Eindringlig via RealVNC / Hacker tippt während ich am PC arbeite

Dieses Thema Eindringlig via RealVNC / Hacker tippt während ich am PC arbeite im Forum "Windows XP Forum" wurde erstellt von huabamane, 11. Jan. 2007.

Thema: Eindringlig via RealVNC / Hacker tippt während ich am PC arbeite Hallo, bisher habe ich Zuhause auf 5 PC`s (WINXP) RealVNC genutzt um alle Computer Steuern zu können. Mich hat es...

  1. Hallo,
    bisher habe ich Zuhause auf 5 PC`s (WINXP) RealVNC genutzt um alle Computer Steuern zu können.
    Mich hat es vor ca 4 Wiochen mal gereizt zu versuchen ob ich es hin bekomme von der Uni aus via Laptop den Heim PC zu steuern.
    D.h. Account bei Dyn-DNS gemacht, den RealVNC Port am Router weitergeleitet an meine IP, und siehe da, alles hat geklappt.
    Das ganze habe ich nur einmal gemacht.
    Und nun der Schock:

    Ich sitze gerade am PC als wie von Zauberhand Start->Ausführen->%systemroot%\system32\cmd.exe aufgerufen wird.

    Ich hab nur noch gesehen wie irgendwas eingetippt wurde mit einer IP, allerdings weiß ich nicht genau was gemacht wurde, da ich das Fenster sofort geschlossen, via firewall die Internetsperre aktiviert und RealVNC auf allen PC`s deinstalliert habe.

    Wie lange dieser Geist schon auf meinem PC sein Unwesen treibt will ich gar nicht wissen. Mein PC läuft oftmals Tagelang ohne ausgeschaltet zu werden.

    Nun meine Frage, wie kann es sein das jemand so einfach auf meinen PC kommt? Ich habe RealVNC ja nur 1 mal kurz via internet benutzt. Noch dazu verwende ich natürlich ein passwort.

    Die Version war allerdings eine relativ Alte (ich glaube 2.XX)
    Wenn mir jemand helfen kann/will, kann er mich gerne auch via ICQ (303487235) kontaktieren.

    Im Übrigen kann ich RealVNC auf meinem PC nicht mehr deinstallieren, da ich unter Software keinen Eintrag finde und RealVNC kein eigenes uninstall zur Verfügung stellt. auf allen anderen PC`S gins es einwandfrei.

    Was kann er eingerichtet haben, damit er noch weiterhin Schaden anrichten kann?
    Ich habe alle Firewall Freigaben zurückgesetzt (Sygate Personal Firewall)
    Ich habe mal einen kompletten Antivir, spybot, adaware scan gemacht.
    Es wurde 1 Virus (TR/ClassLoader.G.4) mit Avira Antivir
    6 Critische Objekte (6x Tracking cookie) mit Ad-aware
    gefunden.

    Grüße und danke schon mal,
    Chris

    Ich hänge mal ein hijackthis-log an:


    Logfile of HijackThis v1.99.1
    Scan saved at 22:20:15, on 11.01.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\FRITZ!DSL\IGDCTRL.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Microsoft IntelliType Pro\type32.exe
    C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Programme\DAEMON Tools\daemon.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
    C:\Programme\Logitech\MouseWare\system\em_exec.exe
    C:\Programme\PokerOffice\bin\javaw.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Sygate\SPF\smc.exe
    C:\Programme\ICQLite\ICQLite.exe
    C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Dokumente und Einstellungen\Home\Desktop\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
    O3 - Toolbar: (no name) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - (no file)
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
    O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [DAEMON Tools] C:\Programme\DAEMON Tools\daemon.exe -lang 1033
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [avgnt] C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe /min
    O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
    O4 - HKLM\..\Run: [SpybotSnD] C:\Programme\Spybot - Search & Destroy\SpybotSD.exe /autofix /waitstart
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
    O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
    O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Partypoker\PartyPoker\RunApp.exe
    O9 - Extra->Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Partypoker\PartyPoker\RunApp.exe
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O15 - Trusted Zone: *.windowsupdate.com
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D9724E13-F9B0-414B-82F4-3E128F6579D1}: NameServer = 192.168.178.1
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
    O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
    O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe -d -f %ProgramFiles%\WinPcap\rpcapd.ini (file missing)
    O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe


    :verschoben1: aus Windows XP
     
  2. Danke fürs verschieben.
    Hier nochmal ein aktueller hijackthis.log nach einem Neustart, da ich einige Einträge geändert habe.


    Logfile of HijackThis v1.99.1
    Scan saved at 22:29:35, on 11.01.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Sygate\SPF\smc.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\FRITZ!DSL\IGDCTRL.EXE
    C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Programme\DAEMON Tools\daemon.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Programme\Logitech\MouseWare\system\em_exec.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Dokumente und Einstellungen\Home\Desktop\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
    O3 - Toolbar: (no name) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - (no file)
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
    O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [DAEMON Tools] C:\Programme\DAEMON Tools\daemon.exe -lang 1033
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [avgnt] C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe /min
    O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
    O4 - HKLM\..\Run: [SpybotSnD] C:\Programme\Spybot - Search & Destroy\SpybotSD.exe /autofix /waitstart
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
    O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
    O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Partypoker\PartyPoker\RunApp.exe
    O9 - Extra->Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Partypoker\PartyPoker\RunApp.exe
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O15 - Trusted Zone: *.windowsupdate.com
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D9724E13-F9B0-414B-82F4-3E128F6579D1}: NameServer = 192.168.178.1
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
    O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
    O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe -d -f %ProgramFiles%\WinPcap\rpcapd.ini (file missing)
    O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
     
  3. Hi

    Installiere beim nächsten mal die aktuellste Version von RealVNC.

    In der Version 4.0 gab es eine Sicherheitslücke, die es einem fremden ermöglichte OHNE Passwort die Remotesteuerung zu nutzen.
    In der Version 4.1.2 ist dies behoben.
    Desweiteren solltest Du die Option Promt local User to accept Connection (zu finden unter Authentication)
    Mit dieser Otion hat der User am RealVNC Server 10 sek Zeit um die Verbindung zu akzeptieren.
    Wenn nicht Akzeptiert wird wird die Verbindung gekappt.

    Mfg Micha
     
Die Seite wird geladen...

Eindringlig via RealVNC / Hacker tippt während ich am PC arbeite - Ähnliche Themen

Forum Datum
RealVNC: Problem bei Verbindung außerhalb des Netzwerkes Windows XP Forum 6. Jan. 2010
RealVNC - Fernwartung -> Keine Verbindung möglich (Hilllllllfeeeeeeeee) Software: Empfehlungen, Gesuche & Problemlösungen 21. Feb. 2008
Verbindungs Probleme bei RealVNC Software: Empfehlungen, Gesuche & Problemlösungen 17. Feb. 2008
Sicherheit RealVNC Netzwerk 19. Sep. 2007
RealVNC - IP Adresse Netzwerk 18. Sep. 2007