ComputerBase Menü
Aktuelles

Hacker im System?

dervali

dervali

Lieutenant
Registriert
Aug. 2007
Beiträge
835
Hallo Leute,

zurückblickend, fallen mir seit gstern seltsame Sachen auf.
Gestern hat sich mein XBMC einfach so beendet. Ich dachte mir erstmal nichts dabei.

Heute allerdings, ein bissel schlimmer:

Ich war im Bad, und die Freundin kam ganz aufgelöst rein und meinte, an meinem Rechenr bewegt sich die Maus von alleine...

Naja sie beschrieb es folgendermaßen:

"Die Maus hat sich von der mitte nach unten rechts bewegt und dort war ein kleines blaues Fenster." Das Fenster konnte Sie nicht näher beschreiben, da Sie am laptop zu weit davon weg saß.

Ich habe mal ein bissel im Ereignisprotokoll rumgeschnüffelt und nichts gefunden.
Auch der Ressourcen Monitor von Win7 zeigt keine, auf den ersten Blick, verdächtigen Prozesse.

Ich hänge mal ein Hijackthis Logfile mit an:

Code: 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:48:51, on 24.12.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16700)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\IR Server Suite\IR Server Tray.exe
E:\Toolz\EVEMon\EVEMon.exe
H:\Programme\Sicherheit\HiJack This\HiJackThis.exe
C:\Program Files (x86)\Firefox\firefox.exe
C:\Program Files (x86)\Firefox\plugin-container.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Canon Easy-WebPrint EX BHO - {3785D0AD-BFFF-47F6-BF5B-A587C162FED9} - C:\Program Files (x86)\Canon\Easy-WebPrint EX\ewpexbho.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~1\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~2\FlashFXP\IEFlash.dll
O3 - Toolbar: Canon Easy-WebPrint EX - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - C:\Program Files (x86)\Canon\Easy-WebPrint EX\ewpexhlp.dll
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2011\Antispam32\ieshow.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [IR Server Tray] "C:\Program Files (x86)\IR Server Suite\IR Server Tray.exe"
O8 - Extra context menu item: An OneNote s&enden - res://C:\PROGRA~2\MICROS~1\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~2\MICROS~1\Office14\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O13 - Gopher Prefix: 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Device Error Recovery Service (dgdersvc) - Devguru Co., Ltd. - C:\Windows\SysWOW64\dgdersvc.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Program Files (x86)\FileZilla Server\FileZilla Server.exe
O23 - Service: Canon Inkjet Printer/Scanner/Fax Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: IR Server (IRServer) - and-81 - C:\Program Files (x86)\IR Server Suite\IR Server.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: KMService - Unknown owner - C:\Windows\system32\srvany.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: BitDefender Update Server v2 (Update Server) - BitDefender - C:\Program Files\Common Files\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe
O23 - Service: BitDefender Desktop Update Service (Updatesrv) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2011\updatesrv.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2011\vsserv.exe
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 7919 bytes

Hier finde ich interresant, das ich bei der Auswertung bei einigen Einträgen folgendes lese:

"Der angebliche Systemprozess läuft nicht im System32 Ordner und ist deshalb als schädlich einzustufen. Dieser Eintrag wurde von unseren Besuchern als gut eingestuft."

Allerdings vermute ich, das diese Meldung mit einer gewissen Inkompatibilität mit Windows 7 zusammenhängt, oder?

Was habe ich in letzter Zeit geändert?

Vorgestern ist nur mein neuer Drucker, der Canon MG1650, in mein Netzwerk eingebunden wurden. zusätzlich habe ich die Canon Software von CD installiert.
Des Weiteren habe ich am Router einen Mac Filter aktiv. Außerdem vergibt mein DHCP nur 5 IP Adressen, diese sind weiterhin fest an meine (bekannten) Geräte vergeben.
Somit kann ich eigentlich ein eindringen über das Netzwerk aussschließen.
Im Übrigen konnte ich solche "Vorkommnisse" bisher nur an einen von 2 Rechnern feststellen....

Hier mal zum Abschluß noch relevante Daten meines System und Netzwerk:

Router: Lynksys WRT54GS mit Firmware: DD-WRT v24-sp2 (08/07/10)
Sicherheitssoftware: Bitdefender AntiVirus, Windows Firewall
BS: Win7 64 Bit
Hardware:
Intel Core 2 Duo E8400
P5N32-E SLI
nVidia GeForce GTX 260
4x 1024 MB GEIL (6400)
Thermaltake Toughpower 750Watt​


Jemand eine Idee, was hier los ist?

MfG Vali
 
Remotedesktopfreigabe aktiviert?
Habe das mal genutzt um nen PC vom Bekannten bei mir zuhause einzurichten und nachher vergessen das wieder zu deaktiveren. Böse! Da sollte man aufpassen!
 
bei remotedesktop wird aber das bild nicht mehr auf dem monitor übertragen, sondern es ist ein anmeldebildschirm zu sehen.

ich habe auch schon öfter probleme mit maussensoren gehabt, dass die maus sich bewegt hat. (eine bewegung, die nicht mehr gestoppt ist).

ein guter hacker braucht garnicht deine maus zu übernehmen bzw. ist nicht so leichtsinnig, den desktop zu steuern.
 
Yep, manchmal spinnen die optischen Sensoren, merkwürdig ist es dennoch...

Wie ist dein Router eingerichtet? Der "blockt" ja normalerweise alle Verbindungsaufbauversuche vom Internet aus auf deinen PC... allerdings könnte natürlich eine Schadsoftware auf einem Rechner die Verbindung aufgebaut haben...

@Digital_D99: An welchem Laptop denn? oO

@Fireball89: Remote-Desktop-Freigabe? Irgendwie glaube ich würde sich das anders verhalten, außerdem wie kommt er da durch den Router?

@ManOki: Yo so ein verhalten hab ich auch schon gehabt :-)
Und eben, warum soll ein Hacker die Maus bewegen ... wäre schon doof ^^
 
"C:\Program Files (x86)\IR Server Suite\IR Server Tray.exe"??

ist das was legitimes? kann man damit vielleicht per infrarot die Maus steuern?
 
Wow, das ging ja schnell :D

Danke schonmal Leute :)

Also ich beantworte mal alles:

ich habe am Desktop ( an dem dieses Phäomen auftrat ) eine G9 per Kabel verbunden.
Am Laptop ist ein Logitech Funkset Modell MX3200.

Remote Desktop ist deaktiviert. Denke auch nciht das die da irgendwie mit drinne hängt.

Eure Vermutung mit der Mausbewegung halte ich auch für recht sinnvoll, den ähnliche Sachen konnte ich selber schon live beobachten.

Ich habe ein Stoff Pad. wenn dann mal die Maus halb auf dem Rand des Mauspads liegt und praktisch schräg liegt, bewegte sich der mauszeiger auch schon.
Ich hoffe mal, das sich hier ein ähnliches Phänomen ereignete.

Das blaue Fenster könnte eine Benachrichtigung von Bitdefender oder Xfire gewesen sein (beide blau).

Der Router blockt alles, was ich nicht freigegeben habe. zumindest sollte er das tun...

Die IR Server Suite ist ein Programm, welches die Fernbedienungsfunktionen des Windows Media Center deaktiviert und für XBMC anpasst. Sollte eigentlich ungefährlich sein...

Aktuell lasse ich mal Spybot S&D durchlaufen. In der Hoffnung das es nichts findet..

Edit:
@badday:

Ich hab die logs vom router durchgeschaut - über den Router war niemand in meinem netzwerk
da sind nur die mac adressen meiner bekannten geräte
außerdem habe ich die dhcp adressen fest an meine geräte vergeben. ich habe 5 geräte im netzwerk und den router so eingestellt das auch nur DIESE 5 Geräte eine IP Adresse bekommen
also der dhcp vergibt nur von xxx.xxx.xxx.xx10 - xxx.xxx.xxx.xx14
und diese 5 IP addressen sind an meine Geräte fest vergeben
damit kann ich ein eindringen vom router aus beinahe zu 100% ausschließen....
wenn dann vermutlich nur von außerhalb durch trojaner oder ähnliches
 
Zuletzt bearbeitet: (neuer Beitrag zu beantworten)
Sorry, welches Pad meinst du?
 
Er meint sicher das Touch-Pad (und dessen Sensoren).

Hast du eine Firewall laufen? Wenn nicht würde ich eine installieren und mal beobachten welche Programm eine Anforderung ins Netz stellt.
 
ja, das ist für eine Softwatre um eine IR Fernbedienung an XBMC oder andere Software anzubinden!
RDP ist blödsinn, da ist der Dektop gesperrt.
DHCP mit 5 IPs ist blödsinn, man kann ohne Probleme eine von Hand vergeben in deiner IP Range.
Genauso deine MACAdressen vergabe. Ist ohne Probleme zu clonen auf einem beliebigen anderen Rechner. Schränkt also im wesentlichen nur dich ein.

Ich tippe auch auf Maussensor. Hatte ich schon desöfteren bei Kunden, allerdings gerade bei den eher günstigen Standardgeräten.
 
Zuletzt bearbeitet:
Also das Problem ist auf meinem Desktop Rechner aufgetreten da habe ich natürlich kein Touch Pad.

Die Windows Firewall ist aktiv.
Da kamen in den letzten Tagen allerdings keine Anfragen, die mir sorgen machen müssten...
(um genau zu sein, kamen gar keine Anfragen )
 
So, Wireshark ist installiert und ein Capture läuft.
Allerdings ist das, was ich da sehe auf den ersten Blick "Bahnhof" für mich.
kann man das irgendwie automatisiert auswerten, ähnlich einer Logfile von Hijackthis?
 
Gibt kein automatisiertes auswerten, leider!
Mach einfach mal Browser, Updates etc. und alles zu (sodass dir wissentlich) kaum bis gar kein Inetverkehr vorhanden sein sollte und lausch mal auf allen Ports!
Sollts wirklich ein Trojaner sein (was ich nicht glaube), wirds outbound traffic auf irgendeinem Port auf eine IP geben. Problem is halt nur dass aktuelle Trojaner nur dann kommunizieren wenn am anderen ende (Hacker) auch wer sitzt, sonst verhält er sich "ruhig" und du merkst auch mit wireshark nix.
 
Naja, ob das nun ein gezielter Angriff mit einem echten Menschen dahinter ist, der hin und wieder vorbei schaut, möchte ich fast bezweifeln (wenn man es auch nicht ausschließen kann).

Ich würde mal eher meinen, dass das das Resultat einen Brute-Force-artigen Angriff auf einem Bot-Net heraus ist o. Ä.
 
Und was genau willst du da BruteForcen? :D
Passt aber nicht mit der Mauszeiger Geschichte zusammen ... sowas machen Bots nicht! ;)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

kaepten
Dokumente Ordner (versehentlich) auf OneDrive
Antworten
7
Aufrufe
879
Terrier
T
S
Wieso funktioniert taskill in einer Batch nicht?
2
Antworten
20
Aufrufe
988
Evil E-Lex
Evil E-Lex
B
Randdom Abstürze nach neuem Build AMD 7800X3D mit G.Skill Trident Z5 32GB 6000Mhz CL30
2
Antworten
35
Aufrufe
2.509
Cyberbernd
C
B
checkmk - keine Verbindung zum Agent
Antworten
2
Aufrufe
1.658
Bannister0946
B
J
Kein Signal von iGPU. Kann keinen Treiber installieren
Antworten
10
Aufrufe
1.358
Garmor
Garmor
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz