Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Verdacht auf gehackten Rechner (https://www.trojaner-board.de/99873-verdacht-gehackten-rechner.html)

amnesia 02.06.2011 13:47
Verdacht auf gehackten Rechner
 
Hallo Community,

ich habe den Verdacht, dass ein mir bekannter Rechner gehackt worden ist.
In letzter Zeit kommt es immer häufiger vor, dass eine Person Kenntnis über den Inhalt der von diesem Rechner verschickten Mails bekommen hat. Dass diese Informationen anderweitig zu dieser Person gelangt sind, ist im Prinzip auszuschließen. Weiterhin ist anscheinend auch der Browserverlauf bekannt. Von den gängigen kommerziellen Antivirenprogrammen wie Kaspersky oder GData ließen sich keine installieren. Da ich bei der (versuchten) Installation leider nicht dabei war, kann ich über die Fehlermeldung keine Aussagen treffen. Nur Panda Security ließ sich installieren.

Es ist möglich, dass die Person für ein oder 2 Stunden Zugriff auf den Rechner gehabt hat, allerdings bevor die Mails geschrieben wurden.
Wie gesagt, ich habe den Verdacht und würde gerne wissen, ob er begründet ist. Im Anhang sind die Logfiles.

Ich hoffe auf Hilfe von euch.

MfG amnesia


P.S: Bei den logs hat mich sehr stutzig gemacht, dass defogger direkt nach "Checking services/drivers" schon EOF erreicht.

cosinus 03.06.2011 12:39
Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

amnesia 05.06.2011 13:08
Hallo,

im Anhang sind 2 Logs von malwarebytes. Beide haben nichts gefunden.

Btw. und da es den Rechner akut betrifft. Welche Möglichkeiten gibt es, um das Passwort des Mailaccounts mitzulesen? Es gab ein unautorisiertes Login...


MfG amnesia

cosinus 05.06.2011 14:11
Zitat:
Welche Möglichkeiten gibt es, um das Passwort des Mailaccounts mitzulesen? Es gab ein unautorisiertes Login...
Veraltete Software wie zB

Zitat:
Internet Explorer (Version = 6.0.2900.5512)
Warum verwendest du noch den IE6? Das Teil ist 10 jahre alt und sollte unbedingt bei WindowsXP auf Version 8 gebracht werden, auch wenn der Standardbrowser ein anderer ist - der IE ist eine Systemkomponente von Windows.
Auch beliebte Ziele unter den veralteten Programmen sind AdobeReader, Java Runtime oder Flashplayer. Veraltete Versionen sind immer ein Risiko.

Andererseits könntest du aber auch ein zu schwaches Passwort verwendet oder dich auf einem anderen infizierten Rechner eingeloggt haben.


Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
O4 - HKLM..\Run: [UpgConfVer]  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.12.05 12:14:23 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{0acb935e-086c-11e0-ae2f-001636613cdb}\Shell - "" = AutoRun
O33 - MountPoints2\{0acb935e-086c-11e0-ae2f-001636613cdb}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{0acb935e-086c-11e0-ae2f-001636613cdb}\Shell\AutoRun\command - "" = C:\WINNT\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
O33 - MountPoints2\{218df012-8631-11db-a4fc-001636613cdb}\Shell\AutoRun\command - "" = BROWSER\SETUP.EXE BROWSER\SETUP.INF
O33 - MountPoints2\{d0ba1d22-e8ac-11df-adee-001636613cdb}\Shell\AutoRun\command - "" = E:\.\EncryptionTool\MaxtorEncryption.exe
[2007.11.03 17:00:29 | 000,000,000 | ---D | M] -- C:\d6eb86ebb1fb1c875c17d5523c2194
:Commands
[purity]
[resethosts]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

amnesia 05.06.2011 14:26
Was genau macht das OTL Fix?

Bleiben dabei Beweise auf Manipulation bestehen?
Ich habe schon versucht mit Knoppix ein Image der Festplatte zu erstellen. Funktioniert aber nicht. Gibt es da zuverlässige Windows Tools um die Festplatte zu sichern?

cosinus 05.06.2011 15:03
Ja. Acronis TrueImage, Drivesnapshot oder http://www.chip.de/downloads/Paragon..._32533759.html

Zitat:
Was genau macht das OTL Fix?
Er ixt in der Codebox angegebene Einträge. Müll im Autostart, in den Mountpoints und löscht einen "Müll"Ordner => C:\d6eb86ebb1fb1c875c17d5523c2194

Zitat:
Bleiben dabei Beweise auf Manipulation bestehen?
Versteh nicht was du damit meinst. Was für Beweise sollen gemeit sein?

amnesia 05.06.2011 15:07
Ich bin der Überzeugung, dass am Rechner was manipuliert wurde. Ich würde gerne wissen ob, und wenn ja was gemacht wurde.

Oder gibt es eine Möglichkeit dass der Rechner ausgespäht wird, ohne das man dafür Beweise auf dem Rechner finden kann?

cosinus 05.06.2011 15:44
Zitat:
Oder gibt es eine Möglichkeit dass der Rechner ausgespäht wird, ohne das man dafür Beweise auf dem Rechner finden kann?
Anhaltspunkt hätte man durch Finden von Schädlingen...


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:56 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131