HijackThis Log zum auswerten

[Franklin68]

Hi,
ich befuerchte ich bin Opfer von PC Monitoring oder Aehnliches ( http://www.vollversion.de/downloads/pro ... p4?id=2282 ).

Ich muss gestehen das ich zu weilen ohne Profilaxe im Internet verkehre (sorry, my bad).

Ich habe eine konkrete Person unter verdacht aber keinerlei Beweise. Ich wuerde die Person gerne Dingfest machen. Ich weiss nicht ob es was bringt, aber ich habe ein HijackThis Log gemacht und wuerde mich freuen wenn jemand mir helfen koennte es aus zu werten. [Da schon ausgewertet habe ich's raus genommen...]

Sonstige Tips sind natuerlich herzlich wilkommen!

Vielen Dank schon mal fuer die Hilfe!

MfG,
F.

[Nikita]

Zur Tarnung wird keine Setup-Routine und kein Eintrag in das Programmverzeichnis benötigt. Zudem wird das Programm komplett ausgeblendet und versteckt,

es bleibt nur, das Tool mal zu laden und dann zu sehen, was passiert....

[Franklin68]

Mmm, danke fuer die schnelle Antwort, aber es kann sich auch um etwas ganz anderes handeln: der Typ ist gelernter Wirtschaftsinformatiker...

Ich dachte halt, man koennte vielleicht entweder was an hand der Ablaeufe am Geraet oder an hand vom Traffic ueber den Router feststellen, ob und von wo aus auf meinem Laptop zugegriffen wird.

Ich muss jedoch gestehen, dass ich auch ein Internet-cafe benutzte... (ich weiss, ich weiss... wie im thailaendischen Maennerpuff ohne Gummi voegeln...)

Ich wuerde diesen Typen aber so gerne mit einer Anzeige drohen koennen... Was kriegt man eigentlich fuer unerlaubten Zugriffs? Freiheitstrafe oder nur Bewaehrung?

F.



PS ich muss mich als oller Kaesskopp outen, also bitte Verstaendnis fuer die vielen Rechtschreibfehler...

[Nikita]

PC Monitoring kann man nur am eigenen PC ausfuehren (oder im netzwerk), genau weiss ich es jedoch nicht, da ich es noch nie ausprobiert habe.

Falls der Typ, von dem du denkst, dass er dich ueberwacht keinen direkten Zugang zu deinem PC hat, bleibt nur ein Trojaner oder Keylogger, denn er dir irgendwie untergeschoben hat, aber das log ist sauber.

TCPVIEW
http://www.sysinternals.com/Utilities/TcpView.html
starte es und speichere das Ergebniss in eine Datei, dessen Inhalt poste hier ebenfalls.

[Franklin68]

Super! TCPView ist genau das wonach ich gesucht habe.

Nikita: Wie kann man dich nach 8.500 Beitraegen noch gebuehrent danken/loben?

Anbei auch ein erstes Log. Als Laie wuerde ich aber sagen, dass sich alles zuordnet laesst, oder?

Ich werde in den naechsten Tagen schauen was noch so passiert. Soll ich auf irgendetwas besonders achten, z.B. remote addresses?

Etwas anders: gibt es einen Grund weshalb ich unter 'wireless network connection properties' die Option 'Client for Microsoft Networks' nicht ausschalten sollte? Ich meine, ich habe kein Netwerk zu Hause, also wozu das eingeschaltet lassen? Oder geht davon keine Gefahr aus?

Vielen herzlichen Dank!!!

F.




alg.exe:3652 TCP Franklin68:1026 Franklin68:0 LISTENING
ccApp.exe:3376 TCP Franklin68:1030 Franklin68:0 LISTENING
GoogleDesktopIndex.exe:1496 TCP Franklin68:4664 Franklin68:0 LISTENING
iexplore.exe:3768 UDP Franklin68:1035 *:*
iexplore.exe:3768 TCP franklin68.woyton:1040 banners.webmasterplan.com:http ESTABLISHED
iexplore.exe:3768 TCP franklin68.woyton:1038 toolbarqueries.l.google.com:http ESTABLISHED
iexplore.exe:3768 TCP franklin68.woyton:1045 pagead.l.google.com:http ESTABLISHED
iexplore.exe:3768 TCP franklin68.woyton:1049 toolbarqueries.l.google.com:http ESTABLISHED
iexplore.exe:3768 TCP franklin68.woyton:1052 thumbs.ebay.com:http ESTABLISHED
iexplore.exe:3768 TCP franklin68.woyton:1053 thumbs.ebay.com:http ESTABLISHED
LSASS.EXE:1384 UDP Franklin68:isakmp *:*
LSASS.EXE:1384 UDP Franklin68:4500 *:*
SVCHOST.EXE:140 UDP Franklin68:1900 *:*
SVCHOST.EXE:140 UDP franklin68.woyton:1900 *:*
SVCHOST.EXE:1672 TCP Franklin68:epmap Franklin68:0 LISTENING
SVCHOST.EXE:1712 UDP Franklin68:ntp *:*
SVCHOST.EXE:1712 UDP franklin68.woyton:ntp *:*
SVCHOST.EXE:1840 UDP Franklin68:1031 *:*
SVCHOST.EXE:1840 UDP Franklin68:1041 *:*
System:4 TCP Franklin68:microsoft-ds Franklin68:0 LISTENING
System:4 TCP franklin68.woyton:netbios-ssn Franklin68:0 LISTENING
System:4 UDP Franklin68:microsoft-ds *:*
System:4 UDP franklin68.woyton:netbios-ns *:*
System:4 UDP franklin68.woyton:netbios-dgm *:*
WCESCOMM.EXE:580 TCP Franklin68:5679 Franklin68:0 LISTENING


Nicht

[Nikita]

stelle mal die netbios ab , falls dann noch alles funktioniert (Drucker usw.) lass es so
http://virus-protect.org/windsdoorcleaner.html

ansonsten laesst sich alles zuordnen, du kannst immer ueberpruefen, wohin die Verbindungen gehen .