Person hackt regelmäßig ICQ-Account meiner Freundin, gibt sich sogar als sie aus

#16 also, sorry. Ich hoffe es kommt sich hier niemand veräppelt vor. Ich würde das wahrscheinlich nicht glauben, wenn's meinem besten Kumpel passiert wär, weil mir ja auch die Gründe absolut nicht einleuchten, warum sich jemand so viel Mühe macht. Wenn die Person irgendwas von meiner Freundin will, dann kann sie sich auch im Umfeld Freunde suchen, die hier gucken, was wir so treiben. Aber warum das Ganze?
Unsere PCs sind eigentlich sauber. Werden regelmäßig mit Hijackthis und anderen Tools durchsucht. Keine Keylogger, nix.

#17 Hallo!

Ich habe zwar nciht viel Ahnung von Hacken und co. wie es ja eigentlich auch sein sollte ^^ aber ich würde Dir den Ratschlag geben, dass ihr beide mal euer System neu aufsetzt (kein Ghost-Image). Da das allerdings in den meisten Fällen mit sehr viel Aufwand verbunden ist, kann man es ja erstmal mit einem Live-OS versuchen. Ein solches lädt man kostenlos / LEGAL herunter und brennt es zum Beispiel mit Nero auf CD. In der Regel sind die heruntergeladenen Dateien ISO-Dateien. Nach dem Brennen den PC mit eingelegter CD neu starten - evtl. vorher noch im BIOS das First Boot Device (o.ä.) auf CD-ROM stellen, falls es nciht schon getan wurde - und das System auf der CD startet. Das OS ist nicht als Dauerlösung gedacht und man muss nach jedem Neustart alle Einstellungen im Live-OS wieder neu einstellen. Aber wenn ihr darüber Chatet - ich weiß nciht ob es möglich wäre, wenn dann höchstens per ICQ2GO - und diese dummen, armseligen Attacken dann cniht mehr vorkommen, Ist das OS deiner Freundin möglicherweise tatsächlich "verseucht".

Es gibt ein solches OS z.B. hier:

ftp://ftp.suse.com/pub/suse/i386/live-cd-9.2/SUSE-Linux-9.2-LiveCD-KDE.iso
CD-Version mit geringerem Umfang
ftp://ftp.suse.com/pub/suse/i386/live-cd-9.2/SUSE-Linux-9.2-LiveDVD.iso
DVD-Version mit mehr ^^

Ich will nochmal sagen, dass ich alles andere als ein Profi bin, aber ich will einfach irgendwie versuchen, zu helfen. Das ist einfach dumm, so etwas zu tun, dagegen muss etwas getan werden.

ciao g@MEoVeR

#18 @gAMeoVeR89

thx, erstmal, dass du helfen willst. Mein System wurde vor 2 Monaten neu aufgesetzt. Ich habe noch ein zweites WinXP laufen auf einer anderen Partition, da ist es auch passiert. Wenn ihr Rechner verseucht ist, wirds schwer, da sie nicht so gut mit PCs und Software umgehen kann. SUSE ist ne Lösung, aber da wird sie nicht mit klarkommen. Würde den Hijackthis ein verseuchtes System nicht anzeigen? Ich überprüfe ihren Log regelmäßig.

#19

Zitat

Nokia3330 postete
Mein System wurde vor 2 Monaten neu aufgesetzt. Ich habe noch ein zweites WinXP laufen auf einer anderen Partition, da ist es auch passiert. Wenn ihr Rechner verseucht ist, wirds schwer, da sie nicht so gut mit PCs und Software umgehen kann.

Ich gehe auf Grund deiner Beschreibung hier stark davon aus, dass der Rechner deiner Freundin kompromittiert ist. Es lässt sich einfach nicht anders erklären, wie der Angreifer so schnell an ihr neues Passwort, sofern es relativ sicher war, gekommen ist. Außerdem muss er irgendwie direkten Zugriff auf eure Kommunikations-Verbindung haben, wenn er wie von dir beschrieben die ICQ-Nachrichten deiner Freundin abändern kann.

Eine Möglichkeit rauszufinden wo der Schwachpunkt ist wäre, wenn du eine Weile ein "sauberes" System (am besten anderes Betriebssystem z.B. Linux) und am besten auch einen anderen Rechner verwenden würdest. Evtl. reicht es auch wenn du in ein Internet-Café oder zu einem Freund gehst und mehrmals von dort aus mit ihr chattest.

Zitat

Nokia3330 postete
Würde den Hijackthis ein verseuchtes System nicht anzeigen? Ich überprüfe ihren Log regelmäßig.

Bist du dir sicher selbst im Log kritische Sachen erkennen zu können? Sonst poste doch den HijackThis-Log mal.
Abgesehen davon: Je nachdem was für einen Aufwand der Angreifer getrieben hat, um seine Spuren zu verwischen könnte es sein das HijackThis nichts verdächtiges anzeigt. Stichwort: Rootkit. Für mehr Informationen siehe http://de.wikipedia.org/wiki/Rootkit und einen Artikel auf Heise Security (http://www.heise.de/security/artikel/58158).

Das Beste was du machen kannst hat allerdings asdrubael schon erwähnt: Nur sichere Kanäle wie Skype oder Gaim mit OTR verwenden. Allerdings würde ich vermutlich auch wissen wollen wer da seine Spielchen treibt oder wenigstens verhindern das er das weiterhin macht. Dazu bräuchtest du halt auf Seiten deiner Freundin auch jemanden der ihr den Computer säubern, neu installieren und sicher konfigurieren kann. Hier noch ein Link den ich gerade gefunden habe: http://www.oschad.de/wiki/index.php/Kompromittierung.

Hoffe ich konnte etwas helfen.

Gruß,
Philip

P.S.: Am Studium kann es nicht liegen, denn ich studiere auch Informatik und da bekommt man so etwas nicht beigebracht .
__________
"Never trust an operating system
you don't have sources for."

#20 Hier mein Log:

Logfile of HijackThis v1.99.1
Scan saved at 01:56:55, on 07.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gadwin Systems\PrintScreen\PrintScreen.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Creative Professional\Digital Audio System\E-MU PatchMix DSP\EmuPatchMixDSP.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\FREEDO~1\fdm.exe
C:\Programme\DScaler\DScaler.exe
C:\Dokumente und Einstellungen\sacredDREAMz.TRINITY.001\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.winfuture.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Gadwin PrintScreen 3.5] C:\Programme\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - Startup: DScaler.lnk = C:\Programme\DScaler\DScaler.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{0BBD4DA1-D42F-4326-8478-52C8CEC5F39F}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\Skype4COM.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Später lass ich noch den Log meiner Freundin folgen.


Hab hier was interessantes gefunden zum Thema Rootkits:

http://www.pcfreunde.de/news/detail-941/rootkits-tarnprogramme-verstecken-viren-wuermer.html

Zitat

Tipp: Wer den Verdacht hegt, sich ein Rootkit eingefangen zu haben, sollte seinen PC mit einem schädlingsfreien Betriebssystem von der CD aus starten. So können die auf der Festplatte wartenden Tarnprogramme eventuell vorhandene Dateischädlinge nicht mehr verdecken - und der Virenscanner kann erfolgreich tätig werden. Der beste Schutz gegen Rootkits ist den Experten zufolge aber immer noch das regelmäßige Update aller Sicherheitsprogramme auf dem PC.

Sollte mein System kompromittiert sein und ein Rootkit verwendet werden, könnt ich ja mal versuchen, XP auf einer kleinen Part. neuaufzusetzen und dann alle Part. untersuchen. Oder würde das auch mit Knoppix gehen?

#21 @Nokia3330,

1. zu dem Zitat; das trifft wohl nur bedingt zu (Rootkit ist nicht gleich Rootkit). Z.B. F-Secure's Rootkit-Scanner Blacklight sucht nach Rootkits im laufenden System, ebenso der bei AVIRA AntiVir neu hinzugekommene Rootkit-Scanner.
2. Du hast nicht den aktuellen Internet Explorer 7 installiert; wie ist dann der sonstige Patch-Status deines Systems?
3. Vielleicht sehe ich ja so früh am Morgen noch nicht so gut, aber ich kann keinen AV-Wächter in deinem Log erkennen.

Gruß
RollaCoasta
__________
U can get it if u really want! (J.Cliff)

#22 Ich nutze Firefox, finde den 7er Internet-Explorer ziemlich bescheiden, deswegen hab ich den net upgegraded. Ansonsten sind alle aktuellen Patches drauf. Ja, ich hatte bis vor kurzem noch Comodo Firewall und AV drauf. Muss mir da mal wieder ne Virensoftware draufspielen. Wobei ich nicht glaub, dass das soviel ausmacht. Ich nehme nicht alles an, was mir im Netz angeboten wird. Aber ist sicherlich richtig einen Virenschutz zu benutzen.
Ich sage das deswegen, weil meine Freundin Avira benutzt. Hat's was gebracht? Anscheinend nicht.

#23 Hallo nochmal.

Ich bin in letzter Zeit viel off, weil ich im Ausland bin und wollte einfach mal kurz fragen, ob irgendwelche neuen Angriffe stattfanden. Vielleicht hat beim Lesen dann ja einer einen rettenden Blitzgedanken oder Ähnliches.

wünsche alles Gute,
mfg g@MeoVeR

#24 Hallo,
ich würd mal einen besonderen Blick auf die Hardwarefirewall bzw Router werfen. Ist da evt ein Standard PW gesetzt, oder könnte auch die Unbekannte Person diese Geräte eingerichtet haben? mit tcpdump kann man ja wirklich alles mitlesen wenn man will, solange es nicht verschlüsselt ist. Habt ihr feste oder dynamische IPs?

Gruß Jan

#25 Logfile of HijackThis v1.99.1
Scan saved at 12:12:11 pµ, on 15/5/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Common Files\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Logitech\QuickCam10\COCIManager.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tz_exec.tmp130\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site with Free Download Manager - file://C:\Program Files\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_12\bin\npjpi142_12.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_12\bin\npjpi142_12.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\Logitech\SrvLnch\SrvLnch.exe

So, das ist der HijackthisLog von meiner Freundin. Bin leider nicht drüben, wegen dem Router. Sie hat da überhaupt keinen Plan von. Also, der Router wurde von Technikern eingerichtet. Ich kann das alles erst checken, wenn ich wieder da bin.

#26 der zweite Log, da kann ich jetzt nichts sehen...aber wie siehts denn mit deinem Router aus ???

#27 Also, ich habe meinen Router hier getestet:

http://www.heise.de/security/

Alle getesteten Ports wurden gefiltert, bzw. waren sie geschlossen. Die Firewall arbeitet somit. Ist es schlimm, wenn mein Router auf ICMP-Pakete antwortet?
Das Anpingen kann ich nicht ausstellen bei dem Router. D-Link DI-624+

Gestern hat die Person meiner Freundin gedroht, sie zu ermorden, wenn sie nach Deutschland kommt. Ich hole sie vom Flughafen ab, mal sehen, wer da wen ermordet. Nichts als billige Drohungen.
Diesmal war ich nicht on und sie auch nicht. Hat der Schwester ne nachricht über ICQ zukommen lassen.

#28 http://www.heise.de/security/news/meldung/58516

vll. steht das was drin, doder googlen...

#29 hmm. Die skype-Verbindung wird manchmal gekappt, ohne ersichtlichen Grund. Könnte das ein Angriff mit ICMP-Paketen sein?
Sollte ja eigentlich durch ein MS-Hotfix gefixt worden sein. Komisch.

Der Routertest meiner Freundin verlief auch positiv. Bei ihr werden sogar die ICMP-Pakete geblockt.

#30

Zitat

Nokia3330 postete

Gestern hat die Person meiner Freundin gedroht, sie zu ermorden, wenn sie nach Deutschland kommt.

Das ist ja wohl eine Sachen die ihr auch der Polizei melden solltet, die Person weiß ja anscheinend sehr viel über euch. Auch ist Stalking ja strafbar und Morddrohungen auch.
So ein Onliene Test ist nicht wirklich zuverlässig, da müsste man mal einen sauberen Router (kennt ihr jemand mit guten Linux Kenntnissen?) vorschalten und sämtlichen Netzwerkverkehr mitsniffen und analysieren. Besteht das Problem auch, wenn ihr nicht an eurem eigenen Rechner sitzt (beide) sondern im Internetcafe oder bei guten Freunden?

Mit sowas ist jedenfalls nicht zu spassen!

Gruß Jan