Forum
Tipps
News
Menu-Icon
Thema geschlossen (topic locked)

Windows Vista: Benötige Hilfe, habe ein Spionageprogramm auf meinem Laptop

Hallo,
ich benötige dringend hilfe, jemand hat mir das Programm All in One Keylogger auf den Laptop gepackt... kann mir viell. jemand helfen? wie kann ich rausfinden an wen die daten weiter geschickt werden


Mein Computer-System:
   
Mein PC ist etwa 0-2 Jahre alt.
 



Antworten zu Windows Vista: Benötige Hilfe, habe ein Spionageprogramm auf meinem Laptop:

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

 

Zitat
kann mir viell. jemand helfen? wie kann ich
Eher nicht. Ums Formatieren und neu installieren wirst Du in dem Fall nicht herumkommen.

 
Zitat
rausfinden an wen die daten weiter geschickt werden
Keine Chance. Es sei denn, der "Installateur" würde Dir das Passwort für den Zugang zum Keylogger verraten. Durch Nachdenken solltest Du allerdings zu dem Schluss kommen können, wer Zugriff auf Deinen PC hat und hatte und das Ding installieren konnte. Dann kannst Du Dir auch "ausrechnen" an wen Deine Daten gehen...

kann man das programm denn nur durch manuelles downloaden auf den laptop machen also nicht irgendwie über einen trojaner oder so? ich bin nicht so der pc freak, aber jemand hat mir gesagt mit dem programm wireshark oder so könnte man sehen wohin die daten gehen aber leider bekomm ich das nicht auf die kette

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Ladt dir Hijackthis runter und erstelle damit ein Logfile. Anleitung siehe hier:
Anleitung Hijackthis

Außerdem mache einen Scan mit Malwarebytes, lasse alle Funde löschen und Poste den Report hier:

Anleitung:
Anleitung Malwarebytes

Und zum guten schluss auch Combofix benutzen und Logfile posten!!
Combofix

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

 

Zitat
mit dem programm wireshark oder so  
das in DE eigentlich aufgrund von Datenschutzbestimmungen auch nur illegal eingesetzt werden kann / darf...

 
Zitat
könnte man sehen wohin die daten gehen
ja, an irgendeine IP mit der Du nichts anfangen kannst... und ohne richterliche Anordnung nicht nachverfolgen kannst...

 
Zitat
aber leider bekomm ich das nicht auf die kette
das denke ich auch...

Vergiss es einfach. Der Keylogger gehört zur professionellen Gattung, mit "Hausmittelchen" und Amateurwissen richtest Du da nichts aus.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

 

Zitat
Ladt dir Hijackthis runter und erstelle damit ein Logfile. Anleitung siehe hier:
Anleitung Hijackthis
im Fall dieses Keyloggers: spare Dir die Mühe. Einzige Abwehr: Formatieren.

Zitat
Außerdem mache einen Scan mit Malwarebytes, lasse alle Funde löschen und Poste den Report hier:

Anleitung:
Anleitung Malwarebytes

im Fall dieses Keyloggers: spare Dir die Mühe. Einzige Abwehr: Formatieren.

Zitat
Und zum guten schluss auch Combofix benutzen und Logfile posten!!
Combofix
im Fall dieses Keyloggers: spare Dir die Mühe. Einzige Abwehr: Formatieren.

das habe ich befürchtet, aber vielleicht kann mir noch jemand sagen ob es auch möglich ist das das ein trojaner ist oder ob es jemand drauf gespielt hat, ich habe letzte woche erst das programm familykeylogger auf meinem laptop gehabt und jetzt dieses...also trojaner oder war jemand an meinen laptop zugange?

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button
  im Fall dieses Keyloggers: spare Dir die Mühe. Einzige Abwehr: Formatieren.

  im Fall dieses Keyloggers: spare Dir die Mühe. Einzige Abwehr: Formatieren.

  im Fall dieses Keyloggers: spare Dir die Mühe. Einzige Abwehr: Formatieren.

Ehm nein das stimmt nicht!!

Misssuny mach mal bitte das was ich geschrieben hab. Das wird uns Infos zur Infektion geben.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

 

Zitat
aber vielleicht kann mir noch jemand sagen ob es auch möglich ist das das ein trojaner ist oder ob es jemand drauf gespielt hat,
Der AIO Keylogger muss manuell installiert werden...

 
Zitat
 ich habe letzte woche erst das programm familykeylogger auf meinem laptop gehabt und jetzt dieses...
und da wirst Du nicht nachdenklich...??

 
Zitat
also trojaner
siehe oben: in diesem Fall nicht. Den AIO-Keylogger MUSSTE jemand händisch installieren...

 
Zitat
oder war jemand an meinen laptop zugange?
Mit ziemlicher Sicherheit.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button
Ehm nein das stimmt nicht!!
Ehm ja. Das stimmt wirklich. Der Keylogger zeigt den genannten "Hausmittelchen" den Stinkefinger und bleibt wo er ist. 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Das sind bekannte "billig" keylogger die sogar von 3/4 aller Av Prog. erkannt werden. Die zeigen garnix, haben nichtmal ne veränderungsroutine zum Tarnen onboard.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:58:14, on 16.03.2009
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16809)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
c:\windows\system32\jtubdl.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\Common Files\TerraTec\Remote\TTTvRc.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~2\TerraTec\TERRAT~1\THCDES~1.DLL
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TerraTec Remote Control] C:\Program Files\Common Files\TerraTec\Remote\TTTVRC.exe
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\System32\msconfig.exe" /auto
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SysVContoller32] C:\Windows\System32\svcl32\svcl32.exe
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: tmpiovkldrgqgh - asm - c:\windows\system32\jtubdl.exe

--
End of file - 5754 bytes
 

@ ersguterjunge:
In diesem fall ist reinigen sinnfrei,auch wenn Du als oberreiniger das nicht wahrhaben willst.

@issunny:
Daten mit knoppix sichern und platte formatieren.Dann system neu aufsetzen und über zugriffsbeschränkung nachdenken.also wer soll wie zugriff erhalten.
Beim entwickeln eines sicherheitskonzepütes helfen wir gerne.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Vorm Formatieren würde ich jedoch gerne neue Malware sicherstellen und den AV Herstellern shicken.

Deswegen folgende Datei an meile E-mail adresse Schicken:

[email protected]

Die Datei:
c:\windows\system32\jtubdl.exe

 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Dieses Spionageprogramm habe ich auch auf einem Laptop gefunden, und werde es mal genauer untersuchen. Wenn da jemand schon Erkenntnisse hat, wäre ich neugierig, was da bereits bekannt ist.

Mein Wissen bis jetzt ist folgendermaßen:
Das Programm wird durch einen Service gestartet, aber auch nicht direkt. Es wird eine Anwendung im einem nicht sichtbaren Verzeichnis unter Programme gestartet (jtubd.exe), dass dann die Anwendung jtubdl.exe im Windows-System-Vz startet.
Geschrieben werden htm-Dateien in ein Verzeichnis im Local/Temp-Path, aber dieses Verzeichnis habe ich bisher nicht entdecken können. Denn ich schätze, dass dort die Daten abgelegt werden, solange das Gerät nicht mit dem Internet verbunden ist.

Vielleicht eröffne ich einen neuen Thread zu diesem Thema ...

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button
Vielleicht eröffne ich einen neuen Thread zu diesem Thema ...

ja, das wäre schon besser, da der Thread über 3 Jahre alt ist  :)

« FLAME : Diverses zum "Supervirus" , inkl Gegenmaßnahmen ...FixIt !! Exploit-fuer-ungepatchte-IE-Luecke-veroeffentlicht »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Internet-Zugriffsprogramm
Ein Internet-Zugriffsprogramm, auch Browser genannt, stellt Internetseiten für den Benutzer dar. Am bekanntesten ist der Microsoft Internet Explorer, gefolgt vom kos...

Programm
Siehe Software...

Firewall
  Die Firewall (englisch für Brandschutzwand) agiert als Barriere und Schutz zwischen dem internen Netzwerk (z.B. einem Heim- oder Unternehmensnetzwerk - LAN...