[Sonstiges] Vom Freund ausspioniert?

[bologna2010]

Hallo zusammen,
Ich habe mal ne Frage, ich habe einen sehr eifersüchtigen Freund, mit dem ich in einer Fernbeziehung lebe.
Als er jetzt am Wochenende bei mir war, hat er den kompletten Samstag und den halben Sonntag an meinem Pc rum gedoctort......., was ich gesehen habe, hat er alles defragmentiert, den Prozessor aufgetaktet undundund.....

Da er scheinbar ziemlich fit ist, was den pc angeht, würde ich ihm zutrauen, dass er wahrscheinlich sowieso jede einzelne Datei angesehen hat, ich habe vorher den cc cleaner rübergeschickt......und dass er viell. was installiert hat, womit er mich "aussionieren" kann. Nun meine Frage, ist sowas möglich? Kann er aus der Ferne auf meinen Rechner zugreifen, sehen, was ich gemacht habe, wenn er das nächste Mal kommt????
Mein PC läuft normalerweise über Kabel, er hat aber für meinen Sohn einen Router angebracht, meine jetzigie Leitung, so sagt er, läuft aber immernoch über Kabel, es geht beim Router nur darum, dass mein Sohn bei Bedarf seine psp irgendwie verbinden kann.
Ich habe BS Windows XP.
Ein Bekannter erzählte mir, dass es gar möglich sei, dass er sozusagen aufnehmen kann, welche Tasten ich auf meiner Tastatur anschlage!!!!
Ich fand es schon ziemlich merkwürdig, wie lange er sich meinem PC gewidmet hat, angeblich um ihn schneller zu machen....und wie besprochen und gebeten, den Router vorzubereiten.
Wer weiss da was? Und wie kann ich ein viell. verstecktes Programm, mit dem man sowas machen kann finden?
Ich wäre euch echt dankbar für ein paar Tips........
Liebe Grüße
Luniz

[XXXXXL]

Hallo,

ja das ist möglich, 1 1/2 Tage sind für so eine Angelegenheit aber entschieden zu viel.

Das einzige was hier richtig lange dauern kann ist das Defragmentieren, das ist aber auch vom Defragmentionsgrad und der Plattengrösse abhängig. Ein Profi lässt so etwas in Leerlaufzeiten (Nachts, Feiertag, Wochenende etc.) laufen.

Leider ist meine Zeit jetzt knapp bemessen, es findet sich sicher ein anderer der auf Dein Problem genauer eingeht.

[AHT]

Ist möglich, aber eine Straftat. 1 1/2 Tage? Braucht man eigentlich nur, wenn man die Sache selbst programmiert...

[Schwabenpfeil!]

Hallo Luniz,

ja, es könnte in der Tat sein, dass Dein Freund Programme zur Überwachung installiert und eingerichtet hat. So genante Keylogger zeichnen jeden Tastaturanschlag auf und andere Programme protokollieren auf welchen Seiten im Internet Du gewesen bist und was Du dort eingegeben hast, z.B. in eine Chat. Möglich ist das, aber ob es denn auch wirklich so ist, können wir vielleicht herausfinden.

Die Sache mit dem Router klingt einleuchtend. Dein Rechner ist per Kabel mit dem Router verbunden und gleichzeitig kann Dein Sohn per Laptop oder PSP via WLAN ins Internet. So habe ich das bei mir auch gemacht, der Desktop-PC ist per Kabel an den Router/Modem angeschlossen und mit meinem Läppi kann ich nun zusätzlich von überall im Haus per WLAN ins Netz.

Hat er Dir denn erzählt was er 1,5 Tage am PC gemacht hat? Nur defragmentieren, ein bisschen aufräumen und den Router einrichten, dauert eigentlich nicht gar so lange.

Bitte lade Dir mal das Programm HijackThis auf Deinen Rechner und erstelle damit ein Logfile, welches Du dann bitte hier postest. (Also den Text kopieren und einfügen)
Hijackthis Anleitung

Vielleicht können wir da schon sehen, ob es was zweifelhaftest installiert hat.

Gruß
Schwabenpfeil!

[bologna2010]

Hallo Schwabenpfeil,
Vielen Dank für die Antwort, hier die logfile:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:19:40, on 26.04.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17023)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\NMSAccessU.exe
C:\Programme\OO Software\Defrag\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Stardock\CursorFX\CursorFX.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Skype\Toolbars\Shared\SkypeNames.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Microsoft Windows Update
R3 - URLSearchHook: DVDVideoSoft Toolbar - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Programme\DVDVideoSoft\tbDVDV.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: DVDVideoSoft Toolbar - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Programme\DVDVideoSoft\tbDVDV.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: DVDVideoSoft Toolbar - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Programme\DVDVideoSoft\tbDVDV.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus DX7400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE /FU "C:\DOKUME~1\Besitzer\LOKALE~1\Temp\E_S15.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [CursorFX] "C:\Programme\Stardock\CursorFX\CursorFX.exe"
O8 - Extra context menu item: add to &BOM - C:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/.../GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1213952910131
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe Active File Monitor V7 (AdobeActiveFileMonitor7.0) - Adobe Systems Incorporated - C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\Gemeinsame Dateien\NMSAccessU.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Programme\OO Software\Defrag\oodag.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
O24 - Desktop Component 0: (no name) - http://www.gratis-malvorlagen.de/vor...i_HFB-0449.jpg
O24 - Desktop Component 1: (no name) - http://www.tierenzyklopaedie.de/grafiken/buckelwal1.jpg
O24 - Desktop Component 2: (no name) - http://www.google.de/images?q=tbn:ma...s/Drachen2.png
O24 - Desktop Component 3: (no name) - http://tbn2.google.com/images?q=tbn:...er/drachen.jpg
O24 - Desktop Component 4: (no name) - http://wwf-arten.wwf.de/img/_symbols/arrow.gif

--
End of file - 7826 bytes

[Eisbär]

Also ich bin zwar kein Experte im Auswerten der Logfiles, aber nach meiner Erkenntnis ist der PC sauber.
Du könntest den Internet Explorer 8 installieren, weil der sicherer ist als der 7er.

[XXXXXL]

Hallo,

nach überfliegen des Logfiles sehe ich:

Defrag musste wahrscheinlich nicht ausgeführt werden.
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Programme\OO Software\Defrag\oodag.exe ist ein Defragtool das im Hintergrund läuft und die Defragmentation beim Dateizugriff erledigt.

Ansonsten sind keine Auffälligkeiten zu finden. Das hat aber nichts zu sagen, Keylogger verstecken sich recht gut.

Es melden sich aber sicher noch andere zu dem Log zu Wort.

Nachtrag:
Du hast es schon gemacht dann bleib dabei, mind. 2xwöchentlich CCleaner laufen lassen.

Nebenbei, ob Straftat hin oder her, sollte sich herausstellen das es wirklich an Deiner Vermutung ist, dann gibt es nur zwei Wege.
ein klärendes Gespräch
oder
WinkeWinke

Den so-etwas geht nun mal garnicht.

[Wuotan]

Hi,
das was möglich ist ist ja schon gesagt worden. Vom Keylogger über Trojaner bis zu Remotesoftware (die ja schon teilweise serienmäßig installiert ist) ist alles drinn.
Aber mal was Anderes: Wem ich nicht vertraue, den lass ich NICHT so an meinem PC rumfummeln.

[Schwabenpfeil!]

Also aus dem Logfile konnte ich auch nichts ungewöhnliches erkennen. Bitte erstelle aber mal noch ein RSIT-Logfile und postet auch dieses dann hier.
RSIT - Anleitung zum Installieren und Ausführen

Das Logfile wird dann wieder jemand aus unserem Malware-Team auswerten.

[Schwarzbart]

Zitat:

Zitat von Luniz

den Prozessor aufgetaktet undundund.....

Wenn man das richtig macht, mit stabilitätstest und so, dauert das schon seine Zeit (Ich mein jetzt im Bezug darauf, warum er 1,5 Tage am PC gehangen hat).

LG
Schwarzbart

[ab42r]

... und umgekehrt kostet das Installieren eines Keyloggers/RAT (inkl. Anpassen an die vorhandene Security-Software) auch nicht mehr Zeit, als sich 'nen Brot zu schmieren. Alleine aus der "Bastelzeit" am Rechner böse Absichten herzuleiten führt zu keinem Ergebnis.

Bei den Dingen, die er offenbar am Rechner erledigt, braucht man allerdings keine 1,5 Tage. Auch bei einem Stabilitätstest glotze ich nicht stundenlang auf den Monitor sondern widme mich meiner Freundin. Ich habe eher den Verdacht, daß er nicht so fit ist, wie Luniz es vermutet hat: Neben O&O Defrag läuf auch noch der TuneUp-Defrag-Dienst. Sowas hätte man in 1,5 Tagen entdecken müssen.

Ich finde es viel merkwürdiger, daß er den Rechner interessanter als seine Freundin findet. Egal, ob er die Kiste präpariert hat oder nicht.

[XXXXXL]

Zitat:

Zitat von ab42r

... und umgekehrt kostet das Installieren eines Keyloggers/RAT (inkl. Anpassen an die vorhandene Security-Software) auch nicht mehr Zeit, als sich 'nen Brot zu schmieren. Alleine aus der "Bastelzeit" am Rechner böse Absichten herzuleiten führt zu keinem Ergebnis.

Bei den Dingen, die er offenbar am Rechner erledigt, braucht man allerdings keine 1,5 Tage. Auch bei einem Stabilitätstest glotze ich nicht stundenlang auf den Monitor sondern widme mich meiner Freundin. Ich habe eher den Verdacht, daß er nicht so fit ist, wie Luniz es vermutet hat: Neben O&O Defrag läuf auch noch der TuneUp-Defrag-Dienst. Sowas hätte man in 1,5 Tagen entdecken müssen.

Ich finde es viel merkwürdiger, daß er den Rechner interessanter als seine Freundin findet. Egal, ob er die Kiste präpariert hat oder nicht.

Guten Morgen,

Du hast es auf denn Punkt gebracht.

mfg

[bologna2010]

Danke erstmal für die Antworten.......

Aber trotz der eigentlich beruhigenden Worte....ich werd das Gefühl nicht los, er verplappert sich manchmal ein wenig, z.B habe ich mal vor 2 Jahren versucht meine 3 emailkonten über outlook zum laufen zu bringen, habs nicht gerafft. Neulich habe ich mit ihm telefoniert und da ich das Outlook jetzt für meine Arbeit brauche, er hat dann versucht es mit mir gemeinsam via telefon einzurichten, und siehe da, da purzelt ihm raus: Na, du hast doch da 3 email konten....."

Ich habs ihm aber vorher nicht gesagt, ganz bewusst, da eines der konten sehr privat ist Aber er wusste es. Und er hat auch (auf meine Frage) wie ich an ein altes vergessenes passwort komme, innerhalb 2 min. mir passwörter genannt, die schon uralt sind. Wo ist denn sowas hinterlegt? Und ich habe doch den cc cleaner auch mehrfach benutzt. Warum hat der cc nicht alles gelöscht? Und alles im Mozilla habe ich auch nochmal gelöscht. Nach dem Motto: Doppelt hält besser.

Hat jemand viell. Lust und Zeit mir in kurzen Worten zu erklären, was man bei der log. datei des highjackthis erkennen kann? Was z.B bedeutet HKML???BHO und diese Klammern? Kann man sehen, wann was gemacht wurde?

Zum Thema Keylogger, ER hat auch den permanenten Spybot ausgeschaltet...und ich finde nicht mehr wieder, wie ich ihn damals aktiviert habe...komisch.
Welche Dateien könnten verdächtig sein? Wie kann ich den keylogger entlarven?
Könnte er auch mit Teamviewer, meiner ip und den ganzen Daten des Routers auf meinen PC zugreifen????

Ich danke euch jetzt schon , fühl mich grad bissel ausgeliefert....Ja, und über das Vertrauen in dieser Beziehung brauchen wir uns ja nicht unterhalten, ich weiss, da steht was bevor...

Liebste Grüße
Luniz

[^L^]

Seltsam Beziehung - "Freundschaft" ist das wohl keine - eher ? ... keine Ahnung.

Ich würde jedenfalls auf einer anderen Partition das System neu aufsetzen
und jemand anderen um Hilfe bitten.

salü

BTW: Ausser man lässt sich gern beobachten um das Gefühl von Einsamkeit zu mildern. ^^

[ab42r]

Zu den Abkürzungen im Log: Hier: Windows-Registrierungsdatenbank ? Wikipedia findest du Infos zu den "HKLM" - Sachen. Kurz: damit werden Orte in der Registry (Windows-Registrierungsdatenbank ? Wikipedia) bezeichnet. BHO sind Programme, die die Funktionen vom Internet Explorer erweitern. Und die Klammern sind... Klammern In den geschweiften stehen Werte der Registry, in den eckigen einfach nur nähere Bezeichnungen (zumindest manchmal).