbutton ausstatten. Das Surfen kann aber SEHR langsam sein! [/QUOTE]

ja ich will halt nur nicht dass der mich weiter "Auspioniert"
und ich lass grad Blacklight drüberlaufen

es hat nichts gefunden. Aber ich glaube eher der hat irrgend so ein Tool wo man die ICQ Kontakte auspioniern kann.

Tja. Vielleicht ist dein ICQ-Client auch anfällig. Hast bestimmt den "originalen" von der ICQ seite oder sowas...
Es gibt bessere...z.B. Miranda oder Trillian die beide das ICQ Protokoll unterstützen.

ja ich hab des originale, was ist den andem Miranda und so anders ich hab da ka

Bei Miranda ist vieles anders weil das allein schonmal ein OpenSource Projekt ist. Bei dem Originalen ICQ hast du sehr viel Beiwerk was man meistens einfach nicht braucht. Und viele viele Werbeeinblendungen und hastenichtgesehen...Miranda ist da einfach schlichter und funktionaler gehalten und dadurch auch sehr schlank.

Wies mit Trillian aussieht weiß ich nicht aber das ist mW closed source und afair kostenlos nur in einer abgespeckten Variante erhältlich. Greif also lieber zu miranda.