Guten Tag,

wie mein Name schon sagt: Vielleicht sehe schon Gespenster...

Problem: Ein entfernter Chat-Bekannter (Messenger) hat mal gesagt, dass es ja viele Möglichkeiten um zu schauen, was ich auf meinem Rechner so treibe. Habe es für Angeberei oder einen Gag gehalten. Aber in letzter Zeit gab es ein paar Kleinigkeiten, die mir komisch vorkamen: mal eine verschobene Datei auf dem Desktop, mal stellte sich plötzlich der Ton aus. Vielleicht meine Fehler, ungeschickt oder verpeilt. Aber ich mache mir trotzdem Sorgen.

Frage: Ist es möglich, dass sich jemand mit irgendeinem Kontroll- oder Fernsteuerungsprogramm auf meinen Rechner einhackt, OHNE dass ich es merke und OHNE dass die unten aufgeführten Programme Alarm schlagen? Oder kann man Entwarnung geben anhand der Logfiles?

System: Vista inkl. Updates, Firefox ohne Password-Speicherung, Antivir Security Suite mit Firewall (Bezahlprogramm), Spyware Terminator (Freeware).

Weil Spyware Terminator nicht so dolle sein soll, habe ich jetzt auch noch mit Spybot S&D gecheckt (kein Befund), und weil Spybot keine Rootkits erkennen soll, hab ich noch Sophos Anti-Rootkit drüberlaufen lassen. Kann kein Logfile erstellen, aber die meisten Meldungen waren mutmaßlich harmlos, da Löschen nicht empfohlen wird (Beispiel 1), aber es gab auch drei Meldungen die ich nicht einordnen kann (Beispiele 2, 3, 4).

Danach (nach meiner Anmeldung hier in Board) habe ich Cleaner und Malewarebytes drüberlaufen lassen. Kein Befund, Logfile folgt trotzdem schnell. Danach wollte ich übrigens nochmal Sophos drüberlaufen lassen, aber das ging nicht mehr flüssig.

Logfiles folgen. - DANKE FÜR DEN SUPPORT!



Sophos – Beispiel 1
Area: Local hard drives
Description: Unknown hidden file
Location: C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\TDLWNF40\d4=0;d7=1;d8=2;d9=4;d10=2;d11=3;d12=3;i3=4;i4=4;i12=4;i13=4;i23=4;i42=4;i44=4;i46=4;s1=1;s5=0;a11=2;a14=2;lk=0;zt=1;;sz =300x101;tile=7;adv=5;ord=5000255936[1]
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available)

Sophos – Beispiel 2
Area: Running processes
Description: Unknown hidden process
Location: (null)
Removable: No
Notes: (no more detail available)

Sophos – Beispiel 3
Area: Local hard drives
Description: Unknown hidden file
Location: C:\Windows\System32\config\RegBack\DEFAULT.LOG1
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available)

Sophos – Beispiel 4
Area: Local hard drives
Description: Unknown hidden file
Location: C:\Windows\System32\config\RegBack\SAM.LOG1
Removable: Yes (but clean up not recommended for this file)
Notes: (no more detail available)




Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4436

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

16.08.2010 18:28:49
mbam-log-2010-08-16 (18-28-49).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 210921
Laufzeit: 1 Stunde(n), 9 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)




HiJackthis Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4[/B]
Scan saved at 23:53:52, on 16.08.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\WLTRAY.EXE
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.Exe
C:\Program Files\avmwlanstick\FRITZWLANMini.exe
C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorUpdate.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\IrfanView\i_view32.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\*****\Desktop\Rechner\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.yammer.com/badische-zeitung.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\Windows\system32\WLTRAY.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [AVMWlanClient] C:\Program Files\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [SpywareTerminatorUpdate] "C:\Program Files\Spyware Terminator\SpywareTerminatorUpdate.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Avira Firewall (AntiVirFirewallService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avfwsvc.exe
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: lxbc_device -   - C:\Windows\system32\lxbccoms.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot2\SDWinSec.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\Windows\System32\WLTRYSVC.EXE

--
End of file - 5389 bytes
         

--- --- ---

Hallo und

Zitat:

Frage: Ist es möglich, dass sich jemand mit irgendeinem Kontroll- oder Fernsteuerungsprogramm auf meinen Rechner einhackt, OHNE dass ich es merke und OHNE dass die unten aufgeführten Programme Alarm schlagen? Oder kann man Entwarnung geben anhand der Logfiles?

Nein, das ist unwahrscheinlich bis unmöglich, jedenfalls wenn der Rechner vernünftig abgesichert wurde, sprich das Betriebssystem und alle Programme wurden regelmäßig/zeitnah aktualisiert.
Meistens führen die Opfer die Schädlinge selber aus (Trojanisches Pferd), der Schädling gibt sich als irgendwas nützliches aus, hat aber u.U. garnicht die erwünschte Funktion und zusätzlich zB den Backdoorserver, mit dem der Angreifer Deinen Rechner steuern oder Dich auch überwachen könnte.

Die Sophosfunde sehen nicht nach Malware aus.