Chef-Spyware auf Firmenlaptop finden

F

Freddy Mercury

Enthusiast
Thread Starter
Mitglied seit
15.06.2007
Beiträge
156
Hallo Leute!
Wer kennt sich mit Spyware aus? Habe einen Firmenrechner, der ein Programm enthält, mit dem der Chef den Bildschirminhalt sehen kann. Juristisch ist das legal (da Arbeitsrechner), mir ist es aber unsympathisch. Komme mir da immer so beobachtet vor. Hat jemand einen Tip, wie man das (von der Firma selbst programmierte) Tool eliminieren/blocken/zweitweise blocken kann? Von Netzstecker ziehen mal abgesehen. Admin-Rechte sind auf der Kiste vorhanden, das juristische Recht zu jeglicher Programminstallation auch (private Installationen sind erlaubt). Habe schon im Task-Manager geschaut, aber da hängen >50 Prozesse drin mit kryptischen Namen...

Danke für Eure Tips!
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Meinst du die Versuche fallen nicht auf? Du wirst doch eh schon überwacht :)
 
Es ist legal insofern, dass dich dein AG über die Überwachung informiert. Wenn er das nicht macht, macht er sich strafbar.
 
muß er nur generell informieren oder jedes mal, wenn er zusieht?

zum glück bin ich selbstständig :fresse:
 
Generell.

Damit bist du als AN im bilde und weißt, dass sämtliche Handgriffe überwacht werden.
Ist das gleiche wie mit Kameras in Geschäften. Dienen diese der Überwachung der Mitarbeiter, zb über Kassen, müssen die AN auch informiert werden, das man überwacht wird.

EDIT:
Es ist halt rein informativ für den AN.
 
Zuletzt bearbeitet:
Es ist mir egal, ob der Chef weiß, dass ich das Programm ausgeschaltet habe. Das merkt er ja sowieso, wenn er versucht, sich zu verbinden. Mein Kalkül ist, dass er nicht bei mir ankommt und sagt, mein PC wäre defekt. Außerdem kann ich während der "Manipulationsversuche" vorrübergehend den LAN-Stecker abziehen.
 
hätte es dann nicht sogar arbeitsrechtliche konsequenzen, das tool zu blockieren?

@threadstarter: mach mal mit geschlossenem browser, virenscanner usw (alle programme, die aufs netz zugreifen) in der konsole (cmd) netstat -aon
damit kommst eventuell dem tool etwas näher. 0.0.0.0:[port] ist immer recht interessant.
 
Zuletzt bearbeitet:
Grand^21cw gibt schon einen sehr guten Weg vor. Dann schauen worauf die Software lauscht und einfach per Firewall abschotten. Alternativ nach dem Namen suchen und den Dienst (wahrscheinlich wird es einer sein) killen. Beides geht natürlich nur mit den entsprechenden (Admin-)Rechten am PC...
 
Leute, danke für eure Ratschläge. Hier das Ergebnis von netstat -aon. Was sagt mir das jetzt?


Active Connections

Proto Local Address Foreign Address State PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 1456
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:2967 0.0.0.0:0 LISTENING 2072
TCP 0.0.0.0:50001 0.0.0.0:0 LISTENING 3948
TCP 0.0.0.0:50002 0.0.0.0:0 LISTENING 3948
TCP 0.0.0.0:54545 0.0.0.0:0 LISTENING 5448
TCP 127.0.0.1:1135 0.0.0.0:0 LISTENING 2052
TCP 127.0.0.1:3759 127.0.0.1:59449 TIME_WAIT 0
TCP 127.0.0.1:4306 127.0.0.1:4307 ESTABLISHED 5928
TCP 127.0.0.1:4307 127.0.0.1:4306 ESTABLISHED 5928
TCP 127.0.0.1:4308 127.0.0.1:4309 ESTABLISHED 5928
TCP 127.0.0.1:4309 127.0.0.1:4308 ESTABLISHED 5928
TCP 127.0.0.1:50000 127.0.0.1:3758 TIME_WAIT 0
TCP 172.20.101.39:2502 156.109.169.21:1533 TIME_WAIT 0
TCP 172.20.101.39:2597 80.67.29.13:143 ESTABLISHED 5928
TCP 172.20.101.39:2607 80.67.29.13:143 ESTABLISHED 5928
TCP 172.20.101.39:3401 157.191.125.239:3995 CLOSE_WAIT 1420
TCP 172.20.101.39:3657 156.109.152.21:445 ESTABLISHED 4
TCP 172.20.101.39:3711 82.165.74.99:80 TIME_WAIT 0
TCP 172.20.101.39:3712 64.233.169.99:80 TIME_WAIT 0
TCP 172.20.101.39:3721 156.109.176.235:1352 TIME_WAIT 0
TCP 172.20.101.39:3736 156.109.176.8:1352 TIME_WAIT 0
TCP 172.20.101.39:3737 156.109.179.67:1352 TIME_WAIT 0
TCP 172.20.101.39:3738 156.109.176.231:1352 TIME_WAIT 0
TCP 172.20.101.39:3739 156.109.176.236:1352 TIME_WAIT 0
TCP 172.20.101.39:3740 156.109.176.229:1352 TIME_WAIT 0
TCP 172.20.101.39:3741 156.109.176.234:1352 TIME_WAIT 0
TCP 172.20.101.39:3742 156.109.176.45:445 TIME_WAIT 0
TCP 172.20.101.39:3743 156.109.176.235:80 TIME_WAIT 0
TCP 172.20.101.39:3745 157.191.125.239:3995 CLOSE_WAIT 1420
TCP 172.20.101.39:3746 156.109.176.231:1352 TIME_WAIT 0
TCP 172.20.101.39:3747 156.109.176.236:1352 TIME_WAIT 0
TCP 172.20.101.39:3748 156.109.176.45:135 TIME_WAIT 0
TCP 172.20.101.39:3749 156.109.176.45:1026 TIME_WAIT 0
TCP 172.20.101.39:3750 156.109.176.244:389 TIME_WAIT 0
TCP 172.20.101.39:3752 156.109.176.244:389 TIME_WAIT 0
TCP 172.20.101.39:3753 156.109.176.244:389 TIME_WAIT 0
TCP 172.20.101.39:3754 156.109.179.67:1352 TIME_WAIT 0
TCP 172.20.101.39:3755 156.109.176.231:1352 TIME_WAIT 0
TCP 172.20.101.39:3756 156.109.176.236:1352 TIME_WAIT 0
TCP 172.20.101.39:3757 156.109.176.234:1352 TIME_WAIT 0
TCP 172.20.101.39:52028 0.0.0.0:0 LISTENING 5448
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:500 *:* 1120
UDP 0.0.0.0:1027 *:* 1828
UDP 0.0.0.0:1028 *:* 1828
UDP 0.0.0.0:1029 *:* 1828
UDP 0.0.0.0:1065 *:* 972
UDP 0.0.0.0:1454 *:* 1420
UDP 0.0.0.0:1997 *:* 1828
UDP 0.0.0.0:1998 *:* 1828
UDP 0.0.0.0:1999 *:* 1828
UDP 0.0.0.0:3373 *:* 1828
UDP 0.0.0.0:3374 *:* 1828
UDP 0.0.0.0:4500 *:* 1120
UDP 127.0.0.1:123 *:* 1580
UDP 127.0.0.1:1026 *:* 1120
UDP 127.0.0.1:1036 *:* 1580
UDP 127.0.0.1:1057 *:* 1420
UDP 127.0.0.1:1089 *:* 1064
UDP 127.0.0.1:3743 *:* 5448
UDP 127.0.0.1:62515 *:* 1540
UDP 127.0.0.1:62517 *:* 1540
UDP 127.0.0.1:62519 *:* 1540
UDP 127.0.0.1:62521 *:* 1540
UDP 127.0.0.1:62523 *:* 1540
UDP 127.0.0.1:62524 *:* 1540
UDP 172.20.101.39:123 *:* 1580
UDP 172.20.101.39:52029 *:* 5448
 
naja, überall wo 0.0.0.0:[port] und listening steht wartet ein programm auf botschaften aus dem netz. Vermutlich läuft die "spyware" über TCP, d.h. in frage kommen vier einträge von drei prozessen.

TCP 0.0.0.0:2967 0.0.0.0:0 LISTENING 2072
TCP 0.0.0.0:50001 0.0.0.0:0 LISTENING 3948
TCP 0.0.0.0:50002 0.0.0.0:0 LISTENING 3948
TCP 0.0.0.0:54545 0.0.0.0:0 LISTENING 5448

ich bin kein protokoll-spezi, eventuell ist das ding auch bei UDP zu finden, könnte auch funktionieren. :fresse:


die letzten vier nummern sind die process-ID (PID) (im taskmanager unter dienste nachschauen). denkbar wäre natürlich auch, das die verbindung schon steht. Tach Chef! :fresse:.

hast du vorher das tool von dingens.org laufen lassen? damit räumst du bei den windows-diensten etwas auf, macht die suche einfacher. Ach, und mach wirklich auch alle browserfenster und antivirentools usw zu, jedes programm, das mit dem netz verbunden ist erschwert dir die suche. im optimalfall stehen da wirklich nur die windowsstandards sowie die spyware.
 
Zuletzt bearbeitet:
wenn du das ganze wegmachst dann bist ja besonders verdächtig ...

und ich nehmen mal an das hat eher zur folge das es neu installiert wird und du deine admin rechte verlierst
 
Oha miese Arbeitsbedigungen
 
Ich weiss nicht genau, welches Problem du hast. Hier geht es doch klar um ein Arbeitsgerät deiner Firma welches zum Arbeiten genutzt werden soll. Die Art und Weise wie du zu Arbeiten hast ist bekannt und unterliegt halt nur einer digitalen Kontrolle, im Büro könnte sich dein Chef auch einfach hinter dich stellen. Möchstes du un-gestört/kontrolliert private Sachen machen, dann doch bitte nicht auf diesem Laptop/Notebook.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh