Windows Vista: Benötige Hilfe, habe ein Spionageprogramm auf meinem Laptop

 

kann mir viell. jemand helfen? wie kann ich

Eher nicht. Ums Formatieren und neu installieren wirst Du in dem Fall nicht herumkommen.

 

rausfinden an wen die daten weiter geschickt werden

Keine Chance. Es sei denn, der "Installateur" würde Dir das Passwort für den Zugang zum Keylogger verraten. Durch Nachdenken solltest Du allerdings zu dem Schluss kommen können, wer Zugriff auf Deinen PC hat und hatte und das Ding installieren konnte. Dann kannst Du Dir auch "ausrechnen" an wen Deine Daten gehen...

kann man das programm denn nur durch manuelles downloaden auf den laptop machen also nicht irgendwie über einen trojaner oder so? ich bin nicht so der pc freak, aber jemand hat mir gesagt mit dem programm wireshark oder so könnte man sehen wohin die daten gehen aber leider bekomm ich das nicht auf die kette

Ladt dir Hijackthis runter und erstelle damit ein Logfile. Anleitung siehe hier:
Anleitung Hijackthis

Außerdem mache einen Scan mit Malwarebytes, lasse alle Funde löschen und Poste den Report hier:

Anleitung:
Anleitung Malwarebytes

Und zum guten schluss auch Combofix benutzen und Logfile posten!!
Combofix

 

mit dem programm wireshark oder so  

das in DE eigentlich aufgrund von Datenschutzbestimmungen auch nur illegal eingesetzt werden kann / darf...

 

könnte man sehen wohin die daten gehen

ja, an irgendeine IP mit der Du nichts anfangen kannst... und ohne richterliche Anordnung nicht nachverfolgen kannst...

 

aber leider bekomm ich das nicht auf die kette

das denke ich auch...

Vergiss es einfach. Der Keylogger gehört zur professionellen Gattung, mit "Hausmittelchen" und Amateurwissen richtest Du da nichts aus.

 

Ladt dir Hijackthis runter und erstelle damit ein Logfile. Anleitung siehe hier:
Anleitung Hijackthis

im Fall dieses Keyloggers: spare Dir die Mühe. Einzige Abwehr: Formatieren.

Außerdem mache einen Scan mit Malwarebytes, lasse alle Funde löschen und Poste den Report hier:

Anleitung:
Anleitung Malwarebytes

im Fall dieses Keyloggers: spare Dir die Mühe. Einzige Abwehr: Formatieren.

Und zum guten schluss auch Combofix benutzen und Logfile posten!!
Combofix

im Fall dieses Keyloggers: spare Dir die Mühe. Einzige Abwehr: Formatieren.

das habe ich befürchtet, aber vielleicht kann mir noch jemand sagen ob es auch möglich ist das das ein trojaner ist oder ob es jemand drauf gespielt hat, ich habe letzte woche erst das programm familykeylogger auf meinem laptop gehabt und jetzt dieses...also trojaner oder war jemand an meinen laptop zugange?

  im Fall dieses Keyloggers: spare Dir die Mühe. Einzige Abwehr: Formatieren.

  im Fall dieses Keyloggers: spare Dir die Mühe. Einzige Abwehr: Formatieren.

  im Fall dieses Keyloggers: spare Dir die Mühe. Einzige Abwehr: Formatieren.

Ehm nein das stimmt nicht!!

Misssuny mach mal bitte das was ich geschrieben hab. Das wird uns Infos zur Infektion geben.

 

aber vielleicht kann mir noch jemand sagen ob es auch möglich ist das das ein trojaner ist oder ob es jemand drauf gespielt hat,

Der AIO Keylogger muss manuell installiert werden...

 

 ich habe letzte woche erst das programm familykeylogger auf meinem laptop gehabt und jetzt dieses...

und da wirst Du nicht nachdenklich...??

 

also trojaner

siehe oben: in diesem Fall nicht. Den AIO-Keylogger MUSSTE jemand händisch installieren...

 

oder war jemand an meinen laptop zugange?

Mit ziemlicher Sicherheit.

Ehm nein das stimmt nicht!!

Ehm ja. Das stimmt wirklich. Der Keylogger zeigt den genannten "Hausmittelchen" den Stinkefinger und bleibt wo er ist. 

Das sind bekannte "billig" keylogger die sogar von 3/4 aller Av Prog. erkannt werden. Die zeigen garnix, haben nichtmal ne veränderungsroutine zum Tarnen onboard.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:58:14, on 16.03.2009
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16809)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
c:\windows\system32\jtubdl.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\Common Files\TerraTec\Remote\TTTvRc.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~2\TerraTec\TERRAT~1\THCDES~1.DLL
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TerraTec Remote Control] C:\Program Files\Common Files\TerraTec\Remote\TTTVRC.exe
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\System32\msconfig.exe" /auto
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SysVContoller32] C:\Windows\System32\svcl32\svcl32.exe
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: tmpiovkldrgqgh - asm - c:\windows\system32\jtubdl.exe

--
End of file - 5754 bytes
 

@ ersguterjunge:
In diesem fall ist reinigen sinnfrei,auch wenn Du als oberreiniger das nicht wahrhaben willst.

@issunny:
Daten mit knoppix sichern und platte formatieren.Dann system neu aufsetzen und über zugriffsbeschränkung nachdenken.also wer soll wie zugriff erhalten.
Beim entwickeln eines sicherheitskonzepütes helfen wir gerne.

Vorm Formatieren würde ich jedoch gerne neue Malware sicherstellen und den AV Herstellern shicken.

Deswegen folgende Datei an meile E-mail adresse Schicken:

[email protected]

Die Datei:
c:\windows\system32\jtubdl.exe

 

Dieses Spionageprogramm habe ich auch auf einem Laptop gefunden, und werde es mal genauer untersuchen. Wenn da jemand schon Erkenntnisse hat, wäre ich neugierig, was da bereits bekannt ist.

Mein Wissen bis jetzt ist folgendermaßen:
Das Programm wird durch einen Service gestartet, aber auch nicht direkt. Es wird eine Anwendung im einem nicht sichtbaren Verzeichnis unter Programme gestartet (jtubd.exe), dass dann die Anwendung jtubdl.exe im Windows-System-Vz startet.
Geschrieben werden htm-Dateien in ein Verzeichnis im Local/Temp-Path, aber dieses Verzeichnis habe ich bisher nicht entdecken können. Denn ich schätze, dass dort die Daten abgelegt werden, solange das Gerät nicht mit dem Internet verbunden ist.

Vielleicht eröffne ich einen neuen Thread zu diesem Thema ...