Trojaner, von wem?

wolf29 · 29.07.2011, 08:23

Hi.

Ne Freundin hat den Trojaner (Keylogger) Starr Pro auf Ihrem PC. Dieser wurde anscheinend manuell installiert und ist mit einem Passwort geschützt (über Ausführen -> starrcmd gibt es eine Passwort Abfrage). Wurde jetzt in Quarantäne verschoben.
Da die Leute, die Einstellungen an Ihren PC vorgenommen, sich auf 3 beschränken, wäre es natürlich ineressant zu wissen, wer das war.
Nachdem ich einige Informationen eingeholt habe und gesehen habe, das ne report.html im Dateisystem gespeichert und auch regelmässig rausgeschickt wird, muss ja in dem Tool eine E-Mail Adresse hinterlegt sein. Kommt man an diese irgendwie ran? Danke für Tipps!

mfg Wolf29

hausl · 29.07.2011, 08:39

Ich denk mal da brauchst eben dieses Passwort um in die Settings von dem Dings zu kommen.

Interessanter wäre die Frage ob Du nicht eine Möglichkeit hast (zB mit einem anderen Tool) irgendwie den ausgehenden Mailverkehr oder so irgendwie zu loggen um damit draufzukommen wohin das geschickt wird, dann hast auch die Mailadresse.. Kenn mich da leider zu wenig aus ob das möglich ist, aber die Mails rennen ja normalerweise immer über einen anderen Port (25??) als die www geschichten (80).

LG

wolf29 · 29.07.2011, 08:41

Zitat:

Ich denk mal da brauchst eben dieses Passwort um in die Settings von dem Dings zu kommen.

Hab ich mir fast gedacht.

Zitat:

Interessanter wäre die Frage ob Du nicht eine Möglichkeit hast (zB mit einem anderen Tool) irgendwie den ausgehenden Mailverkehr oder so irgendwie zu loggen um damit draufzukommen wohin das geschickt wird, dann hast auch die Mailadresse.. Kenn mich da leider zu wenig aus ob das möglich ist, aber die Mails rennen ja normalerweise immer über einen anderen Port (25??) als die www geschichten (80).

Hm...mal schauen, was ich so über google dazu finde - thanx.

mfg Wolf29

hausl · 29.07.2011, 08:55

Schau das mal an, finde das hört sich gut an "... unabhängig vom Mail Client..." Der könnte echt "tiefer" gehen... Lass hören was rausgekommen ist..

http://www.freiesofts.de/software/Ma...tor-19088.html

LG

wolf29 · 29.07.2011, 09:04

Super, danke. Sieht auf den ersten Blick ganz gut aus...mal sehen, was sich so rausfinden lässt

!

Hm...wenn ich in die Einstellungen reinkomme, müsste ich theoretisch ja auch an die E-Mail Zugangsdaten der betreffenden Person kommen, da diese ja sicherlich eingegeben werden müssen für den Mailversand.

mfg wolf29

Sonic · 29.07.2011, 09:16

Naja, wenn die Person schlau genung war, wird sie eine wegwerf E-Mail erstellt haben und dann die via Proxy lesen. Aber wenns manuell installiert wurde, wie habt ihr das Ding denn entdeckt?

wolf29 · 29.07.2011, 09:18

Weil es in Antivir als Ausnahme hinzugefügt war und über hijackthis ist der Prozess zuerst aufgefallen!

Hm..aber die Wegwerf E-Mail Adressen haben meist ja nicht wirklich ne lange Haltwertzeit!?!

mfg Wolf29

Sonic · 29.07.2011, 09:20

Naja, mit Wegwerf E-Mail meinte ich das er sich eine bei web.de eingerichtet hat z.B. ddakfjdasfjgjenb@web.de. Und via Onlinepanel liest er dann die E-Mails.

LG Sonic

wolf29 · 29.07.2011, 09:26

Ahh...ok. Ich hab jetzt nur an die z.B. xxx@spaml.de gedacht. Da könntest Du recht haben - mal schauen! Erstmal ist STARR PRO jetzt in Quarantäne und kann nichts mehr anrichten

mfg Wolf29

Sonic · 29.07.2011, 09:37

Und Passwörter ändern etc. nicht vergessen

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Hilfe Angif auf Homepage(HTML/Crypted.Gen) Trojaner	Herbert40	PHP Einsteiger	11	09.06.2011 08:43
problem mit trojaner	kid01	Off-Topic Diskussionen	19	22.11.2004 11:41

29.07.2011, 08:23
wolf29 Erfahrener Benutzer Registriert seit: 17.03.2010 Beiträge: 1.833 PHP-Kenntnisse: Fortgeschritten	Trojaner, von wem? Hi. Ne Freundin hat den Trojaner (Keylogger) Starr Pro auf Ihrem PC. Dieser wurde anscheinend manuell installiert und ist mit einem Passwort geschützt (über Ausführen -> starrcmd gibt es eine Passwort Abfrage). Wurde jetzt in Quarantäne verschoben. Da die Leute, die Einstellungen an Ihren PC vorgenommen, sich auf 3 beschränken, wäre es natürlich ineressant zu wissen, wer das war. Nachdem ich einige Informationen eingeholt habe und gesehen habe, das ne report.html im Dateisystem gespeichert und auch regelmässig rausgeschickt wird, muss ja in dem Tool eine E-Mail Adresse hinterlegt sein. Kommt man an diese irgendwie ran? Danke für Tipps! mfg Wolf29 __________________ while (!asleep()) sheep++; Unterschätze nie jemanden der einen Schritt zurück geht! Er könnte Anlauf nehmen.


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

29.07.2011, 08:39
hausl Erfahrener Benutzer Registriert seit: 03.08.2010 Beiträge: 1.141 PHP-Kenntnisse: Anfänger	Ich denk mal da brauchst eben dieses Passwort um in die Settings von dem Dings zu kommen. Interessanter wäre die Frage ob Du nicht eine Möglichkeit hast (zB mit einem anderen Tool) irgendwie den ausgehenden Mailverkehr oder so irgendwie zu loggen um damit draufzukommen wohin das geschickt wird, dann hast auch die Mailadresse.. Kenn mich da leider zu wenig aus ob das möglich ist, aber die Mails rennen ja normalerweise immer über einen anderen Port (25??) als die www geschichten (80). LG __________________ Keine Zahl != ein Zeichen das keine Zahl ist

29.07.2011, 08:55
hausl Erfahrener Benutzer Registriert seit: 03.08.2010 Beiträge: 1.141 PHP-Kenntnisse: Anfänger	Schau das mal an, finde das hört sich gut an "... unabhängig vom Mail Client..." Der könnte echt "tiefer" gehen... Lass hören was rausgekommen ist.. http://www.freiesofts.de/software/Ma...tor-19088.html LG __________________ Keine Zahl != ein Zeichen das keine Zahl ist

29.07.2011, 09:04
wolf29 Erfahrener Benutzer Registriert seit: 17.03.2010 Beiträge: 1.833 PHP-Kenntnisse: Fortgeschritten	Super, danke. Sieht auf den ersten Blick ganz gut aus...mal sehen, was sich so rausfinden lässt ! Hm...wenn ich in die Einstellungen reinkomme, müsste ich theoretisch ja auch an die E-Mail Zugangsdaten der betreffenden Person kommen, da diese ja sicherlich eingegeben werden müssen für den Mailversand. mfg wolf29 __________________ while (!asleep()) sheep++; Unterschätze nie jemanden der einen Schritt zurück geht! Er könnte Anlauf nehmen.

29.07.2011, 09:16
Sonic Erfahrener Benutzer Registriert seit: 31.05.2010 Beiträge: 151 PHP-Kenntnisse: Fortgeschritten	Naja, wenn die Person schlau genung war, wird sie eine wegwerf E-Mail erstellt haben und dann die via Proxy lesen. Aber wenns manuell installiert wurde, wie habt ihr das Ding denn entdeckt?

29.07.2011, 09:18
wolf29 Erfahrener Benutzer Registriert seit: 17.03.2010 Beiträge: 1.833 PHP-Kenntnisse: Fortgeschritten	Weil es in Antivir als Ausnahme hinzugefügt war und über hijackthis ist der Prozess zuerst aufgefallen! Hm..aber die Wegwerf E-Mail Adressen haben meist ja nicht wirklich ne lange Haltwertzeit!?! mfg Wolf29 __________________ while (!asleep()) sheep++; Unterschätze nie jemanden der einen Schritt zurück geht! Er könnte Anlauf nehmen.

29.07.2011, 09:20
Sonic Erfahrener Benutzer Registriert seit: 31.05.2010 Beiträge: 151 PHP-Kenntnisse: Fortgeschritten	Naja, mit Wegwerf E-Mail meinte ich das er sich eine bei web.de eingerichtet hat z.B. ddakfjdasfjgjenb@web.de. Und via Onlinepanel liest er dann die E-Mails. LG Sonic

29.07.2011, 09:26
wolf29 Erfahrener Benutzer Registriert seit: 17.03.2010 Beiträge: 1.833 PHP-Kenntnisse: Fortgeschritten	Ahh...ok. Ich hab jetzt nur an die z.B. xxx@spaml.de gedacht. Da könntest Du recht haben - mal schauen! Erstmal ist STARR PRO jetzt in Quarantäne und kann nichts mehr anrichten mfg Wolf29 __________________ while (!asleep()) sheep++; Unterschätze nie jemanden der einen Schritt zurück geht! Er könnte Anlauf nehmen.

29.07.2011, 09:37
Sonic Erfahrener Benutzer Registriert seit: 31.05.2010 Beiträge: 151 PHP-Kenntnisse: Fortgeschritten	Und Passwörter ändern etc. nicht vergessen