Trojaner-Board - bin gehackt worden!

Trojaner-Board (https://www.trojaner-board.de/)

- Antiviren-, Firewall- und andere Schutzprogramme (https://www.trojaner-board.de/antiviren-firewall-andere-schutzprogramme/)

- - bin gehackt worden! (https://www.trojaner-board.de/29396-gehackt-worden.html)

bin gehackt worden!

Hi!

seit heute kommt mir alles irgendwie komisch vor! Am abend schreib einer auf einer community seite das was ich geredet habe auf meiner nickpage! ich hab das passwort geändert, aber er wusste es immernoch!!!
Er weis genau as ich rede und meinen nachbar (der über wlan bei uns dabei is) wurde irgendwas beim bios gemacht! (er hat die batterie raus genommen und wieder rein und er ging wieder)!
Ich bin durch einen WRT54G geschützt, eschützt ist gut gesagt! er schrieb "setz ruhig neu auf, das hat wird nichts bringen, tip: router" Ich hab den router geflashed, reseted, allesmögliche! aber er ist immernoch da!!!!! Ich hab outpost (firewall) oben aber die hilft auch nichts... ich hab sie erst nachher installiert.
Ich finde keinen prozess oder ähnliches (nod32) der infiziert ist!

hier mein hijackthis log:

Zitat:

Logfile of HijackThis v1.99.1
...

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/showpost.php?p=171957&postcount=1

danke
GUA
[/edit]

Dein Log scheint auf dem ersten Blick sauber zu sein, bis auf ein paar unbekannte Programme (Coolbits z.B. habe ich nach ner Googlesuche identifiziert).
Welche WLAN-Verschlüsselung setzt Du ein?

mit wlan hat es nichts zu tun, denn ich bin direkt über lan verbunden
ich denke, das er am router einen trojaner installiert hat ...

Nana, abgesehen davon dass ein Trojaner was vollkommen anderes ist. Du meinst vermutlich Backdoor oder Sniffer, ist AFAIK auf dem Router nicht "in deinem Sinn" so machbar. Vorallem nicht wenn du neu "geflashed" (neue Firmware?) hast UND den Router ordentlich eingerichtest hast (keine Fernwartung! Administratorpasswort etc.)

Abgesehen davon ist ein "mitschreiben und analysieren" übertragener, größerer Netzwerkdaten auch nicht so ganz trivial.

Und Fehler am/im BIOS sind zu 99,999999...% Sicherheit nicht auf Malware zurückzuführen. Wärs der CIH-Virus gewesen, wäre das Ergebnis ein anderes gewesen und im laufenden Windows-Betrieb im CMOS was ändern ist auch eher ein "Fabel"-haftes Ereignis.

Verstehst du unter "geredet" das was du auf deiner Nickpage steht? Was soll da das Problem sein, die Seite ist ja wohl dazu da gelesen zu werden und vermutlich ist der Passwortschutz unzureichend, sollte sie zugangsgeschützt sein. Liegt die "Nickpage" im Internet oder lokal auf einem Heimserver?

ich und mein nachbar, haben über skype geredet! (das er hoffentlich schon weg ist)
danach schrieb er in der nickpage (als about me text): "ja ich ibn noch da!!! du noob dein computer ist in 2h... schrottreif..."

nochmal das Hijackthis Log:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 23:02:52, on 21.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5346.0005)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Eset\nod32kui.exe
C:\programme\powerstrip\pstrip.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\RefreshLock.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\SpeedFan\speedfan.exe
C:\Programme\TaskSwitchXP\TaskSwitchXP.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\WINDOWS\system\CmSNXeye.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\******\LOKALE~1\Temp\Rar$EX00.312\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Trixie.Bho - {B0744341-96E0-4341-9ED2-8BC36CE0CCD0} - mscoree.dll (file missing)
O2 - BHO: (no name) - {E14DCE67-8FB7-4721-8149-179BAA4D792C} - (no file)
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [RefreshLock] C:\Programme\RefreshLock.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programme\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKCU\..\Run: [speedfan] C:\Programme\SpeedFan\speedfan.exe
O4 - HKCU\..\Run: [Coolbits-Aktivierung] C:\WINDOWS\regedit.exe /S C:\WINDOWS\coolbits.reg
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Programme\TaskSwitchXP\TaskSwitchXP.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL
O9 - Extra 'Tools' menuitem: Tri&xie Options... - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB6F4571-9733-45F2-A61E-A31ACD742A39}: NameServer = 192.168.1.1
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Programme\NetLimiter 2 Pro\nlsvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programme\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Zitat:

Zitat von eXoR

mit wlan hat es nichts zu tun, denn ich bin direkt über lan verbunden
ich denke, das er am router einen trojaner installiert hat ...

Ja aber Dein Nachbar nutzt doch, wie ich es verstanden habe, Deine Internetverbindung über WLAN oder nicht?

Zitat:

Wäre es möglich, dass wohl einfach nur das Skypekonto von Deinem Nachbarn gecrackt wurde und der Angreifer deshalb diese Nachricht hinterlassen konnte?
Gibt es denn noch andere Zeichen dafür, dass Dein System kompromittiert ist? Am Logfile lässt sich imho nichts erkennen...

ich weis jetzt!!! auf meinen nachbarn seinen PC ist ein trojanrer!!! wir sind uns zu 1000% sicher...
wie bekomme ich ihn weg?, nod 32 findet nichts?

edit: die hijackthis log meines nachbarn:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 22:20:51, on 22.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\Programme\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe
C:\Programme\Linksys Wireless-G PCI Wireless Network Monitor\WMP54Gv4.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ASUS\Asus Probe\AsusProb.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Eset\nod32kui.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Steam\steam.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\**\LOKALE~1\Temp\Rar$EX00.391\HijackThis.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Asus Probe\AsusProb.exe
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programme\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\RunOnce: [InnoSetupRegFile.0000000001] "C:\WINDOWS\is-UVRNU.exe" /REG
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: (no name) - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL
O9 - Extra 'Tools' menuitem: Tri&xie Options... - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8C34114-06E7-4A80-9A32-2DA1AB40858C}: NameServer = 195.58.160.194,195.58.161.122
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programme\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
O23 - Service: WMP54Gv4SVC - Unknown owner - C:\Programme\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe" "WMP54Gv4.exe (file missing)

Zitat:

C:\WINDOWS\is-UVRNU.exe

Wertet mal diese Datei bei Virustotal aus und postet die Ergebnisse.

Zitat:

O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

VNC? Ist das gewollt?

vnc is gewollt ja...
die datei is-UVRNU.exe existiert nicht mehr!

Mach dort mal einen Check mit Blacklight.

er findet nichts... kann es sein , das der trojaner so versteckt ist?

Bei dem Scan mit Blacklight geht es nicht um Trojaner sondern darum .... HIER

Stand in dem Log von Blacklight garnichts drinnen??

Gruß
Daniel

und wie kann ich jetzt den trojaner finden und löschen!!
ich bitt eum hilfe das kann nicht ehr so weiter gehen

edit: blacklight log:

Zitat:

05/22/06 23:20:49 [Info]: BlackLight Engine 1.0.36 initialized
05/22/06 23:20:49 [Info]: OS: 5.1 build 2600 (Service Pack 2)
05/22/06 23:20:49 [Note]: 7019 4
05/22/06 23:20:49 [Note]: 7005 0
05/22/06 23:20:50 [Note]: 7006 0
05/22/06 23:20:50 [Note]: 7011 1832
05/22/06 23:20:50 [Note]: 7026 0
05/22/06 23:20:51 [Note]: 7026 0
05/22/06 23:20:54 [Note]: FSRAW library version 1.7.1015
05/22/06 23:22:00 [Note]: 7007 0

edit2: ist es wirklich nicht möglich das am router ein trojane roben ist?

Zitat:

C:\WINDOWS\is-UVRNU.exe
Wertet mal diese Datei bei Virustotal aus und postet die Ergebnisse.

Hast du das schon gemacht?

Kommst du aus Wien? :party:

Dann benutze den Anschluss alleine. Trenne den Nachbarn von Deinem Netz. Alles andere hat für mich den Eindruck von Trollerei.

@[GC]Sunny
Schönen Abend noch

Warum wird hier eigentlich noch geantwortet?
Auf Shadows Post kam überhaupt nichts.
Warum wird gefüttert?:juul:

also anwtort an shadow: beim router ist alle hacksicher eingestellt!
was ist der uinterschied zwischen Backdoor und Trojaner?
Das mit der Nickpage: es ist eine community wo man sich einloggen muss (logisch) und da mein nachbar ein trojaner oder sonst was oben hat, und diese community einen netzwerk bug hat, kann er sich bei meinen profil einloggen.
Ich weis nicht ob er direkt was am CMOS geändert hat oä. aber er hat etwas gemacht damit das bios "im arsch" ist... naja ich werd nun mal bei ihm vorbeischauen und mir den rechner auf viren durchsuchen!!

mfg.

Zitat:

Zitat von eXoR

... und diese community einen netzwerk bug hat, kann er sich bei meinen profil einloggen.

Kann dann wohl jeder oder diese "community" checkt nur nach IP-Adresse dann können es zumindest einige. Also wenn du weißt, dass "diese community einen netzwerk bug hat", warum machst du dann hier so einen Trara?
Für den Unterschied zwischen Trojaner und Backdoor lege ich dir Glossar jedes AV-Herstellers ans Herz.

Zitat:

Zitat von eXoR

Ich weis nicht ob er direkt was am CMOS geändert hat oä. aber er hat etwas gemacht damit das bios "im arsch" ist..

Der Nachbar selber vielleicht, Malware war wahrscheinlich nicht die Ursache. Wenn's BIOS im Arsch ist, geht aber nicht mehr viel...

Zitat:

Zitat von eXoR

naja ich werd nun mal bei ihm vorbeischauen und mir den rechner auf viren durchsuchen!!

:teufel3:

sooo....
also ich habs ja gesehen das jemand seinen pc gesteuert hat und geschrieben hat (ohne das man die tastatur angegriffen hat!) es ist nicht VNC...
ich bin mir zu 1000% sicher, wie gesagt! So gut kenn ich mich schon aus, das ich das erkenne ;) umsonst mach ich kein trata

mfg.

Erst ist dein PC ferngesteuert, dann dein Router, jetzt ist es des Nachbars PC,
Was jetzt?
:mad:

wäre ich hier Moderator ...

Zitat:

Zitat von Shadow

Erst ist dein PC ferngesteuert, dann dein Router, jetzt ist es des Nachbars PC,
Was jetzt?
:mad:

wäre ich hier Moderator ...

@Shadow
Wie lange willst Du noch füttern?;)

also... es ist de rnachbar pc der einen trojaner oben hat! bei mir hab ich bisher nichts gemerkt!!!
Aber wie kann ich mir sicher sein??

jetzt is bas komisches passiert!!!!!
wir haben mit den hacker über notepad geschrieben und dann hab ich den router abgetrennt!

Zitat:

GINGO_error/htt/bont/@fatal_error.cc.com

pin: 10010010100101101011010 hunting
deck: TOrtenta
spinn: pet@23.us
space: bug__variabl_entry_LÖLÖLAWME.dero
likeside: port[open]_delet information.spinner|
handjod: TRO-----*spooner-spion-lakefind-SCHREDER@ASAK.../
bele: heating_linksys_router_FAT32.
error: wordpad/link_to_windows/erther/routher[pin:1283@asak]/wirles_coder/wepweger[searchto{TOretenta}].liganos:10010010100101101011010//wins/error/unse->[Neu Textdokument - Editor]=

hahahaha
du bist ein noob
weist nicht mal das ich auf deinem router bin
ach bitte nicht, ich hab angst
äääääääähhhhhhhhhhh
Txet lost
ERROR
###################################################################################################################################################### #################################################

Nun der (Neun-)Live-Chat mit dem Cracker! :blabla:

eher beides ^^
aber ne scherz bei seite bitte...
er hat jetzt den editor offen gelassen
und es kam gleich

Zitat:

verbindung/decked/TOrtenta/pet@23.us/TRo/pin:10010010100101101011010[ahngenommenSPARE:WINDOWS]../log_in|wordpad/link_to_windows/erther/routher[pin:1283@asak]/wirles_coder/wepweger[searchto{TOretenta}].liganos:10010010100101101011010//wins/error/unse->[Neu Textdokument - Editor]=
heeee
guck mal wordad
o scheißß meine pins
error

Kannst du denn noch auf deinen Router zugreifen? Sprich das Log ansehen, und vielleicht herausbekommen welchen Port er benutzt bzw. welche IP??

nein... alles normal!

edit: könnte ich über telnet etwas anrichten? als reparieren (virus finden etc....)

wie alles normal? In deinen actice sessions / offenen Verbindungen sind keine IP-Adressen bzw. Ports angegeben die derzeit geöffnet sind??? :confused:
Sieh mal genau nach...ich glaube nicht das der "Cracker" die Software des Routers gecracked hat! Und wenn der Editor geöffnet ist, dann hat auch dieser einen festen offenen Port ..

ja schon... aber bei mir steht nix in der log.... es stehen nur die 3 ports von emule da... ich hab aber auch viele andere programme, die übers internet laufen trillian,...)

Zitat:

Zitat von eXoR

nein... alles normal!

edit: könnte ich über telnet etwas anrichten? als reparieren (virus finden etc....)

ja schon... aber bei mir steht nix in der log.... es stehen nur die 3 ports von emule da... ich hab aber auch viele andere programme, die übers internet laufen trillian,...)

Was? Ich glaube du setzt dein System einfach schnell wieder neu auf..

Außerdem hast du in deinem Router nicht nur die Log Funktion sondern auch die "aktiven Verbindungen" , d.h. sobald du ein fenster mit Firefox und Co. öffnest und zu einer Seite verbindest, z.B. gmx.de, dann wird dir genau angezeigt welche IP, Port usw!

Wäre recht sinnvoll, da durch die IP Adresse es wahrscheinlich wäre Strafrechtlich gegen den "Cracker" vorzugehen! (sofern er seine Wege nicht altzusehr durch Proxys verschleiert...)

ich finde keine "aktiven verbindungen"...
ich hab nur log ne log...

edit: und ja, in der sehe ich die verbundungen aller art!!!

auch wenn ich sowas eigentlich nicht unterstütze, aber die Neugier ist halt größer...

START-->Ausführen-->cmd-->ENTER

dann folgendes eintippen im DOS Fenster: netstat -an --> ENTER

dann kannst du dir mal ein paar IP Adressen/Ports raussuchen und verfolgen wenn du daran noch Spass findest... (natürlich die des "abhörens")

ja da gäbe es das tool tcpipview...
aber trotzdem danke! ich melde mich sobald ich mehr weiß oder nicht mehr weiter weis

sorry für doppelpost!

Ich hab jetzt mithilfe ssh den ganzen router durchsucht und nichts gefunden! es ist auch ein read-only system! kann er einen direkt angriff machen?
mfg.

jetzt isser wieder da!!!
sorry für 2en doppelpost.. aber es ist einfahc wichtig!
unter der log finde ich nix!!
Bitte um hilfe!!!

mfg.