Hallo,

jemand hat eine remote control software auf meinem pc installiert. Leider weiß ich nicht wo überall und wie diese ganzen programme heißen?!

Weiß jemand, ob es ein tool gibt um solche verbindungen aufzuspüren?

Kaspersky erkennt leider nichts...?!
danke schon mal. :aplaus:

Programme wie VNC (also Remote Admin Tools) werden idR von Virenscanner zumindest angezeigt, aber nicht als Virus eingestuft, bei Kaspersky als not-a-virus: remote admin.

Woher weißt Du allerdings, daß überhaupt ein solches Tool bei Dir installiert wurde wenn schon Dein Virenscanner nix angezeigt hat?

Ich würde vorschlagen Du postest zuerst mal ein HijackThis log dann sehen wir weiter.

hijackthis habe ich schon kontrolliert, da wird nichts angezeigt.

Ich weiß es, weil es mir jemand gesagt hat und ich auch ein ordner gefunden habe der sehr merkwürdig aussieht. PassD.txt heißt die datei und sie hat 0KB und da waren auch noch andere seltsame dateien, die ich jedoch gelöscht habe. Passd.txt kann ich nicht löschen weil der zugriff verweigert wurde.

Welche Möglichkeiten habe ich sowas zu verhindern bzw. tools solcher art aufzuspüren?

Zitat:

Zitat von Fragezeichet

hijackthis habe ich schon kontrolliert, da wird nichts angezeigt.

Post es trotzdem mal bitte komplett. Erstell am besten ein neues mit Hilfe dieser umbenannten hijackthis.exe

Zitat:

Welche Möglichkeiten habe ich sowas zu verhindern bzw. tools solcher art aufzuspüren?

Folge meinen Links zu silentrunner, blacklight und combofix - führe diese Tools aus und poste die Logs.

hallo,

passwd.txt heißt die datei, aber wenn ich sie löschen will, steht da passwd.log zugriff verweigert. Also das ist ja wohl eindeutig eine datei die nicht auf mein rechner gehört.

blacklight hat nichts gefunden und silentrunners weiß net wo die datei hinkopiert wurde.

logfile von combofix:

ComboFix 08-04-18.3 - Chris 2008-04-20 15:20:15.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.171 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Chris\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active


WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-03-20 bis 2008-04-20 ))))))))))))))))))))))))))))))
.

2008-04-17 23:31 . 2004-08-04 00:58 130,048 --a------ C:\WINDOWS\system32\ksproxy.ax
2008-04-17 21:45 . 2008-04-17 21:45 <DIR> d-------- C:\Programme\mresreg
2008-04-17 21:45 . 2008-04-17 21:45 <DIR> d-------- C:\Programme\HomepageFIX
2008-04-14 09:51 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-04-14 09:51 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-04-14 09:51 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-04-13 19:37 . 2008-04-13 19:37 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\Contacts
2008-04-13 19:36 . 2008-04-13 19:36 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-04-13 19:34 . 2008-04-13 19:36 <DIR> d-------- C:\Programme\Windows Live
2008-04-13 19:34 . 2008-04-13 19:36 <DIR> d--hsc--- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-04-13 19:34 . 2008-04-13 19:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-04-12 18:13 . 2007-04-17 11:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-04-12 18:13 . 2007-03-08 07:09 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-04-12 18:13 . 2008-03-01 14:53 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-04-12 18:13 . 2008-03-01 14:53 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-04-12 18:12 . 2008-03-01 14:53 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-04-12 18:12 . 2008-03-01 14:53 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-04-12 18:12 . 2008-03-01 14:53 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-04-12 18:12 . 2008-03-01 14:53 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-04-12 18:12 . 2008-02-22 12:00 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-04-12 18:00 . 2008-04-12 18:00 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-04-12 17:59 . 2008-04-12 17:59 <DIR> d-------- C:\WINDOWS\system32\Adobe
2008-04-12 17:59 . 2008-04-12 17:59 <DIR> d-------- C:\WINDOWS\Profiles
2008-04-12 17:59 . 2008-04-12 17:59 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\InterTrust
2008-04-12 17:59 . 1998-11-17 11:44 328,704 --a------ C:\WINDOWS\IsUn0407.exe
2008-04-12 17:58 . 2002-12-18 11:23 140,488 -ra------ C:\WINDOWS\system32\comdlg32.ocx
2008-04-12 17:58 . 2002-12-18 11:23 115,016 -ra------ C:\WINDOWS\system32\MSINET.OCX
2008-04-12 17:58 . 2002-12-18 11:23 89,360 -ra------ C:\WINDOWS\system32\VB5DB.DLL
2008-04-12 17:58 . 2002-12-18 11:23 69,632 -ra------ C:\WINDOWS\system32\xmltok.dll
2008-04-12 17:58 . 2002-12-18 11:23 36,864 -ra------ C:\WINDOWS\system32\xmlparse.dll
2008-04-12 17:58 . 2002-12-18 11:23 35,840 -ra------ C:\WINDOWS\system32\comdlg32.oca
2008-04-12 17:58 . 2002-12-18 11:23 29,184 -ra------ C:\WINDOWS\system32\MSINET.oca
2008-04-12 17:58 . 2002-12-19 00:20 26,096 -ra------ C:\WINDOWS\system32\xmlinst.exe
2008-04-12 17:58 . 2002-12-18 11:23 24,576 -ra------ C:\WINDOWS\system32\msxml3a.dll
2008-04-12 17:52 . 2008-04-12 18:05 <DIR> d-------- C:\Programme\Ubi Soft
2008-04-11 14:23 . 2008-04-11 14:23 751 --a------ C:\WINDOWS\system32\spupdsvc.inf
2008-04-11 14:21 . 2008-04-12 18:45 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-04-09 20:19 . 2008-04-12 18:05 <DIR> d--h----- C:\Programme\InstallShield Installation Information
2008-04-09 20:19 . 2008-04-09 22:10 <DIR> d-------- C:\Programme\ICQToolbar
2008-04-09 20:18 . 2008-04-09 20:20 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\ICQ
2008-04-09 20:17 . 2008-04-17 12:28 <DIR> d-------- C:\Programme\ICQ6
2008-04-09 20:11 . 2008-04-09 20:11 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\LimeWire Store Purchased
2008-04-09 20:11 . 2008-04-09 20:11 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\LimeWire Shared
2008-04-09 20:11 . 2008-04-09 20:34 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\LimeWire Saved
2008-04-09 20:10 . 2008-04-09 20:34 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\Incomplete
2008-04-09 20:09 . 2008-04-09 20:29 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\LimeWire
2008-04-09 20:09 . 2007-07-12 02:22 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-04-09 20:07 . 2008-04-09 20:09 <DIR> d-------- C:\Programme\Java
2008-04-09 20:06 . 2008-04-09 20:09 <DIR> d-------- C:\Programme\LimeWire
2008-04-09 20:06 . 2008-04-09 20:06 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-04-09 20:03 . 2006-08-21 11:14 128,896 -----c--- C:\WINDOWS\system32\dllcache\fltmgr.sys
2008-04-09 20:03 . 2006-08-21 11:14 23,040 -----c--- C:\WINDOWS\system32\dllcache\fltmc.exe
2008-04-09 20:03 . 2006-08-21 14:26 16,896 -----c--- C:\WINDOWS\system32\dllcache\fltlib.dll
2008-04-09 20:00 . 2008-04-09 20:00 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Kazaa Lite
2008-04-09 19:59 . 2008-04-09 19:59 <DIR> d-------- C:\My Shared Folder
2008-04-09 19:54 . 2006-06-09 10:38 6,909 -ra------ C:\WINDOWS\system32\drivers\UIUSYS.SYS
2008-04-09 19:42 . 2008-04-09 19:42 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Talkback
2008-04-09 19:42 . 2008-04-09 19:42 0 --a------ C:\WINDOWS\nsreg.dat
2008-04-09 19:34 . 2008-04-09 19:34 <DIR> d-------- C:\Programme\Trend Micro
2008-04-09 19:27 . 2008-04-12 17:59 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-04-09 19:21 . 2008-04-09 19:40 <DIR> d-------- C:\Programme\Google
2008-04-09 19:10 . 2007-07-09 15:11 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2008-04-09 18:52 . 2008-04-09 18:52 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Startmenü
2008-04-09 18:46 . 2008-04-09 18:52 316,640 --a------ C:\WINDOWS\WMSysPr9.prx
2008-04-09 18:43 . 2008-04-09 18:43 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-04-09 18:39 . 2004-07-17 11:40 19,528 --a------ C:\WINDOWS\002140_.tmp
2008-04-09 18:35 . 2008-04-09 18:35 <DIR> d-------- C:\WINDOWS\EHome
2008-04-09 15:12 . 2008-04-18 14:37 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-04-09 15:12 . 2006-09-06 17:42 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-04-09 15:11 . 2008-04-09 15:11 <DIR> d-------- C:\WINDOWS\system32\bits
2008-04-09 15:10 . 2004-08-04 00:57 351,232 --a------ C:\WINDOWS\system32\winhttp.dll
2008-04-09 15:10 . 2004-08-04 00:57 18,944 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2008-04-09 15:10 . 2004-08-04 00:57 8,192 --------- C:\WINDOWS\system32\bitsprx2.dll
2008-04-09 15:10 . 2004-08-04 00:57 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll
2008-04-09 15:09 . 2007-07-30 19:19 549,720 --a------ C:\WINDOWS\system32\wuapi.dll
2008-04-09 15:09 . 2007-07-30 19:19 325,976 --a------ C:\WINDOWS\system32\wucltui.dll
2008-04-09 15:09 . 2007-07-30 19:19 216,408 --a------ C:\WINDOWS\system32\wuaucpl.cpl
2008-04-09 15:09 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll
2008-04-09 15:09 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-04-09 15:09 . 2007-07-30 19:18 33,624 --a------ C:\WINDOWS\system32\wups.dll
2008-04-09 15:09 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-04-09 15:09 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-04-09 15:09 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-04-09 15:06 . 2008-04-09 15:06 <DIR> d-------- C:\Programme\MDC
2008-04-09 15:06 . 2008-04-09 15:06 20,480 --a------ C:\WINDOWS\system32\mdcgina.dll
2008-04-09 15:05 . 2008-04-12 18:04 <DIR> d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2008-04-07 19:37 . 2008-04-07 19:37 <DIR> d---s---- C:\WINDOWS\system32\Microsoft
2008-04-07 19:36 . 2008-04-07 19:36 <DIR> d-------- C:\Programme\Kaspersky Lab
2008-04-07 19:36 . 2008-04-20 15:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-04-07 19:36 . 2008-04-20 15:29 2,476,576 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-04-07 19:36 . 2008-04-20 15:29 227,872 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-04-07 19:36 . 2008-04-17 17:06 96,645 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-04-07 19:36 . 2008-04-17 17:06 87,941 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-04-07 19:36 . 2008-04-20 14:48 33,452 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-04-07 19:36 . 2008-04-20 14:48 22,124 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-04-07 19:29 . 2008-04-13 19:37 <DIR> d--hs---- C:\WINDOWS\Installer
2008-04-07 19:29 . 2008-04-07 15:22 <DIR> d--h----- C:\Dokumente und Einstellungen\Chris\Vorlagen
2008-04-07 19:29 . 2008-04-07 16:18 <DIR> dr------- C:\Dokumente und Einstellungen\Chris\Startmenü
2008-04-07 19:29 . 2008-04-07 16:18 <DIR> d--h----- C:\Dokumente und Einstellungen\Chris\Netzwerkumgebung
2008-04-07 19:29 . 2008-04-07 16:18 <DIR> d--h----- C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen
2008-04-07 19:29 . 2008-04-11 15:19 <DIR> dr------- C:\Dokumente und Einstellungen\Chris\Favoriten
2008-04-07 19:29 . 2008-04-13 19:38 <DIR> dr------- C:\Dokumente und Einstellungen\Chris\Eigene Dateien
2008-04-07 19:29 . 2008-04-07 16:18 <DIR> d--h----- C:\Dokumente und Einstellungen\Chris\Druckumgebung
2008-04-07 19:29 . 2008-04-12 17:59 <DIR> d--h----- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten
2008-04-07 19:29 . 2008-04-20 15:14 <DIR> d-------- C:\Dokumente und Einstellungen\Chris
2008-04-07 19:29 . 2008-04-20 15:30 1,024 --ah----- C:\Dokumente und Einstellungen\Chris\ntuser.dat.LOG
2008-04-07 19:26 . 2008-04-20 15:28 <DIR> d--h----- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen
2008-04-07 19:26 . 2008-04-07 19:26 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten
2008-04-07 19:26 . 2008-04-07 19:26 <DIR> d--hs---- C:\Dokumente und Einstellungen\NetworkService
2008-04-07 19:26 . 2008-04-20 15:28 <DIR> d--h----- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen
2008-04-07 19:26 . 2008-04-07 19:26 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten
2008-04-07 19:26 . 2008-04-09 18:52 <DIR> d--hs---- C:\Dokumente und Einstellungen\LocalService
2008-04-07 19:26 . 2008-04-20 15:02 1,024 --ah----- C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
2008-04-07 19:26 . 2008-04-20 15:02 1,024 --ah----- C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
2008-04-07 16:20 . 2004-08-04 00:40 57,600 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2008-04-07 16:20 . 2001-08-17 14:59 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2008-04-07 16:19 . 2004-08-04 00:57 77,312 --a------ C:\WINDOWS\system32\usbui.dll
2008-04-07 16:19 . 2001-08-17 13:13 27,165 --a------ C:\WINDOWS\system32\drivers\fetnd5.sys
2008-04-07 16:19 . 2001-08-18 05:20 16,256 --a------ C:\WINDOWS\system32\drivers\battc.sys
2008-04-07 16:19 . 2004-08-03 23:07 14,080 --a------ C:\WINDOWS\system32\drivers\cmbatt.sys
2008-04-07 16:19 . 2001-08-17 14:58 9,344 --a------ C:\WINDOWS\system32\drivers\compbatt.sys
2008-04-07 16:19 . 2008-04-18 15:07 1,374 --a------ C:\WINDOWS\imsins.BAK
2008-04-07 16:18 . 2008-04-07 15:22 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Vorlagen
2008-04-07 16:18 . 2008-04-07 16:18 <DIR> dr------- C:\Dokumente und Einstellungen\Default User\Startmenü
2008-04-07 16:18 . 2008-04-07 16:18 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-09 13:06 14,037 ----a-w C:\WINDOWS\system32\drivers\mdc8021x.sys
2008-04-07 13:26 558,142 ----a-w C:\WINDOWS\java\Packages\6CEK44CF.ZIP
2008-04-07 13:26 155,995 ----a-w C:\WINDOWS\java\Packages\8INFB9R9.ZIP
2008-04-07 13:26 --------- d-----w C:\Programme\microsoft frontpage
2008-04-07 13:25 --------- d-----w C:\Programme\Online-Dienste
2008-04-07 13:24 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-05-19 22:36 218640]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00 132496]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 14:58]
S3 SVC8021X;AEGIS Client;C:\WINDOWS\System32\svc8021x.exe [2003-07-25 16:28]

.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-20 15:29:39
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...


**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\mdcgina.dll
.
Zeit der Fertigstellung: 2008-04-20 15:32:26
ComboFix-quarantined-files.txt 2008-04-20 13:31:21

6 Verzeichnis(se), 72,663,699,456 Bytes frei
8 Verzeichnis(se), 72,757,592,064 Bytes frei

189 --- E O F --- 2008-04-18 13:07:42

Zitat:

blacklight hat nichts gefunden und silentrunners weiß net wo die datei hinkopiert wurde.

Normalerweise öffnet sich der Editor mit dem silentrunners logfile, ansonsten ist das Logfile aber immer noch dort zu finden, von wo du silentrunners ausgeführt hast (wahrscheinlich auf Desktop). Wenn Du das als zip heruntergeladen hast, solltest Du es VORHER entpacken und dann erst ausführen!!