Gehijacktes Notebook?

[Stefan]

Hallo,

Eben chattete ich mit ner Bekannten von mir. Habt ihr sowas schon mal gehört? Laptop ist Vista, im Anhang der Screenshot. Lest's euch mal durch. Kurzum geht's darum, dass ein fremder sieht, was sie am Bildschirm macht und ihr direkt in "MS Word" zurückschreibt. Sogar hat er Zugriff auf die Webcam.

Die zweite Explorer.exe konnte ohne Auswirkungen geschlossen werden.

Paula! (11:13 PM) :
ehm
Paula! (11:13 PM) :
hast du vorher auf meinem pc so sachen gemacht und dich reingehackt oder weisst du wie man das weg mach
steve (11:14 PM) :
was hä?
steve (11:14 PM) :
wie du was wieder weg machst?
Paula! (11:14 PM) :
da spielt jmdmit meinem pc
Paula! (11:14 PM) :
hackt so zu sagen
Paula! (11:15 PM) :
gibt immer sachen einund so weiter
steve (11:15 PM) :
aha? und woher weißt du das?! wie merkst du das?
steve (11:15 PM) :
kann ich mir irgendwie net vorstellen ^^
Paula! (11:15 PM) :
ja zb im word
steve (11:16 PM) :
im word .. weiter?
Paula! (11:16 PM) :
der schreibt mir da immer
Paula! (11:16 PM) :
nachrichten
Paula! (11:16 PM) :
und sagt er sieht michund so weiter
Paula! (11:16 PM) :
.....
steve (11:16 PM) :
hast du ne funktastatur?
Paula! (11:16 PM) :
neeeee
Paula! (11:16 PM) :
ich hab en laptop
Paula! (11:16 PM) :
..
steve (11:16 PM) :
hä und dann solll da jemand direkt in dein word tippen können?
Paula! (11:17 PM) :
jAAAAAAA
steve (11:17 PM) :
das hab ich ja noch nie gehört ^^
Paula! (11:17 PM) :
und die person siht mich duch meine cam die gar net an ist
steve (11:17 PM) :
schalt mal dein wlan aus?!
Paula! (11:17 PM) :
ich will jetzt den pc formatiern
Paula! (11:17 PM) :
oder zu den bullen?
steve (11:17 PM) :
weißt du, wie man screenshots macht?
Paula! (11:18 PM) :
ja
Paula! (11:18 PM) :
why
steve (11:18 PM) :
dann mach mal folgendes
steve (11:18 PM) :
drück STRG + ALT + ENTF
steve (11:18 PM) :
und wähle dann tastkmanager
Paula! (11:18 PM) :
ja
steve (11:18 PM) :
dann siehst du so ne auflistung von prozessen ... kannst du mir davon mal n screenshot machen?
Paula! (11:19 PM) :
warte ich probier es
steve (11:20 PM) :
da müsste irgendwas verdächtiges drin sein
steve (11:20 PM) :
klappts? :-)
steve (11:22 PM) :
(Screenshot übertragen)
steve (11:25 PM) :
ähm ok
steve (11:25 PM) :
jetz gehst nochmal in den task manager
steve (11:25 PM) :
unten rechts ist n button, prozess beenden
steve (11:25 PM) :
gell?
Paula! (11:25 PM) :
ok
steve (11:25 PM) :
jetz klickst du die sachen an, die ich dir sage
steve (11:25 PM) :
und du klickst auf "prozess beenden"
Paula! (11:25 PM) :
ok
steve (11:25 PM) :
oder warte
Paula! (11:25 PM) :
ja
steve (11:25 PM) :
zieh mald as fenster
steve (11:25 PM) :
beschreibung größer
steve (11:26 PM) :
diese spalte
steve (11:26 PM) :
was steht da bei dem eintrag "dwm.exe"
steve (11:26 PM) :
"desktopf ..."
Paula! (11:26 PM) :
desktopfenster manager
schliß mal die ersten drei
steve (11:27 PM) :
ApMsgfwd
steve (11:27 PM) :
und apntex
steve (11:27 PM) :
apoint ..
Paula! (11:27 PM) :
schliesßen?
steve (11:27 PM) :
jop
steve (11:27 PM) :
prozess-beenden
Paula! (11:28 PM) :
ok fertig
steve (11:28 PM) :
unsecapp.exe auch ...
Paula! (11:28 PM) :
ok
steve (11:28 PM) :
tray.exe auch ...
Paula! (11:29 PM) :
ok
steve (11:29 PM) :
schreibt er immer noch?
Paula! (11:29 PM) :
ja jetzt net er hat vorher
Paula! (11:29 PM) :
gesagt
Paula! (11:30 PM) :
ja ich geh jetzt
Paula! (11:30 PM) :
bis später
steve (11:30 PM) :
nach nem neustart sind die prozesse aber wieder da ^^
Paula! (11:30 PM) :
oder halt irgendwie so ja ich komm wieder oder so
steve (11:30 PM) :
achso, er geht .. net du?
Paula! (11:30 PM) :
nein er
Paula! (11:30 PM) :
und seit dem hat er so eine stunde jetzt net mehr geschriebn
Paula! (11:30 PM) :
und ER HAT MICH GESEHEN
Paula! (11:30 PM) :
AAAAAAAAAAAAAAAAAAAAAA
steve (11:31 PM) :
eigentlich geht das nicht
Paula! (11:31 PM) :
wirklicj
steve (11:31 PM) :
höchstens er hat zugriff auf deinen laptop
steve (11:31 PM) :
also .. physisch =-O
steve (11:31 PM) :
und hat dir so fernwartungs-software draufgemacht
Paula! (11:31 PM) :
aber er hat gewusst was ich mache
steve (11:31 PM) :
jep des geht damit ^^
steve (11:31 PM) :
das haben z.b. firmen
Paula! (11:31 PM) :
^^
steve (11:31 PM) :
um rechner ihrer mitarbeiter "fernzustuern"
Paula! (11:31 PM) :
^^
Paula! (11:31 PM) :
aber jetzt hilfeeeee
steve (11:31 PM) :
aber dazu muss er das direkt auf deinen laptop aufgespielt haben ...
Paula! (11:32 PM) :
des ist unmöglich
steve (11:32 PM) :
hmm ok ...
Paula! (11:32 PM) :
ich hab meinlaptop nur daheim gehabt und hier get auchniemand hinund ich hab noch en passwoert
Paula! (11:32 PM) :
unmöglich
steve (11:32 PM) :
ok
Paula! (11:33 PM) :
meinst du derjenige hat meine passworter
Paula! (11:33 PM) :
????
Paula! (11:33 PM) :
jetzt
Paula! (11:33 PM) :
von halt kp web und so
Paula! (11:33 PM) :
..
steve (11:33 PM) :
weiß ich net ^^
Paula! (11:33 PM) :
^^
steve (11:33 PM) :
das kann jeder keylogger ...
Paula! (11:33 PM) :
;-)
steve (11:33 PM) :
ich seh von hier net, was du drauf hast ..
Paula! (11:33 PM) :
:-D#
Paula! (11:33 PM) :
hmm
steve (11:33 PM) :
was in deinem task-manager auch extrem auffällig und verdächtig ist ...
steve (11:34 PM) :
du hast 2x den eintrag "explorer.exe" drin
Paula! (11:34 PM) :
was?
steve (11:34 PM) :
das ist die hauptanwendung, die dein startmenü und alle fenster verwaltet ...
Paula! (11:34 PM) :
ooo
Paula! (11:34 PM) :
...
steve (11:34 PM) :
du kannst mal versuchen, den eintrag "explorer.exe" zu beenden, der nur 352 KB hat (bei speicher)
steve (11:34 PM) :
der "große" eitnrag is wohl der normale ...
Paula! (11:34 PM) :
ok
Paula! (11:34 PM) :
sicher
steve (11:35 PM) :
sollte so sein, ja
steve (11:35 PM) :
im schlimmsten fall musst du halt neu starten ...
Paula! (11:35 PM) :
ich mach jetzt
Paula! (11:35 PM) :
ok
Paula! (11:35 PM) :
moment
steve (11:35 PM) :
und?
steve (11:35 PM) :
was passiert?
Paula! (11:35 PM) :
nixx passier
steve (11:35 PM) :
ist dein startmenü noch da?
Paula! (11:35 PM) :
des is weg
Paula! (11:35 PM) :
ja
steve (11:35 PM) :
gut
Paula! (11:35 PM) :
alles normal
steve (11:35 PM) :
dann wars das sehr wahrscheinlich
Paula! (11:35 PM) :
:-D#
steve (11:36 PM) :
wenn alles noch normal ist, dann war des halt n schadprogramm
steve (11:36 PM) :
dasd sich halt tarnen wollte
Paula! (11:36 PM) :
schadprogramm?
steve (11:36 PM) :
wäre das die "echte" explorer.exe gewesen .. würdest du nur noch dein icq-fenster sehen, sonst nix
Paula! (11:36 PM) :
ooo
Paula! (11:36 PM) :
aso
Paula! (11:36 PM) :
shit
Paula! (11:36 PM) :
und wie mach ich jetzt mein pc jetzt wieder rein davon
Paula! (11:37 PM) :
....
steve (11:37 PM) :
ohne gute computerkenntnisse?
Paula! (11:37 PM) :
und der typ hat sachen gewusst zb was für ne frisur ich letzte woche hatte und so#
steve (11:37 PM) :
n virenscanner laden und hoffen, dass er dads findet ...
Paula! (11:37 PM) :
soll ich mal virenprogramm durchlaufen lassen
steve (11:37 PM) :
ansonsten vl noch n firewall .. damit kannst du regeln, welche programme zugruff aufs internet haben
steve (11:38 PM) :
jaa aber nimm n gescheites, kein GData
Paula! (11:38 PM) :
ich hab glaub gdata
steve (11:38 PM) :
ja weiß ich
Paula! (11:38 PM) :
ooo
Paula! (11:38 PM) :
was nun
steve (11:38 PM) :
unsecapp
Paula! (11:38 PM) :
soll ich nicht des ablaufen lassen
steve (11:38 PM) :
http://www.chip.de/downloads/AntiVir..._12998486.html
Paula! (11:38 PM) :
was ist unsecapp
steve (11:38 PM) :
lad mal das
steve (11:38 PM) :
vom link
Paula! (11:38 PM) :
is das legal
steve (11:39 PM) :
das ist kostenlos ^^
Paula! (11:39 PM) :
ok
steve (11:39 PM) :
das hat ne hohe erkennungsrate ^^
Paula! (11:39 PM) :
ok
steve (11:39 PM) :
und was auch cool wäre
steve (11:39 PM) :
windows-update?
Paula! (11:39 PM) :
???
steve (11:40 PM) :
ja ...
steve (11:40 PM) :
damit dein windows-betriebssystem sicherheitstechnisch aufm neusten stand ist ...
steve (11:40 PM) :
weiß nicht, wo das unter vista versteckt ist ^^
Paula! (11:40 PM) :
^^
steve (11:40 PM) :
vielleicht irgendwo im startmenü?
Paula! (11:40 PM) :
hmmm
Paula! (11:41 PM) :
soll ich mien pc noch formatieren
steve (11:41 PM) :
ja du kannst das windows scho neu drauf machen, ist mir egal ...
Paula! (11:41 PM) :
aber was is besser
steve (11:42 PM) :
na wenn du dein windows neu drauf machst, das ist schon besser
steve (11:42 PM) :
aber mehr aufwand
steve (11:42 PM) :
und alle persönlichen daten weg?
steve (11:42 PM) :
musst du wissen ^^
Paula! (11:43 PM) :
^^
Paula! (11:43 PM) :
ich will alles tun damit mich die personne net sieht und sieht was ich mach auf dem pc
steve (11:44 PM) :
hast du das teil gebraucht gekauft?
Paula! (11:44 PM) :
ne neu
Paula! (11:44 PM) :
von meiner mum halt die hatte es zuvor
Paula! (11:44 PM) :
aber davor war es neu
steve (11:45 PM) :
ich kann mir halt beim besten willen nicht vorstellen, dass sowas "unbemerkt im hintergrund" instaliert werden kann ..
steve (11:45 PM) :
ich würd da echt schwer drauf tippen, dass das jemand war, den du kennst ..
Paula! (11:46 PM) :
ja er wusst ja auch vieles über mi
steve (11:46 PM) :
es gibt keinen "virus" oder so, der die webcam oder sowas ansteuern kann ...
Paula! (11:46 PM) :
aber aaaaaaa
Paula! (11:46 PM) :
wie kann des sein
steve (11:46 PM) :
des geht eig echt nur über so fernwartungssoftware
Paula! (11:46 PM) :
wie kann des nur sein
steve (11:46 PM) :
aber die muss man direkt am pc installieren ..
Paula! (11:46 PM) :
neeee
Paula! (11:46 PM) :
eins was halt verdächtig war
Paula! (11:47 PM) :
war so en typ der hat mir sozusagen ne karte zum neujahr scicken wollen so en alter kumpel von mir und die datei lies sicch nicht öffnen
Paula! (11:47 PM) :
und ja
Paula! (11:47 PM) :
hmmm
steve (11:47 PM) :
hast du die datei noch?
Paula! (11:47 PM) :
ne
Paula! (11:47 PM) :
gelöscht
steve (11:47 PM) :
weißt du, was für ne datei-endung sie hatte?
steve (11:47 PM) :
grußkarte.EXE .. oder was wars für format?
steve (11:48 PM) :
und wenn du das net weißt ..
Paula! (11:48 PM) :
..
steve (11:48 PM) :
was kam, wo du sie öffnen wolltest?
Paula! (11:48 PM) :
glaub net
steve (11:48 PM) :
kam n dialogfeld
Paula! (11:48 PM) :
nixx
steve (11:48 PM) :
wo verschiedene programme zur auswahl waren?
Paula! (11:48 PM) :
oder en fenster
Paula! (11:48 PM) :
da stand das es net geöffnet werden kann
steve (11:49 PM) :
wie groß war die karte?
steve (11:49 PM) :
geschätzt?
steve (11:49 PM) :
1 MB .. 10 MB. .. 100 MB...
Paula! (11:49 PM) :
kp des shciken ging aber sehr schnell
steve (11:49 PM) :
okay ..
Paula! (11:49 PM) :
hmm
steve (11:50 PM) :
konnte er dir nur über word antworten?
Paula! (11:50 PM) :
ja
steve (11:50 PM) :
sonst über nix?
Paula! (11:50 PM) :
wär mir nicht aufgefalleb
Paula! (11:50 PM) :
ich hab da auch nur mit word gearbeitet zu dem zeitpunkt
steve (11:50 PM) :
hat er sicher "live" geschrieben?
steve (11:51 PM) :
oder hat er halt irgend was geredet ..
Paula! (11:51 PM) :
am anfang dacht ich ja nur das meine tastatur spinnt
Paula! (11:51 PM) :
nein live
Paula! (11:51 PM) :
zu hundert pro
Paula! (11:51 PM) :
des war so schlimm
Paula! (11:51 PM) :
schau
Paula! (11:51 PM) :
ich hab ne gliederung gemach
Paula! (11:51 PM) :
und dann wusst ich bei einem punkt net weiter
Paula! (11:51 PM) :
und der sagt dann so
Paula! (11:51 PM) :
warum schreibst du net weiter ich weiss auch nicht was du da hin schreibn sollst
Paula! (11:51 PM) :
und so
steve (11:51 PM) :
hoi
Paula! (11:52 PM) :
und ich hab auc gesehn wie er den satz wieder gelöscht hat
Paula! (11:52 PM) :
und s
Paula! (11:52 PM) :
und neues geschriebn hat und dann
Paula! (11:52 PM) :
hab ich tv geschaut und so hoch gescchaut und dann sagt er
Paula! (11:52 PM) :
ja was gibts da oben so uínteressantes
Paula! (11:52 PM) :
das du nie runterschaust so in der art
Paula! (11:52 PM) :
omg
Paula! (11:52 PM) :
OMG
steve (11:53 PM) :
aber ehrlich, ich hab sowas noch nie gehört ^^ .. also es gibt mit sicherheit keinen virus, der sowas "kann"
Paula! (11:53 PM) :
aber es war so



Habt ihr ne Idee?

[webmichl]

Rein gefühlmäßig tipp ich auf ne VNC-Software (Fernsteuerung) und nen Bekannten (Aussehen des Mädels usw und Installation der Software). Warum die allerdings nicht im Taskmanager auftaucht (bzw wie sie da auftaucht, wenn sie auftaucht) - kA...

[Stefan]

VNC-Software (Fernsteuerung)

Das war jetzt auch mein Gedanke. Aber sie meinte, das Gerät wäre neu und nur sie hätte da Zugriff drauf (Passwortgeschützt). Im weiteren Gespräch erwähnte sie, dass sie neulich eine "happynewyear.exe" zugesand bekam und beim öffnen nur eine Fehlermeldung kam. Die Datei war 263 KB groß.

Allerdings glaube ich nicht, dass so ne kleine Datei so einen Wirkungsradius haben kann?

Bin jetzt so verblieben; wenn der Typ wieder schreibt, dann soll sie die zweite Explorer.exe beenden - und warten, was passiert.

Danke für die Antwort

[webmichl]

Zugriff nur auf Word kann ich mir nur schwer vorstellen, ist aber möglich - aber die Webcam?!? Ohne daß sie was merkt oder ohne das was auf dem Laptop-Monitor (bzw Taskmanager) zu sehen ist?

Was schreibt er ihr denn in Word? Ist irgendeine Interaktion bzw Reaktion erkennbar oder könnte das automatisiert sein ( zB durch dieses "happynewyear.exe" - klopf ihr übrigens heftig auf die Finger, daß sie solche Mailanhänge künftig in Ruhe lassen soll )

Wie gesagt: ich tippe auf einen Bekannten, der sich mit ihr einen blöden Scherz erlaubt...

EDIT

ach so: ich meine mich erinnern zu können, daß mehrere "explorer.exe" im Taskmanager durchaus normal sein können - kann mich aber auch irren (ich versuch's mal, rauszukriegen)

[Stefan]

Schau mal das an?

Ist irgendeine Interaktion bzw Reaktion erkennbar oder könnte das

Er schreibt "live". Sie arbeitete an ihrer Hausarbeit; er schreibt im Stil von "na weißt du nicht weiter". Sie schaut hoch zu ihrem TV Gerät .. er schreibt "was gibt's denn da oben spannendes". Sie schreibt "Fick dich" und er schreibt "psst sowas sagt man nicht" ...

ach so: ich meine mich erinnern zu können, daß mehrere "explorer.exe" im Taskmanager durchaus normal sein können - kann mich aber auch irren (ich versuch's mal, rauszukriegen)

Ne, halte ich nicht für normal. Unter Windows 2000 gibt's das nicht. Vorallem wäre sie dan nicht 360 KB groß

[webmichl]

...Er schreibt "live". Sie arbeitete an ihrer Hausarbeit; er schreibt im Stil von "na weißt du nicht weiter". Sie schaut hoch zu ihrem TV Gerät .. er schreibt "was gibt's denn da oben spannendes". Sie schreibt "Fick dich" und er schreibt "psst sowas sagt man nicht" ...

Oha - das ist imho anzeigewürdig: Schutz der Privatsphäre und so weiter. Einen Zeugen im "toten Winkel" der Webcam positionieren und anschliessend ne Anzeige gegen Unbekannt - so würd ich's zumindest machen. Das geht ja nun mal gar nicht...

[fuchzga]

Die "Übernahme" der Webcam könnte z.B. durch sogn. Clickjacking passieren.

Wie sieht es denn aus, wenn sie alles was den Flash Player nutzt beendet (Browser, Messenger)? Wird die Webcam dann immer noch remote gesteuert?
Es schadet nichts, wenn sie auf mal alle Plugins im Browser updatet, also neben Flash Player auch Quick Time Player usw.

[Stefan]

Danke, an Flash dachte ich jetzt gar nicht. Habt ihr die letzten drei Screenshots mit den Diensten gesehen? Sind diese diversen Gruppen denn normal?

Wir haben gerade drüber geredet, ob wir ihn nicht auf eine präparierte Seite locken könnten, wo die IP loggt ...

@ Jokai olvaso: Es war übrigens keine eMail, sondern wurde per ICQ gesendet. Wäre angeblich eine Grußkarte ... leider hat sie die Datei nicht mehr.

[Jokai olvaso]

Natürlich ist das möglich, dass man sich eine solche Schadsoftware einfängt und 263kb sind auch keine "unmöglich kleine" Größe für so eine Software. Man schaue sich nur mal das (in Computerzeiten gerechnet) uralte Subseven an, das konnte das auch schon alles.

Wird wohl die komische E-Mail gewesen sein, die den Spuk ausgelöst hat. Damit sie auf der sicheren Seite ist würde ich auf jeden Fall den Rechner plattmachen und auch alle Passwörter ändern.

War/ist eigentlich das UAC aktiv? Sollte doch sowas eigentlich unterbinden...

[fuchzga]

Die 3 Screenshots sind normal. Man kann im Vista-Taskmanager die Anzeige gruppieren.

Diese zweite explorer.exe finde ich auch sehr auffällig.
Evtl. kann sie im Taskmanager mal die Spalten "PID" und "Befehlszeile" hinzufügen.
Die Befehlszeile zeigt an, welcher Pfad und Exe hinter einem Prozess steht.
Die PID ist die Prozess-ID.
Wenn man im DOS-Fenster diesen Befehl eingibt ...

Code:

netstat -no

... sieht man, welche Prozesse nach draussen kommunizieren.

[maxi89]

Dass man den Prozess nicht sieht kann an den Sicherheitsfunktionen von Vista liegen.
Klick mal auf "Prozesse aller Benutzer anzeigen", damit wird wie bei Windows XP oder 2000 alles ausgegeben.

Nun zum Problem mit der Überwachung:
Als erste Frage: Ist sie mit einem Router im Internet oder hat sie da ein Modem und eine Einwahlsoftware/PPPoE-Verbindung?
Auch wenn da steht WLAN, Alice z.B. liefert ein WLAN-Modem, welches wirklich keine Firewalltechniken beinhaltet.

Ich würde auch evtl. mal die Uhrzeiten festhalten, zu denen mit Sicherheit eine Verbindung bestand, dann kann man den Provider (manchmal) nett bitten, einen Netflow von diesem Zeitfenster zuzusenden. Darin enthalten sind alle Datentransfers von und zu dem Anschluss, mit Angaben der Pakete/Größen/IP-Adressen.
Eine IP, zu der eine ganze Menge Traffic geflossen ist, ist schonmal sehr verdächtigt, denn Live-Bild von Bildschirm und Kamera fressen ganz ordentlichen Traffic.
Wenn es keine Chance auf Netflow gibt, muss der Internettraffic eben selber im lokalen Netz abgehört werden.
Prädestiniert wäre dafür einer der ganz alten Netzwerkhubs, denn die Teile haben die Eigenschaft, den gesamten Datentransfer auf allen Ports zu verteilen. Wenn also Daten von Port 1 zu Port 2 fließen, kriegt Port 3 auch alles an Daten mit - die Gelegenheit, einen Rechner daran anzuschließen, auf dem Wireshark läuft und im Promiscous-Mode alle Pakete mitliest.
Du siehst damit dann alle Daten, die zwischen Laptop und Internet transferriert werden und erhältst zum einen die IP-Adresse des Angreifers und den Port, über den er einbricht. Möglicherweise lassen sich daran typische Programme identifizieren.
Der Hub ist die sicherste Methode, man kann Wireshark natürlich auch lokal auf dem Laptop installieren, die Gefahr, dass der Angreifer dies sieht und eventuell hineinmanipuliert ist doch sehr hoch.

Dann als nächstes Windows-Kennwort ändern oder setzen und sich in der Verwaltung (Windowstaste + R -> services.msc) umsehen, was da so alles in den Diensten steht.
Verdächtige Dienste beenden und ggf. auf manuellen Start umstellen.
Ebenfalls interessant könnte der Autostart-Bereich sein:
Windowstaste + R -> msconfig und unter "Systemstart" unbekannte Programme entfernen.

WLAN: Verschlüsselt? Wenn ja, mit welchem Verfahren?
Als bis jetzt sehr sicher gilt WPA2, WEP ist in weniger als 60 Sekunden geknackt.
Im Router nachsehen, ob Zugriffe aufs WLAN protokolliert werden und schauen, ob unbekannte MAC-Adressen Zugriff hatten.

Firewall installieren: Installiert mal eine Firewall auf dem System und lasst wirklich kaum noch Prozesse raus.
Empfehlenswert ist z.B. Kaspersky, wo das Teil hinlangt ist echt Stille im Netzwerk. Die Demoversion sollte fürs erste reichen, damit lassen sich Verdächtige Prozesse finden.

Layer8:
Was hat deine Bekannte für einen Webbrowser?
Den Internet Explorer kannste wirklich vergessen, möglicherweise hat sie sich durch dessen Sicherheitslücke einen Schädling eingefangen, der das ermöglicht.
Auch immer wieder eine nicht versiegende Quelle solcher Programme ist der Windows Live Messenger a.k.a. MSN.

Zu guter letzt:
Laptop offline nehmen und ein Image der gesamten Festplatte anfertigen (Acronis, DiskDump...), gut verwahren. Denn das ist etwas, was ich mit den vorher gewonnenen Beweisen wirklich anzeigen würde, denn theoretisch könnten auch Kontodaten, Passwörter etc... entwendet worden sein (von einem definitiv ungefährlichen Internetzugang aus ändern). Möglicherweise wurden auch Dateien von der Festplatte kopiert oder sogar darauf gespeichert.

Um ganz sicher zu sein, dass der Trojaner weg ist, würde ich die Festplatte nach dem sichern der wichtigsten Dateien (noja, wir haben ja ein Image) Low-Level-Formatieren. Hier im Board gibt es noch einen Thread dazu, etwas weiter unten. Darik's Boot and Nuke kann sowas ganz gut.
Wie gesagt: Low-Level-Formatierung durchführen und die gesamte Festplatte wipen lassen.
Damit verschwinden dann auch Schädlinge, die sich im Bootsektor festgefressen haben.
Danach kann man Vista neu installieren und von Anfang an mit einem vernünftigen Virenscanner ausstatten.
Meine Empfehlung liegt hierbei ganz klar bei NOD32, das kostet zwar Geld, findet dafür aber eigentlich alles und bremst das System kaum aus.
NOD32 hat ebenfalls einen HTTP-Scanner, das heißt, dass Webseiten noch vor der Ankunft im Browser überprüft und notfalls geblockt werden, wenn diese Viren enthalten.
Antivir kostet zwar nix, aber hält auch nicht immer Schädlinge ab
Wenn deine Bekannte diese nicht für ihre tägliche Arbeit braucht, richte ihr ein Konto ohne Adminrechte ein. Zusammen mit der Benutzerkontensteuerung unter Vista werden dadurch schon 90% der Schädlinge unwirksam oder zumindest nicht bootfest (wenn gestartet echt nervend, können sich aber nicht im Autostart festfressen).


Btw: Was ist das eigentlich für eine interessante Word-Ausgabe?

[Jokai olvaso]

Meine Empfehlung liegt hierbei ganz klar bei NOD32, das kostet zwar Geld, findet dafür aber eigentlich alles und bremst das System kaum aus.
NOD32 hat ebenfalls einen HTTP-Scanner, das heißt, dass Webseiten noch vor der Ankunft im Browser überprüft und notfalls geblockt werden, wenn diese Viren enthalten.
Antivir kostet zwar nix, aber hält auch nicht immer Schädlinge ab

Worauf fußt Du diese Aussage? Wenn man sich die Erkennungsraten von Antivir und Nod32 bei unabhängigen Seiten wie z.B. av-comparatives.org anschaut, ist Nod32 durchweg *deutlich* schlechter als AntiVir...

[maxi89]

NOD32 kann aber die Viren, die es erkannt hat auch aufhalten
So manches Mal, wo man Antivir befiehlt, gefundene Viren zu löschen oder zumindest den Zugriff zu verweigern, finden die Dinger trotzdem einen Weg in die Liste der ausgeführten Prozesse im Taskmanager.
Ist mir während des Einsatzes von Kaspersky (auf meinem Rechner) und NOD32 (Laptop) nicht ein einziges Mal passiert.
Und so Funktionen wie HTTP- und Mail-Scanner (die Daten werden untersucht, bevor sie bei der Anwendung überhaupt ankommen) halte ich nicht für verkehrt.
Kaspersky bremst das System allerdings manchmal ganz schön aus, bei NOD32 habe ich noch nie wirklich Geschwindigkeitsnachteile erlebt.

Andererseits haben die Virenscanner bei mir nur selten Großalarm, ich klicke ja nicht auf alles, was blinkt oder per MSN als Dateitransfer kommen soll.

[Jokai olvaso]

Dann begründet sich Deine Empfehlung also auf Dein subjektives Erleben, oder wie ist die Antwort zu verstehen? Zuerst schreibst Du, Deine Empfehlung liegt bei "NOD32, das kostet zwar Geld, findet dafür aber eigentlich alles [...]". Wenn man sich unabhängige Tests anschaut, findet Nod32 etwa jeden zehnten bekannten Schädling nicht, und jetzt kommst Du mit dem Argument, " NOD32 kann aber die Viren, die es erkannt hat auch aufhalten".

Was genau bringt Dir das jetzt wieder, wenn zum Einen die Erkennungsrate bescheiden hat (immer vor dem Hintergrund, dass es den perfekten Virenscanner schon prinzipbedingt nicht geben kann), und zum Anderen weil die einzig sichere Reaktion auf Befall mit Schadsoftware ohnehin das Neuaufsetzen des betroffenen Rechners ist. Ergo ist ein Virenscanner, der alle bekannten Schädlinge erkennt (gibt es wie gesagt nicht), aber keinen Einzigen davon entfernt einem, der nur 90% erkennt, aber alle entfernt, auf jeden Fall vorzuziehen.

Da Du hier ja üblicherweise sehr kompetente Antworten lieferst, finde ich eine solche Wischi-Waschi-Antwort in einem sicherheitsrelevanten Bereich sehr schade, da man sich ja sonst auf Deine Antworten verlassen kann, finde ich hier aber absolut nicht.

[Greenhorn23]

also die datei selber braucht nicht groß zu sein um einen pc zu infizieren z.b. der o.g. subseven, moonpie o. auch der i love you waren nicht gerade groß.
ich kann mir nur vorstellen, dass ein pc agent installiert wurde, da diese oft nicht von virenscanner etc gefunden werden und auch oft nicht in der prozessübersicht auftauchen.
da ich jetzt annehme, dass der angreifer sich nicht im gleichen netz aufhält benötigt er die ip des rechners, die er mit einem agent bekommen kann -ohne router-
durch die gefunden daten lässt sich bestimmt auch einiges nachinstallieren um auch die cam o. sonstiges zu starten. dies war schon damals bei moonpie möglich (öffnen von cd-rom, maus deaktivieren, wieviel icons auf dem desktop, ...)
gibt es nciht die möglichkeit nach dem hochfahren mit dem dem netstat -a befehl herauszubekommen wohin eine verbindung geht?
zur sicherheit würde ich auch ein image (z.b. clonezilla) erstellen und auch strafanzeige bei der polizei, damit die daten nicht vernichtet werden. den hinweis von maxi mit dem provider finde ich gut, zudem würde ich auch mit wireshark den ganzen netzwerkverkehr mitprotokolieren um das ziel zu finden. auch einen router installieren um darüber online zu gehen, denn da bekommt der rechner eine andere ip.

gruß
green