Unbefugtes "Remote Control"

#1 Hallo,

ich weiß ja nicht, ob der Titel wirklich aussagekräftig ist, aber mir ist kein besserer eingefallen. Zu meiner eigentlichen Frage: Die Sache ist die, dass ich vor ein paar Wochen in meine MSN Messenger ein "Dreier-Gespräch" geführt habe, wo allerdings mit meinem Namen und den der anderen irgendetwas geschrieben wurde, was wir nicht selbst gemacht haben. Also hat quasi jemand anderes an immer Sätze zwischen unseren mit unserem Namen geschrieben. Jetzt werde ich verdächtigt, das getan zu haben, aber egal wie lange ich ihnen auch erklären mag, dass ich es nicht war, wollen sie es nicht glauben - die Frage: Wie geht das genau? Liegt da unbefugter Zugriff auf meinen PC vor oder auf den Messenger? Überhaupt soll ich auch Dinge geschrieben haben, von denen ich nichts weiß (das steht sogar in den Verläufen). Aber wie geht das mit der Sache in diesem Dreier-Gespräch? Kann ich mit irgendeinem Programm überprüfen, ob ein Trojaner den Zugriff ermöglicht oder irgendetwas anderes vorliegt? AntiVir meldet auch nichts und ich kann es seit dem 18.04.2007 nicht mehr updaten (liegt sicherlich nicht an meiner Internet-Verbindung). Ich hab ja schon was von Hijack This gehört, aber ist das nicht eher dafür da, um Browser-Hacking zu überprüfen?

Edit: Hab mal SpyBot drüber laufen lassen, hat auch so ziemlich vieles gefunden, was ich dann behoben habe. Aber so wirklich sicher fühle ich mich immer noch nicht - wie funktioniert das mit dieser HijackThis-Sache? Und erkenne ich damit auch unbefugte Zugriffe/Trojaner etc.?

EDIT!!!! GANZ WICHTIG:::

Hey,

wollte grad ins Internet gehen und jemand hat in der Adressleiste geschrieben "Hello Im Chris" ... hab dann geschrieben "what do you want from me?" und er hat geantwortet "nothing it was only a joke" und auf meiner anforderung "let me alone" hat er meint "ok" - glaubt mir ob ihrs wollt oder nicht

und wie weiß ich ob es wirklich ein joke war?

die frage: wie kann ich mich optimal dagegen schützen dass so einer nicht wieder kommt? hijackthis? windows update?

#2 Hallo Viste,

zusätzlich zu Spybot kannst du mal AdAware drüberlaufen lassen, welches eine gute Ergänzung zu Spybot darstellt. Das könnte noch einiges mehr finden.

Download von AdAware:
http://www.chip.de/downloads/c1_downloads_13000824.html
Das Language Pack:
http://www.lavasoft.de/download_and_buy/language_packs.php

Mit Hijackthis lassen sich auch Trojaner,Spyware,Viren und Backdoors erkennen.
Eine Anleitung zu HijackThis:
http://board.protecus.de/t23188.htm

Dass du AntiVir nicht mehr updaten kannst, kann auch daran liegen, dass es von einem der Schädlinge gestört wird.
Zu MSN: Bezogen sich die unter falschem Namen geschriebenen Zeilen auf das Gespräch oder waren sie allgemein gehalten? Wenn sie im Kontext zum Gespräch
standen hat jemand direkt mitlesen können.

BunteFarbe

Edit: Das mit der Adresszeile ist ja böse, dann sitzt jemand recht tief im System.
Nach der Installation von AdAware unbedingt die neuesten Signaturen laden.
(Integrierte Updatefunktion)

#3 Er hat mir grad wiedersgeschrieben während ich bei MSN gechattet habe ... er hat meint "hey your system is now clean and safe you don't need any updates i'm a good one" und hat ein smiley gemacht - kann ich darauf vertrauen? ich mach lieber noch nen hijackthis report nach ad-aware ...

Edit: Zu diesem MSN-Gespräch ... es kann nicht dieser Chris gewesen sein da derjenige gesagt hat "Ich liebe ..." und hat einen namen genannt den er gar nicht kennen dürfte weil der in meiner Schule ist - und dieser Chris hat Englisch gesprochen, müsste also kein Deutsch sprechen können ...

Edit2:

Logfile of HijackThis v1.99.1
Scan saved at 13:31:04, on 21.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Qeiss\Desktop\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab53083.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AEA25CC-0FE0-481B-B995-86D8CB6B0E15}: NameServer = 192.168.1.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NetOp Helper ver. 8.00 (2006047) (NetOp Host for NT Service) - Danware Data A/S - C:\Programme\Danware Data\NetOp Remote Control\HOST\NHOSTSVC.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe

___________________________________________________________________
Was mich persönlich irritiert ist das hier:

Zitat

O23 - Service: NetOp Helper ver. 8.00 (2006047) (NetOp Host for NT Service) - Danware Data A/S - C:\Programme\Danware Data\NetOp Remote Control\HOST\NHOSTSVC.EXE

Ich hab nachgeschaut, tatsächlich befindet sich dieser Ordner bei "Programme" - ich erinnere mich jedoch nicht, ihn installiert zu haben und vorher war er auch nicht da. War das dieser Chris? Ist seine Absicht wirklich gewesen meinen Computer sicherer zu machen? Kann man aus diesem Report heraus erkennen, ob er wirklich noch auf meinem PC ist oder ob er bekannte Sicherheitslücken geschlossen hat? Wenn jemand so leicht in mein System eindringen kann ...

#4

Zitat

"hey your system is now clean and safe you don't need any updates i'm a good one"

Das schreibt er nur, weil er merkt, dass ihm die Felle davonschwimmen, mach unbedingt noch den Hijackthis report.

Zitat

Zu diesem MSN-Gespräch ... es kann nicht dieser Chris gewesen sein da derjenige gesagt hat "Ich liebe ..." und hat einen namen genannt den er gar nicht kennen dürfte weil der in meiner Schule ist - und dieser Chris hat Englisch gesprochen, müsste also kein Deutsch sprechen können ...

Es gibt auch Deutsche, die Englisch können .
Ich vermute, dass der Typ in der Adresszeile nur englisch geschrieben hat, um ein bisschen den coolen Hacker zu spielen. "Chris" und der MSN-Störer können der selbe sein.
Was natürlich auch sein kann: "Chris" hat mit dem Messengerproblem nichts zu tun und du hast noch malware von einem Mitschüler auf dem Rechner. Hast du irgendwann mal eine(n) CD/USB-Stick/Diskette/Mail mit Anhang von jemandem aus der Schule bekommen und Benutzt/geöffnet?
Datenträger und Mails sind beliebte überträger für Blödsinn aller Art.
Vielleicht benutzt ihr auch zu schwache, leicht erratbare Passwörter.

BunteFarbe

Edit: Sehe mir gerade das Logfile an, dauert etwas.

#5 Nein, von einem anderen Schüler habe ich keine CDs oder dergleichen bekommen. Aber es lag ja nicht alleine am Passwort - es wurden Dinge mit unseren Namen in diesem Gespräch geschrieben, und ein Name ist gefallen, den kann dieser Chris gar nicht wissen (es sei denn, es ist einer aus unserer Schule, was sehr unwahrscheinlich ist). Da müsste derjenige schon das Gespräch abgefangen haben ... oder? Kann man denn schon etwas aus dem Report erkennen?

#6

Zitat

O23 - Service: NetOp Helper ver. 8.00 (2006047) (NetOp Host for NT Service) - Danware Data A/S - C:\Programme\Danware Data\NetOp Remote Control\HOST\NHOSTSVC.EXE

Das ist NetOp Remote Control von Danware Data A/S.
Diese Anwendung wird nicht von Windows benötigt und ist tatsächlich ein Remote Control Programm zur Fernwartung.
Wenn du es nicht installiert hast und es nicht von Anfang an da war, ist das wohl das Einfallstor von "Chris".
>>>>>> Lösche C:\Programme\Danware

"Chris" ist scheinbar ein Scriptkiddie mit zuviel Zeit. Wenn er in deinen PC eindringt, kannst du sicher sein, dass er nichts gutes vor hat.
Auf deinem Rechner hat keiner außer Dir etwas zu suchen.
Ich hoffe mal, es lagen keine wichtigen Persönlichen Daten unverschlüsselt auf der Platte. Sofern Passwörter in irgendwelchen Textdateien lagen, hat er jetzt potentiellen Zugriff auf alles mögliche, E-mail-Konten, MSN etc.>>> Passwörter Ändern und vor allem sichere benutzen.
http://board.protecus.de/t8643.htm?highlight=sichere+passw%26ouml%3Brter

Wenn er schon in deinem Messenger ist, kann man davon ausgehen, dass er die gesamte Kommunikation abhört. (Messenger, E-mail, besuchte Seiten, eingegebene Passwörter) Er kommt also auch ohne weiteres mit deinem Namen in den Messenger.

BunteFarbe

Edit: Hast du bei AdAware den Vollständigen Systemscan gemacht?
Das logfile sieht bis auf das NetOP ganz gut aus.

#7 Den Ordner von NetOp kann ich nicht löschen, also hab ich es über Systemsteuerung --> Software versucht. Der Uninstaller sagt mir, NetOp laufe schon und ich müsse es erst schließen bevor ich es deinstalliere. Hab jetzt über den Tast-Manager versucht zu schließen (irgendetwas mit HOST muss es gewesen sein) und dann zu deinstallieren, sagt mir aber, es ist immer noch offen. Im Tast-Manager läuft ein Programm, das heißt NLDRW32.EXE mit einer Speicherauslastung von 148 K, erscheint mir merkwürdig - soll ich das evtl. mal schließen? Oder soll ich den Prozess über HijackThis entfernen?j

Edit: nhstw32.exe ist auch offen, hab den bisher auch noch nicht gesehen ...

Edit2: Oh mann ... das war fehlalarm ... das war wahrscheinlich mein bruder der ja im lan-netzwerk ist ... mein cousin hat mir gerade über msn gesagt dass er ihm gezeigt hat wie sowas geht und das nichts weiter schlimmes ... naja sorry dass ich deine zeit beansprucht habe

aber da wär immer noch die sache mit dem messenger - denn um was es da geht kann er nicht gewusst haben

sorry nochmals deswegen er wollte mir einen streich spielen

Jetzt weiß ich zumindest, warum er gelacht hat als ich ihm das erzählt hat ... jetzt ist er weg, aber sein PC ist noch an ich werd mal überprüfen ob er dieses Programm hat

aber wie gesagt die sache mit msn kann er nicht gewesen sein

#8 NLDRW32.EXE gehört zu NetOP.
Entfernen:
1.Avenger Downloaden
http://virus-protect.org/artikel/tools/avenger.html

2.Avenger Starten

3.Input Script Automatically anhaken

4.Folgendes einfügen:

Zitat

Files to delete:
C:\Programme\Danware Data\NetOp Remote Control\HOST\NHOSTSVC.EXE

5.Auf die grüne Ampel klicken , der Pc Startet automatich neu.

Nach dem Neustart siehst du mal im Taskmanager nach, ob dder Prozess noch da ist.

BunteFarbe

EDIT: Fehlalarm? OK, dann lass das erstmal mit Avenger und schau nach, ob er das Programm hat. Dass es ein Fehlalarm ist, ist erfreulich, das war mir die Zeit wert.
Edit2: Sollte er das Programm haben, hat er es warscheinlich unbemerkt auf deinem Rechner installiert und einen Remote Zugriff über das Lan-Netzwerk gemacht.

#9 Zu Edit2: Mein Cousin hat mir gerade eben auch gesagt, dass er das heimlich auf meinen PC draufgeschleusert hat. Vielleicht denke ich, werde ich ihm (wenn möglich) den gleichen Streich spielen, wenn sein PC mal an ist und er kurz weg ist (macht er öfters) . Aber trotzdem danke, dass du dir Zeit genommen hättest, denn wenn es kein Fehlalarm gewesen wäre, wäre deine Hilfe bestimmt nützlich gewesen!

#10 Schön, dass die Sache so gut ausgegangen ist.
Ganz zu Anfang, vor dem Hijackthis-log dachte ich schon an Format:C und neu aufsetzen.
Sah zuerst ja wirklich unangenehm aus.

BunteFarbe

#11 schön das es gelöst wurde also es gibt da noch eine andre lösung die software heißt msn discovery http://live.msgdiscovery.com/ mit dieser software kannst du für andre schreiben also wurdest du von einer deiner kumpels verappelt.

nach dem installieren tips du im dialog einfach "! imitate" schon schreibst du im namen deiner andren chat person, ich hab mich tagelang kaputt gelacht bei frauen ist es sehr witzig )


MFG notdienst