hilfe gegen hacker

03/08/2007 21:53 Littleasshole#1
hi leute,
ich dachte mir ihr könnt mir weiterhelfen......also folgendes prob hab ich:
ich wohne in einem studentenheim so wie ca. 300 andere auch und seit einem halben jahr gibts bei uns einen hacker der grundlos dateien von anderen pc´s freigibt oder orndner löscht.......vor ca. 2std hat er meine musikornder gelöscht und screens vom löschen mit dem titel "owend" in den musik ordner gestellt( ich geb zu der joke is gut).....naja und ich wollte fragen ob jemand weiß wie man den rückverfolgen kann, den der heimleiter will das Inet für ganze haus abdrehn wenn man den nicht findet -.- alle die sich damit auskennen bitte ich um hilfe den zu finden..

euer littleasshole
03/08/2007 22:17 reijin#2
Quote:
Originally posted by Littleasshole@Mar 8 2007, 21:53
hi leute,
ich dachte mir ihr könnt mir weiterhelfen......also folgendes prob hab ich:
ich wohne in einem studentenheim so wie ca. 300 andere auch und seit einem halben jahr gibts bei uns einen hacker der grundlos dateien von anderen pc´s freigibt oder orndner löscht.......vor ca. 2std hat er meine musikornder gelöscht und screens vom löschen mit dem titel "owend" in den musik ordner gestellt( ich geb zu der joke is gut).....naja und ich wollte fragen ob jemand weiß wie man den rückverfolgen kann, den der heimleiter will das Inet für ganze haus abdrehn wenn man den nicht findet -.- alle die sich damit auskennen bitte ich um hilfe den zu finden..

euer littleasshole
also... für mich klingt das sehr als hätte dir jemand nen Trojaner ins system Geschleust ;)
Einen "Hacker"-Angriff halte ich für unwarscheinlich... oder bist du an ein Intranetz angebunden? (falls ja kanns sein, dass da eine schwachstelle ist)

gruß

//EDIT//
kannst ja mal nen Hijackthis-scan posten!!! (wegen trojaner)
03/08/2007 22:40 djpromo#3
Nutz das Ausschlussverfahren , den er heisst bestimmt "Robert" :D
03/08/2007 22:43 Littleasshole#4
Ja bin im Schulintranet, ich glaube eher, dass es ein hacker ist, weil er uns auch die verbindung verlangsamt, gibts irgendeine möglichkeit, rauszufinden wer das ist? ausserdem hat hier jeder eine gute firewall, was einen trojanerangriff eher ausschließt
mfg
03/08/2007 22:45 reijin#5
Quote:
Originally posted by Littleasshole@Mar 8 2007, 22:43
Ja bin im Schulintranet, ich glaube eher, dass es ein hacker ist, weil er uns auch die verbindung verlangsamt, gibts irgendeine möglichkeit, rauszufinden wer das ist? ausserdem hat hier jeder eine gute firewall, was einen trojanerangriff eher ausschließt
mfg
Loooolzzz eine firewall soll nen Trojaner verhindern??? das währ ja schön :rolleyes: :D
schau mal auf meinen ersten Post hab nen Edit gemacht ;)

ich halte einen hacker-angriff immernoch für unwarscheinlich^^

//EDIT//
bin jetz ma pennen mache morgen hier weiter....
03/08/2007 23:32 Littleasshole#6
So hier der hijackthis scan
Logfile of HijackThis v1.99.1
Scan saved at 23:24:48, on 08.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Software\Panda Internet Security 2007\pavsrv51.exe
C:\Programme\Panda Software\Panda Internet Security 2007\AVENGINE.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Software\Panda Internet Security 2007\TPSrv.exe
c:\programme\panda software\panda internet security 2007\firewall\PNMSRV.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Panda Software\Panda Internet Security 2007\PavFnSvr.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe
C:\Programme\Panda Software\Panda Internet Security 2007\PsImSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Panda Software\Panda Internet Security 2007\SRVLOAD.EXE
C:\Programme\Internet Explorer\iexplore.exe
D:\pmnn.dll\Hijack this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [Only registered and activated users can see links. Click Here To Register...]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Only registered and activated users can see links. Click Here To Register...]
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [Only registered and activated users can see links. Click Here To Register...]
R1 - HKCU\Software\Microsoft\Windows&#09 2;CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dl l
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dl l
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Internet Security 2007\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Internet Security 2007\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvSta rtup
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\ EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\ bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\ bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\ REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=64&bd=pavilion &pf=laptop
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [Only registered and activated users can see links. Click Here To Register...]
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050&# 092;Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\pavsrv51.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software International - c:\programme\panda software\panda internet security 2007\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Programme\Panda Software\Panda Internet Security 2007\PsImSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Programme\Panda Software\Panda Internet Security 2007\TPSrv.exe
03/09/2007 12:03 Maybe It's Maybelline#7
Stelle mal die Firewall so ein, das sie auch nach ausgehenden/eingehenden (Beides) Verbindungen frägt.
Dann wirst du sehen ob er ein Trojaner benutzt oder über eine Sicherheitslücke.
03/09/2007 14:21 reijin#8
Quote:
Originally posted by Maybe It's Maybelline@Mar 9 2007, 12:03
Stelle mal die Firewall so ein, das sie auch nach ausgehenden/eingehenden (Beides) Verbindungen frägt.
Dann wirst du sehen ob er ein Trojaner benutzt oder über eine Sicherheitslücke.
ein gut geschriebener Trojaner injected ein anderes Programm um ins Internet zu gehen.
von daher gibts keine Garantie für das Finden über diese Methode....

dem scan nach siehts auch sehr sauber aus....

deutet vieles auf ne Sicherheitslücke hin...
Haste Dateien im Netzwerk freigegeben?
03/09/2007 15:05 Maybe It's Maybelline#9
Ist doch völlig egal, du kannst mir nicht sagen das nichtmal ein normaler mensch in der lage ist Google und eine IP außernander zu halten. Immerhin gibt die firewall aufschluss wie und zu was eine verbindung aufgestellt wird.
03/09/2007 15:10 reijin#10
Quote:
Originally posted by Maybe It's Maybelline@Mar 9 2007, 15:05
Ist doch völlig egal, du kannst mir nicht sagen das nichtmal ein normaler mensch in der lage ist Google und eine IP außernander zu halten. Immerhin gibt die firewall aufschluss wie und zu was eine verbindung aufgestellt wird.
ja klar ;) ich habs ja nicht böse gemeint, das Problem ist nur, dass die meißten Leute vergleichsweise wenig ahnung haben (ob ich dazu gehöre vermag ich nicht zu sagen)
03/09/2007 16:06 mr.rattlz#11
Bitte einen befreundeten Hacker darum einen Honeypot auszulegen ;D

Mehr Tipps kann ich dir nicht geben, vielleicht hat er ja dein Passwort und liest hier mit :p
03/09/2007 19:14 SuckFunkyStuff#12
Also ehrlich gesagt würd ich gern sehn wie ihr den sack kriegt, aber hab leider kA wie man den ausfindig machen kann......
03/09/2007 19:50 reijin#13
Quote:
Originally posted by SuckFunkyStuff@Mar 9 2007, 19:14
Also ehrlich gesagt würd ich gern sehn wie ihr den sack kriegt, aber hab leider kA wie man den ausfindig machen kann......
bitte wie willst du das "sehen" kennste den TS im RL? X_x
03/10/2007 00:50 JohnDS#14
Ich würd mal das Simpelste annehmen.

Vielleicht hat dem Admin einfach jemand beim eintippen des Pw's über die Schulter geguckt?

Der Admin soll mal sein PW ändern. Die Einloggzeiten anschauen, zu denen die Dateien geänder tuwrden, neue rengesetzt wurden usw usf.