|
Bitte Hilfe!!! Hi, ich habe seit einiger Zeit den Verdacht, dass mein PC (kein Netzwerk, ledgl. DSL Flatrate (oft online)) von "Bekannten" gezielt ausspioniert wird. Kann das extern also ohne Zugriff von innen überhaupt so einfach gemacht werden (ich meine gezielt bei mir). Hatte schon oft Trojaner Spyware etc. auf der Platte, die die entsprechenden Virenprogramme gefunden haben. Dann mein weiteres Problem, vor einiger Zeit hatte jemand ca. 15 Minuten vollen Zugriff auf meinen PC. Ich habe gelesen, dass es im Handel bestimmte auch für Laien bedienbare Spionageprogramme gibt, die nur installiert werden zu brauch und dann Tastaturfolgen und alles Mögliche aufzeichen und diesen Daten dann im Paket unbemerkt an eine gewünschte Mail Adresse versenden, wenn man online ist. Wie kann ich das Erkennen (habe wirklich den dringenden Verdacht)?????????? Vielen Dank für eine schnelle Hilfe.... |
@hansII poste ein logfile von HJT download hier falls du ein antivirenscanner hast, dann gehe in den abgesicherten modus und scannen. http://www.trojaner-board.de/63335-w...s-starten.html poste dann vom normalen modus ein HJT logfile, poste auch die eventuell gefundenene ergebnisse chaosman |
Poste erstmal ein HijackThis Logfile ins Forum. Wenn tatsächlich jmd. vollen Zugriff auf dein System hatte gibts nur eins -> http://www.trojaner-board.de/showpos...28&postcount=2 Zitat:
Zitat:
Zitat:
|
Das jemand ungestört Zugriff auf meinen PC hatte, weiss ich natürlich weil ich Ihn gelassen habe (definitiv) und den Raum verlassen hatte!! Tja war zwar blöd von mir, aber ich bin mir wirklich sicher. Ich vermute wirklich, dass er mir eine von Ottonormalverbraucher nutzbare Spyware installiert hat. Er ist zwar kein Profi, aber jemand anderes könnte ihn beraten haben. Um diese Diagnose gehts mir. Werden diese Programme auch von Virenscannern erkannt???? Ich verwende Antivir, a sqared two und Pestpatrol. Hatte auch mal einige Zeit Ärger mit dem BDS Agent, wie es hier ja viele haben. Ich glaube persönlich aber eher, dass auf meinem PC etwas lokal installiert wurde. Mit Hi Jack kenne ich mich leider nicht aus..... |
|
Dank Euch. Habe jetzt mal ein HJK... erstellt: Logfile of HijackThis v1.98.2 Scan saved at 22:20:50, on 23.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\sstray.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\mHotkey.exe C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE C:\Programme\CyberLink\PowerVCRII\Agent.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\WINDOWS\winupdate.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\Winamp3\Winampa.exe C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\PestPatrol\PPMemCheck.exe C:\Programme\PestPatrol\CookiePatrol.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Desktop Messenger\8876480\Program\BackWeb-8876480.exe C:\Programme\Logitech\iTouch\kbdtray.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\pctspk.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\System32\alg.exe C:\Programme\Winamp3\winamp.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Adobe\Acrobat 5.0\Acrobat\Acrobat.exe C:\Programme\Gemeinsame Dateien\Adobe\Web\AOM.exe C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Meine empfangenen Dateien\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.sharempeg.com/find/ R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.sharempeg.com/find/ R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://out.true-counter.com/b/?656387 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://itseasy.us/browser/ R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://out.true-counter.com/b/?656387 (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://search.unipages.cc/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\system32\search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sharempeg.com/find/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = C:\WINDOWS\system32\searchbar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://itseasy.us/browser/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://itseasy.us/browser/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://yourbookmarks.info/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://itseasy.us/browser/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.enhancedSearch.com/sidesearch.asp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://itseasy.us/browser/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://yourbookmarks.info/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://itseasy.us/browser/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://out.true-counter.com/b/?656387 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://findloss.com/srchasst.html R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchxp.com/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://itseasy.us/browser/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://itseasy.us/browser/ R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://findloss.com/srchasst.html R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://findloss.com/home.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://www.fastwebfinder.com/hp.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://www.unipages.cc/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost F1 - win.ini: run=info32.exe O1 - Hosts: 207.68.176.190 auto.search.msn.com O1 - Hosts: 207.68.176.190 www.auto.search.msn.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFAD} - (no file) O2 - BHO: (no name) - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFAF} - (no file) O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [IW Controlcenter] C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE O4 - HKLM\..\Run: [Agent] C:\Programme\CyberLink\PowerVCRII\Agent.exe O4 - HKLM\..\Run: [Remote_Agent] C:\Programme\CyberLink\PowerVCRII\RemoteAgent.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\winupdate.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\Winampa.exe" O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 4.0\THGuard.exe" O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Windows Update] C:\WINDOWS\winupdate.exe O4 - HKCU\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: (no name) - {7F241C00-DAB6-11d5-AAA8-0001028DF1BC} - file://C:\Programme\websearch\System\Temp\ebates_script0.htm (file missing) (HKCU) O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {AB1E62EB-3DE3-428F-A417-64AB3C9B6CF0} - http://econnect.libereco.net/econnect.cab O19 - User stylesheet: C:\WINDOWS\Web\oslogo.bmp Ich verstehe da leider nicht viel von... |
Scanne mal C:\WINDOWS\winupdate.exe hier: http://virusscan.jotti.org/de Ist wahrscheinlich ein mail-worm, aber trotzdem. |
@mountainking Vielen Dank hab ich getan. Die von Dir genannte HP hat gesagt, dass es sich bei der Datei um malware handelt. Wie entferne ich dass jetzt???? |
@all Hier ist der Text den der von Mountainking genannte Scanner ausgespuckt hat: Service load: 0% 100% File: winupdate.exe Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) Packers detected: UPX AntiVir No viruses found (0.14 seconds taken) Avast Win32:Trojan-gen. (1.51 seconds taken) BitDefender No viruses found (1.09 seconds taken) ClamAV No viruses found (0.32 seconds taken) Dr.Web Trojan.DeepSky.14336 (0.48 seconds taken) F-Prot Antivirus security risk or a "backdoor" program (0.06 seconds taken) Kaspersky Anti-Virus TrojanDownloader.Win32.Deepgal (0.59 seconds taken) mks_vir No viruses found (0.19 seconds taken) NOD32 No viruses found (0.39 seconds taken) Norman Virus Control No viruses found (33.20 seconds taken) Statistics Last piece of malware found was Backdoor.SDBot.Gen in svchast.exe, detected by: Scanner Malware name Time taken AntiVir X 0.15 seconds Avast X 1.51 seconds BitDefender Backdoor.SDBot.Gen 1.28 seconds ClamAV X 0.33 seconds Dr.Web Win32.HLLW.MyBot.based 0.60 seconds F-Prot Antivirus X 1.32 seconds Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen 1.54 seconds mks_vir Win32.4 0.22 seconds NOD32 X 0.52 seconds Norman Virus Control Sandbox: W32/Backdoor 6.06 seconds Service statistics: 9001 files (6569 of those unique) have been uploaded & scanned since 05/11/2004, the day of the last database purge. 1922 of those 6569 files contained a virus or any other form of malware. This page has been visited 20590 times in this time period. This service managed to spot 121 pieces of malware no vendor used knew about at the time of uploading. The service also warned against 882 suspicious files without any help from scanner results. However, 86 files reported to be OK were found out to be malware later (this is checked daily). As far as can be told, all this together makes this service 98.69% accurate. However, since it is very well possible malware has been uploaded no scanner knows about at this time, this number is to be taken with a proper amount of skepticism. Most popular malware: Rank Malware name Uploaded Last known filename 1 backdoor.sdbot.gen 169 times svchast.exe 2 behaveslike:trojan.downloader 164 times cartao.exe.txt 3 backdoor.agobot.3.gen 77 times msdbg2.exe 4 tr/drop.delf.fd.1 75 times tmg-nav2k5.exe 5 tr/spam.avafx 57 times vbsys.dll 6 backdoor.win32.agobot.gen 37 times agobot3.exe 7 win32:trojan-gen. {other} 36 times eri.dll 8 tr/dldr.small.uv.3 34 times s1p1y.exe 9 tr/dldr.inservice.i 28 times kso.exe 10 backdoor.wootbot.gen 24 times Kopie van 1.exe.exe 11 win32:trojan-gen. 24 times winupdate.exe 12 trojan.downloader.inservice.i 23 times assassin-254.exe 13 win32.hllw.mybot.based 22 times winserva.exe 14 win32.p2p.spybot.gen 21 times vpc32.exe 15 behaveslike:win32.av-killer 19 times winxpdll32.exe Frage: Kann ich die infizierte Datei winupdate jetzt einfach löschen??? |
@all Nun noch mal zu meiner ursprgl Frage (denn es scheint sich ja hier um gewöhnliche Maleware oder was auch immer zu handel) zurück: Wie kann ich denn erkennen, ob mein Bekannter (der Ar...) ein gängiges Spionageprogramm istalliert hat. Haben das meine gängigen Scanner auch drauf oder gibts da spezielle Diagnoseprogramme???? PS: Denn meine "Bekannten" sind keine Hacker o.ä. (es sei denn sie haben jemand engagiert) |
Zitat:
http://www.mathematik.uni-marburg.de...c-removal.html http://oschad.de/wiki/index.php/Kompromittierung Tips zum sicheren Einrichten: http://www.trojaner-board.de/showthread.php?t=9546 Das liegt übrigens nicht an Deinem Bekannten, sondern an Deinen mangelnden Vorsichtsmaßnahmen. Sehr gut verständliche Sicherheitshinweise gibts unter http://www.mathematik.uni-marburg.de...ompromise.html Gruß :daumenhoc Yopie |
Ah siehste, bei ersten Mal ist mir eine Zeile wegen deiner riesigen Latte an gekaperten Startseiten ganz entgangen: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost F1 - win.ini: run=info32.exe Du kannst diese info32.exe auch mal überprüfen, aber die Chancen stehen nicht schlecht, dass es sich um eine Variante davon handelt: http://vil.nai.com/vil/content/v_98594.htm Das wäre dann auch ein heißer Kandidat für das, was du befürchtest, falls es auch eine Variante für XP gibt. In dem Fall hat Yopie schon alles gesagt, um deinen Verdacht definitiv auszuräumen, solltest du alles komplett wie verlinkt neu aufsetzen und die Sicherheitstips für die Zukunft beherzigen. |
@all Aber jetzt noch mal konkret: könnten meine Bekannten mit diesen möglicherweise schädlichen Dateien auf meinem Rechner diesen gezielt ausspioniert haben bzw. spionieren???? Man liest hier ja immer über diese Trojaner, nur kann man nirgendwo etwas genaues finden, wie diese von jedermann angewendet werden können.... Und noch mal (ganz wichtig), wie kann ich die gängigen (auch für Laien installierbaren) Spionageprogramme (z.B. PC-Inspektor) auf meinem Rechner finden??? Hierfür muss es doch auch irgendeine Scansofware geben!!!!??? Beste Grüsse.. |
@ hansII Zitat:
Könnte es nicht eher sein, dass Du - durch unvorsichtiges Surfverhalten - diese Trojaner oder Würmer mit Backdoor-Funktionalität selbst auf Deinen Rechner gelassen hast? Suchst Du Schuldige für eigenes Fehlverhalten? Fragen, die nicht unbedingt hierher gehören und auch nciht im Forum beantwortet werden müssen, aber die Du Dir vielleicht stellen und beantworten solltest. Antwort auf Deine Frage: ja, es ist möglich, Trojaner und Würmer mit Backdoor-Charakter auf einem System auszuführen und damit einen Rechner auszuspionieren. Backdoor-Funktionalität bedeutet, dass Rechner sich in fremder Hand befinden. Eben deswegen müssen sie formatiert werden. Von jedermann können Backdoor-Programme glücklicherweise nicht angewendet werden und jedermann wendet solche Programme auch nicht an! Zitat:
Sophos Virusinformation zu Backdoor.SdBot.gen->"Erläuterung" und "Erweitert" beachten. SD |
@shadowdance + all Zunächst vielen Dank für die Antworten, doch leider habe ich noch keine Gewissheit und Ahnung bzgl. der Lage bekommen Ich will hier bestimmt keine Schuldzuweisungen für meine fehlenden Sicherheitsvorkehrungen betreiben, sonder ich habe ein grosses Problem! Mein Bekannter war leider am Rechner und ich muss auch leider den dringenden Verdacht haben (kann jetzt nichts mehr ändern!). Ich habe jetzt also gelehrnt, dass bestimmte Trojaner bei mir an Board sind (hatte auch vor einiger Zeit mit dem BDS Agent Probs). 1.) Erstens es interessiert mich unbedingt ob es möglich ist (oder besser wie wahrscheinlich), dass meine Bekannten (doch eher Laien, keinesfalls Profihacker) mit dieser allgemeinen Malware (die ich mir anscheinend im Netz eingefangen habe) gezielt meinen PC ausspioieren, wenn ich online bin. Kann sich da etwa jeder so einfach ein client Programm herunterladen und dann munter ausspionieren. Vor allem wäre ich dann ja auch eher ein Zufallstreffer gewesen, den den BDS Agent o.ä. haben ja Tausende Nutzer und wie sollten meine Bekannten dann gerade auf mich gekommen sein!???? Wenn die Nutzung dieser Malware nur Profis aus dem Chaos Computerclub möglich wäre und diese dann eher zufällig auf meinen Rechner stossen, dann wäre ich zumindest beruhigt. Versteht Ihr meine Frage nicht?! 2.) Dann die Sache die ich unten schon erwähnt hatte (diesen Fall könnte ich mir eher denken!!): Mein Bekannter hat ggf. in zehn Minuten Zugriffszeit ein gängiges Spionagetool installiert (a la PC-Inspektor o.ä., habe darüber in Chip.de gelesen), dass alles protokollieren kann und diese Protokoll dann unbemerkt an eine Mailaddresse sendet. Würde Antivir, a2, Hijack etc. sowas auch finden??? Bräuchte hierüber Infos und über geeignete Scanprogramme. Oder könnte mir jemand mal ein paar links nennen, wo es genauere Infos dazu gibt. Hier im Forum wird immer nur von irgendwelchen Backdoors bzgl. Diagnose und Entfernung gesprochen es gibt aber keine Infos über die Wirkungsweise und darüber wer damit was und wie anstellen kann. Ich als Laie konnte auf meine Frage (aus euren Antworten) bisher keine Lösung meines Problems finden...... Kann mir denn jmd bitte noch mal nährere Infos geben (oder irgendwelche Foren und Boards wo mehr über die Anwendung dieser Malware geschrieben wird, damit ich etwas Gewissheit gewinne..)??? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:27 Uhr. |
Copyright ©2000-2025, Trojaner-Board