Hallo, ich habe ein Problem auf meinem Rechner, welches ich offensichtlich nicht lösen kann. Ich habe Grund zu der Annahme, dass irgendjemand Zugriff auf meinen Rechner hat, obwohl ich keinen Trojaner finden kann. Da werden dann (u.a) gezielt meine Sicherungsmassnahmen (AV-Programme etc) manipuliert. Teilweise recht geschickt: so wurde mir z.B. lange die Updates der Virendatenbanken nur vorgegaukelt. Backup-Programme werden teilweise so zerstört, dass selbst eine Neuinstallation nicht weiterhilft. Mit das Schlimmste: nachdem ich kurz im Netz bin (ca. 90 Sekunden) wird die Übertragungrate "gedrosselt", gerne mal auf 29B/sec o.ä.. Manchmal finde ich beim Hochfahren (allerdings nur bei erzwungenem Kaltstart) Dateien in einem "unzugeordneten cluster". Wenn ich mir die anschaue, sehe ich Sachen wie: die von mir gesuchten Seiten im Netz, eine Aufzählung meiner firewall, AV-Programm etc. Termen wie "Lowering of the DTR" (DTR = Data Transfer Rate?), in letzter Zeit aber alles verschlüsselt. Bei jedem Hochfahren will sich folgendes in die registry schreiben:
HKEY=HKEY_CLASSES_ROOT
PATH=vbsfile\shell\open\command
NAME=
DATA=
dies lasse ich regelmässig nicht zu, für mich als Newbie sieht das wie der Versuch eines buffer overflows aus.
Und nun wird's vollkommen paranoid: es ist gut möglich und sogar wahrscheinlich, dass sich ein Nachbar (hier wohnen ein paar Dunkelmänner, die für einen staatlichen Dienst, den ich hier nicht nennen will, arbeiten und sich von mir bedroht fühlen) "physikalisch" durch Anzapfen meiner Telefonleitung mit mir vernetzt haben.
Ist dies möglich? Ich habe schon x-mal alles neuinstalliert, sogar ein low-level Format getätigt, alles für die Katz. Hat irgendjemand schon mal Ähnliches gehört. Gibt es Erfahrungen mit "Predator" oder "Magic Lantern"?

hi Nubul,
Willkommen an Board!
Ein Paar Fragen:
Was für:
1. Betriebssystem
2. AntiVirus-Prog
3. Firewall
hast du? Gibt es irgendwelche "verdächtige" Einträge im Traffic-Protokoll von FW? Kannst du die mit Whois zurückverfolgen?
Hier noch ein Paar Links, die für dich nützlich seien könnten:
PCFlank-Trojan- und Portscanner
GFI-Trojanscanner
AV-Online Scanner
StartUp-Manager

[ 06. Juli 2003, 15:15: Beitrag editiert von: Rene-gad ]

Hi,

</font><blockquote>Zitat:</font><hr />Original erstellt von Nubul:
Und nun wird's vollkommen paranoid: es ist gut möglich und sogar wahrscheinlich, dass sich ein Nachbar (hier wohnen ein paar Dunkelmänner, die für einen staatlichen Dienst, den ich hier nicht nennen will, arbeiten und sich von mir bedroht fühlen) "physikalisch" durch Anzapfen meiner Telefonleitung mit mir vernetzt haben.
Ist dies möglich? Ich habe schon x-mal alles neuinstalliert, sogar ein low-level Format getätigt, alles für die Katz. Hat irgendjemand schon mal Ähnliches gehört. Gibt es Erfahrungen mit "Predator" oder "Magic Lantern"? </font>[/QUOTE]Ja, klar doch. Falls du das ernst meinst, wäre vielleicht mal ein Erfahrungsaustausch mit Kato und mit Tupac570 :D :D sinnvoll.

Ansonsten: nach LowLevel-Formatierung ist Schicht im Schacht. Da überlebt nichts, wir hatten hier schonmal diese Diskussion, s. 1. Link.
Ich glaube nicht, dass deine Nachbarn dein Telefonleitung angezapft haben, es sei denn, du hättest richtig "Dreck am Stecken". Ein kleiner Autonomer, Hausbesetzer oder PDS-Mitglied ist für Geheimdienste und Staatsschützer eher uninteressant [img]graemlins/lach.gif[/img]
Sollten solche Behörden Schnüffelprogramme einsetzen, wirst du das mit deinen Bordmitteln (ZA & Co) nicht mitbekommen.

Gruß
Der http://home.arcor.de/cheesebuerger/S...figuren/25.gif

Hi Rene-gad,
ich benutze 98, nicht mehr SE. Als AV benutze ich AVG (ich weiss, es gibt bessere, für mich eine Kostenfrage, bin arm), Firewall sygate 4.2 prof. und Trojancheck 5. Was dauernd ins Netz will und von mir unterbunden wird:(ob's verdächtig ist, weiss ich nicht) nennt sich : Kernkomponente des Windows-BS kernel 32.dll und "Distributed COM Services:C:\Windows\System\RPCSS.exe". LexPPS.exe habe ich entfernt. Browser: Opera 7.11 und Firebird 0.6. Bei Opera will dann mal gerne was bei port 1024 oder 1034 raus. (nennt sich mal FADMIN - F........ oder ähnliches, immer verschieden). Ich muss es mir mal aufschreiben, mache ich nämlich ein rule, geht Opera gar nicht mehr. Gehe ich mit Firebird irgendwohin, muss ich erstmal zulassen, dass von port 53 (DOMAIN Domain Name Server) etwas an 62.225.251.16 (=Telekom, ich gehe aber nicht mit denen ins Netz) rausgeht. Unterbinde ich dies, geht nix mehr. Besonders enervierend ist das surfen Sonntags.
Gruss Nubul

Hi,
du kannst ja auch mal OnlineScanner von Trendmicro, www.RavAntiVirus.com oder mcafee freescan probieren (besser IE benutzen; Systemanforderungen beachten !!)

Vor allem RAV sollte für dein Problem etwas besser geeignet als AVG sein..

(@all: Scannt Freescan auch - so einigermaßen befriedigend wie die Desktop-Version - LZK-Dateien ?)

Hallo Hirsch,
selbstverständlich habe ich (zumindest momentan) keinen "Dreck am Stecken". Falls es was mit'm Dienst zu tun hat, ist das auch nicht "offiziös", sondern eher eine persönliche Sache. Zwischen den Zeilen wurde mir gesteckt: eine dieser "Ratten" hat es persönlich auf mich abgesehen, will mich hier wegmobben. Die Quälereien am PC sind da nur ein Teil. Wie ich es sehe: ein alltäglicher Nachbarschaftshader mit einem Zuträger, der beim Dienst die Pferde scheu macht, oder einen "Kollegen" bittet, ihm mit "Bordmitteln" ein bisschen zu helfen. Das Ganze ist ein halber Roman, vielleicht wird's ja auch mal einer. Aber manchmal ist die Realität so überzogen, dass man es keinem erzählen kann, klingt einfach zu unglaubwürdig und soll es ja dann auch.
Das mit dem lowlevel-format ist schon eine ganze Zeit her, vielleicht mache ich das bemnext nochmal.
Wer sich hier übrigens für die "Spielereien" der Dienste interessiert: www.totalitaer.de.
Gruss Nubul

@Nubul
AVG ist kein schlechtes Programm, ich kenne auch die Profis, die es benutzen. Die Sache, dass es kein cent kostet, macht das Programm weder schlechter, noch besser (s. im Board die Tadel-Berichte von NAV, z.B.). Allerdungs würde ich den Online-Scan mit Bitdefender vorschlagen (Link s.o.), vorher Echtzeitscanner von AVG abschalten, Temp+Cache+Papierkorb leern, Registry säubern (JV16 Link s.u.), und ein Paar Tests von PCFlank (Port -und Trojan). wenn du doch nix findest - dann würde ich die Daten sichern und System neu booten, am besten - komplett format c:\ mit fdisk (die neuen Partitionen erstellen).

Hallo Herr Bott!
</font><blockquote>Zitat:</font><hr />Original erstellt von Nubul:
Wer sich hier übrigens für die "Spielereien" der Dienste interessiert: www.totalitaer.de.</font>[/QUOTE]VORSICHT, TROLLALARM!!!1! [img]graemlins/pfui.gif[/img]

@ Dr Prantl: Hallo, weder heisse ich Bott noch weiss ich, was ein Trollalarm ist. Bitte um Aufklärung.

In unregelmäßigen Abständen postet jemand hier derartigen Bullshit und verlinkt auch auf die von dir verlinkte Seite.

@ Dr Prantl: Also wenn Sie das, was ich hier anfrage als bullshit bezeichnen, sind Sie für mich halt ein Ignorant oder ein der Desinformation verpflichteter gesellschaftlicher Mitarbeiter.

Du bezeichnest dich als Newbie und wirfst trotzdem mit fachlichen Termini um dich. Du meinst, daß deine Datenübertragung gedrosselt wird? Wie willst du das festgestellt haben? Woher weißt du, daß jemand was in deine Registry schreibt? Warum vermutest du irgendwelche Dunkelmänner? Wie soll etwas ein LowLevel-Format überleben? Wie kommst du auf MagicLantern? Außerdem verlinkst du auf totalitaer.de... Solche Stories hatten wir hier schon zuhauf. Ein Schelm, wer diesmal Arges vermutet.... ;)

doc"ein der Desinformation verpflichteter gesellschaftlicher Mitarbeiter"prantl

Hab ich's doch geahnt... [img]tongue.gif[/img]

Hier bringe ich jetzt mal ein Beispiel, was in diesen "unzugeordneten cluster" abgespeichert wird. Vielleicht sagt es ja irgendjemand was.

00000000 00080000 00000000 00000003 00000000 0000000000000003 0000001E
00000069 01C343F7FB8227A0 12070201 00000000 00000000 00000000 Sygate Personal Firewall Pro 4.2.872 smc
0000006A 01C343F7FBACE120 12070202 00000000 00000000 00000000 Start Sygate Personal Firewall Pro... smc
00000073 01C343F8007C4380 12070202 00000000 00000000 00000000 Sygate Personal Firewall Pro has been started. smc

12:8:36 delete trident config...
12:8:36 delete netport...
12:8:36 Netport Manager thread stopped!
12:8:36 delete Wps...
12:8:36 Disable damper...
12:8:36 Open stop event
12:8:36 Kill Timer: 1024
12:8:36 end gui thread
12:8:36 save sys config.
12:8:36 sys config has been saved.
12:9:57 STD version!!!
12:10:4 TeeferOpen Mem=1024 NIC=0000...12:10:5 Success
12:10:5 TSE is located at: D:\PROGRAMME\SYGATE\SPF\
12:10:6
============ Network Interface List =========
12:10:6 =============================================
12:10:6 TSE started.
12:10:6 Use new Config... 45177
12:10:6 Apply Config... 45177
12:10:7 ULD: uld file initialized, total: 0
12:10:8 Switch To New Location... 46359
12:10:8 Apply Config... 46359
12:10:8 ULD: uld file initialized, total: 0
12:10:8 Start TridentEngine... 46364
12:10:8 initial service success
12:10:16 STD version!!!
12:10:16 -start
12:10:16 command line has been handled
12:10:16 handle showgui event
12:10:16 create gui thread
13:35:18 STD version!!!
13:35:30 TeeferOpen Mem=1024 NIC=0000...13:35:30 Success
13:35:30 TSE is located at: D:\PROGRAMME\SYGATE\SPF\
13:35:30
============ Network Interface List =========
13:35:30 =============================================
13:35:30 TSE started.
13:35:30 Use new Config... 42237
13:35:30 Apply Config... 42237
13:35:31 ULD: uld file initialized, total: 0
13:35:31 Switch To New Location... 42759
13:35:31 Apply Config... 42759
13:35:31 ULD: uld file initialized, total: 0
13:35:31 Start TridentEngine... 42761
13:35:31 initial service success
13:35:43 STD version!!!
13:35:43 -start
13:35:44 command line has been handled
13:35:44 handle showgui event
13:35:44 create gui thread
19:14:23 STD version!!!
19:14:29 TeeferOpen Mem=1024 NIC=0000...19:14:29 Success
19:14:29 TSE is located at: D:\PROGRAMME\SYGATE\SPF\
19:14:29
============ Network Interface List =========
19:14:29 =============================================
19:14:29 TSE started.
19:14:29 Use new Config... 34314
19:14:29 Apply Config... 34314
19:14:29 ULD: uld file initialized, total: 0
19:14:29 Switch To New Location... 34716
19:14:29 Apply Config... 34736
19:14:29 ULD: uld file initialized, total: 0
19:14:29 Start TridentEngine... 34740
19:14:29 initial service success
19:14:51 STD version!!!
19:14:51 -start
19:14:52 handle showgui event
19:14:52 create gui thread
19:14:52 command line has been handled
19:14:57 Message Console fail to get system log from sylog, the log id is 7201


Wichtig wäre für mich auch mal etwas über dieses ominöse vbsfile (s.o.) zu erfahren.

</font><blockquote>Zitat:</font><hr />Original erstellt von Nubul:

Wichtig wäre für mich auch mal etwas über dieses ominöse vbsfile (s.o.) zu erfahren. </font>[/QUOTE]Welches vbsfile? Ich erkenne in den Logs kein VBS File? :confused:
Ausserdem ist das das normale Logfile der Sygate Firewall. Das zeigt den Start und den Beendenvorgang dieser, sofern ich das jetzt am frühen Morgen richtig erkenne.

Lucky

Hi Lucky,
folgendes vbsfile (?) will sich beim Hochfahren in die registry eintragen:
HKEY=HKEY_CLASSES_ROOT
PATH=vbsfile\shell\open\command
NAME=
DATA=

Mit dem sygate-log hast du vermutlich recht. War aber nur ein Beispiel. Folgendes ist interessant: seit ich mein Problem hier gepostet habe, sind zumindest meine Übertragungsraten korrekt........
(mal sehen, ob's sich jetzt wieder ändert)
schön' tach noch
Nubul

@Dr Prantl: Lieber Doc, ich bezeichne mich als Newbie im Vergleich zu den Koryphäen hier und ausserdem ist Bescheidenheit eine Zier. Ausserdem bin ich nicht auf der Brennsuppe dahergeschwommen, wie wir hier im sonnigen Süden sagen. Datenübertragung: wird bei Opera angezeigt. Das empfehlenswerte Programm "Regprot" sagt mir, wenn sich was in meine registry schreiben will. Unter dem Euphemismus "Dunkelmann" kann ja jeder verstehen, was er will, ich jedenfalls will meine (!) Informanten nicht gefährden. Das mit dem low level ist zugegebenermassen schon etwas länger her, also muss ich das relativieren. Gibt es Magic Lantern? Gibt es die NSA? Gibt es Homeland Security? Bin ich von gestern? Und..oh Jesses, ich fand www.totaltaer.de ganz interessant, hätte ich gewußt, dass das hier wie eine "Paria-site" behandelt wird, hätte ich es nicht erwähnt. Und ausserdem freut es mich, dass es ausser mir noch andere Paranoiker gibt. :)

@Dr.Prantl, ich möchte auch gern wissen wobei es handelt wenn Ihr von Trollalarm redet.
Hatte schon diverse Seiten, wo diese selbst davor gewarnt hat. Danke Frank

Hallo Ihr lieben, ein leiner Spass am Rande um die Ernsthaftigkeit aufzulockern.


Ode an Xp und Andere


Totale Verspionarschung

In der „DDR“ mußte der Staatssicherheitsdienst noch mühsam inoffizielle Mitarbeiter gewinnen
und ausquetschen, um alles über seine bösen Bürger zu erfahren.
In der globalen XPkratischen Weltrepublik ist das nicht mehr nötig. Die Bürger liefern die
Dossiers über ihre freidenkerischen Aktivitäten gleich selbst ab.
Meine Mails, meine Besuche in zweifelhaften Online – Etablissements, meine (ach so sicheren) SSL3 Bankgeschäfte,
mein ganzes Leben: prinzipiell alles irgendwo abgespeichert.
Ob`s jemanden interessiert? Jetzt vielleicht noch nicht! (Erfahrungswerte)
Aber haben wir uns nicht schon alle einmal gewundert, daß dieses phantastische „DATEN“ Netz von Regierungen und Firmen
so wohlwollend kostenlos zur Verfügung gestellt wird?

War ja nur ne` Frage.


Totale Kriminalisierung

WWW kommt bestimmt nicht von „Wahnsinnig Weiße Weste“.
Es ist ausgesprochen schwierig, zu surfen, ohne sich nicht ein klein wenig mit Illegalität zu bekleckern.
Schon eine harmlose Musikdatei, die ein treusorgender Kumpel einem mailt – und zack, Gesetz verletzt!
Bilder von sonst wo auf der eigenen Houmpäitsch – und Bingo, Recht gebrecht!
Dann noch irgendwo ein heißer Tipp für ein kleines Passwort oder `nen Installcode?
wusch – Strafe droht…
Kurzum: Wir sind alle kleine Sünderlein und langsam aber sicher schön erpressbar.

Herr Saatsanwalt, die Akte der Sünderlein ist zusammengestellt und steht zum Download bereit.
(da kommt doch Freude auf)


Totale Abzockung

Beispiel: Nach dem ersten Golfkrieg zogen die cleveren US – Politiker mit dem Klingelbeutel von einer Industrienation zur anderen.
Millarden Dollar mussten dort eingeworfen werden, als Dank für den Schutz der kuwaitischen Ölquellen. Eine Geschäftsidee, fast noch
brillanter als DOS und Windows: Sich die eigene Rüstungsindustrie vom Ausland subvensionieren zu lassen.
Ähnlich frech: Abzocke XP. Hardware Hersteller müssen wegen eines Betriebssystems neue Treiber schreiben (machen die doch mit links)
und auch noch fette Gebühr dafür abdrücken, daß der XP – Hersteller diese Treiber gut findet.

Resume: Ein Straßenräuber stiehlt Dir die Klamotten und verlangt dafür anschließend eine fette Bearbeitungsgebühr.
(A.d.Schreiberlings: Wir sind doch alle offen für neue Ideen. Oder etwa nicht?)


Totale Unterhaltung

XP schaltet den Homo sapiens in den Disney – Modus. Knietschbunte Skins mitsamt flashy animierten Mauszeigern über den Ernst des Alltags „gezogen“,
dazu smoothe 3D – Rahmen, damit sich endlich wieder etwas wölbt auf den Flachbildschirmen. (Meine Fresse, ist das alles poppig hier!)
Wer hätte gedacht, daß der Arbeitsalltag noch `mal so was von abgefahren wird! Hollywood lässt grüßen. Mensch Leute, denkt medienkonform!
Was moralisch gut ist (freedom) und was moralisch verwerflich ist (saddam), das erfahrt ihr im Kino. Oder im Fenster vom Mediaplayer, immer irgentwo auf dem XP – Deskop.
Er empfängt für euch, wie praktisch, alles was man wissen muß. (wer empfängt auch sendet? oder wie jetzt?)

Der XP – Deskop, der wo schon lange keine Schreibtischoberfläche mehr ist. Aber eben – immer noch sehr, sehr oberflächlich.


Sinnigerweiße im Windows – Office XP geschrieben. „Beherrscht“ dieses, jenes Ding`s doch ca. 90 Prozent aller Deskop PC`s und Laptop`s.


Am Rande: Denkt Euch, dies hier ist ein offizielles Dokument von Eurem Chef. Nun stellt Euch vor, es ist geschützt.
(der Autor will ja nicht, daß jeder darin rumsumseln kann wie er/sie gerade lustig ist).

Oh Du schöne XP – Professional Welt… Du bist so schöööön…

Lösung: markieren, neues Dokument öffnen, einfügen. Schon kann jeder summseln, texten und Chefchen eins auswischen.

Gehe davon aus daß Ihr das wusstet, *lächel*


in total irrer Vorfreude auf „LONGHORN 2004“ .

Euer Naseweiss

</font><blockquote>Zitat:</font><hr />Original erstellt von Naseweis:
Trollalarm </font>[/QUOTE]Ich hoffe mal, dass ich hier jetzt nicht selber "Troll-Feeding" mache... :D :D ;)

Was ist ein Troll im Netz?

Kein Bezug zu Anwesenden & Postenden [img]smile.gif[/img]

@WhoCares, nein selbstverständlich nicht.

hallo,
ich habe das gleiche problem. spannungsabfall in der tel leitung und vor ein paar tagen auch einen trojaner, der völlig unbemerkt war (modem sendete ständig daten mit 20 kb/s hoch obwohl alle proggis ausgeschaltet waren) im netz stellte sich heraus, daß er tastaturanschläge aufzeichnet und versendet. hintergrund ist der, daß eine nette tante aus der anchbarschaft gemeldet hatte, daß ich bartträger bin und sehr verdächtig wirke. daraufhin bekam ich eine einladung zum polizeipräsidium und wurde zum 11. september vernommen, da ich auch wirklich 1993 zum islam konvertierte wurde ich dann auch promt erfasst. aber ich nehms gelassen und schrei ab und zu mal duchs telefon sie sollen sich eine digitale abhöranlage anschaffen, damit ich wenigstens in vernünftiger qualität weitertelefonieren kann.:bussi:
Der kripo-beamte meldete sich auch dann bei der "tante" und sagte sie solle die behörden nicht an der nase herumführen ( da sich herausstellte, daß sie mir nur einen auswischen wollte); war auch wieder ok.
nur abgehört werde ich immer noch. he....?