"Mein EX-Freund weiß was ich alles gestern am PC gemacht habe"

Comp4ny

Comp4ny

Enthusiast
Thread Starter
Mitglied seit
08.10.2008
Beiträge
1.681
Ort
Hamburg
...als ich diese Nachricht heute morgen von einer Freundin bekommen habe,
war sofort klar dass er offenbar Spyware / nen Trojaner oder vergleichbares auf ihrem PC heimlich installiert hat.
Den selbst geänderte Passwörter (Stichpunkt: Keylogger) kennt er offenbar, obwohl diese neu sind.

Sie schrieb mir nämlich genau diese Nachricht, wo ich nur noch WTF dachte
und es hieß dass er ALLES weiß was sie gestern in WhatsApp (Browser-Variante) und Skype geschrieben hat, mit wem sie gecamt hat etc.,
und auch was sie im Spiel gemacht hat. Und nein der Typ war nicht Zuhause, wohnt aber noch bei ihr (sie zieht demnächst um)
ist jedoch momentan woanders untergebracht. Ergo nutzt er hier Zugriff aus der Ferne.

Die für mich sicherste Lösung wäre: Windows komplett neu Installieren, doch bevor dieser Schritt gemacht wird,
versuche ich ihr heute Abend zu helfen mit div. Programmen wie in Richtung Spybot, AVG oder Adw Cleaner.

Gibt es noch weitere (oder bessere) Programme die helfen diesen Spuck ein Ende zu treiben bzw gar zu empfehlen sind aktuell?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Polizei -> Anzeige
aber davor würde ich schauen, ob es nicht doch blos ne Vermutung von ihr ist


E: Und zum entfernen sysinternals Process Explorer und Virustotal Scan laufen lassen und schauen, welche bösartigen Dienste im hintergrund laufen...
 
Zuletzt bearbeitet:
1.) Zur Rede stellen
2.) Rechner neu Aufsetzen.
 
Erstmal checken ob es überhaupt Malware ist und dann Beweise sichern, damit man auch was in der Hand hat.
Evtl. sichert sie einfach nur ihre Passwörter im Browser bzw. der betroffenen Software und er hat sie ausgelesen, also ganz ohne irgendwelche Malware.
Anschließend kannst du dich dann damit beschäftigen evtl. Vorhandene Malware zu entfernen.
Wenn sie keine Recovery Partition oder sowas hat, wäre neu aufsetzen das klügste.
Ansonsten mal den Online Scanner von ESET in passenden Settings drüber laufen lassen und anschließend noch den von Kaspersky oder einem anderen guten Scanner eines der bekannten AV Hersteller drüber laufen lassen um doppelt abgesichert zu sein.

und noch ein gut gemeinter Rat, sie sollte lieber sicherere Massenger nutzen.
 
Danke für die Antwort.

Leider ist nicht nur eine Vermutung, den der Typ ist Krank, treibt seit der Trennung massive Psychospielchen,
akzeptiert nicht dass sie getrennt sind, glaubt sie kommt wieder zurück usw. -- Leider kann sie erst am 01.08. in die neue Wohnung einziehen.

Wie gesagt macht er das @ELIT3 - von weiter Entfernung... er ist also nicht Zuhause aktuell.
Ergo hat er ein Tool installiert zur Fernspionage.
 
Zuletzt bearbeitet:
naja dann er hat eben die passwörter und den kompletten zugriff ... dann kann er alle logs nachlesen ( whatsapp usw. )

-> zuerst das email-pw / oder alle email-adressen pws ändern, danach alle relevanten pws -> schauen was passiert.
 
HW-Mann schrieb:
naja dann er hat eben die passwörter und den kompletten zugriff ... dann kann er alle logs nachlesen ( whatsapp usw. )

-> zuerst das email-pw / oder alle email-adressen pws ändern, danach alle relevanten pws -> schauen was passiert.
Zum Vergrößern anklicken....

Ja dazu sollte aber natürlich gesagt werden - AUF GAR KEINEN FALL AM EIGENEN PC der Infiziert ist !!!!! - Weil möglicherweise: Keylogger.
 
Spybot S&D laufen gelassen, und der Verdacht ist bestätigt........ KGBKeylogger (kommen aber nicht in das Verzeichnis bzw. gibt es dieses zwar noch,
aber scheint wohl derartig versteckt zu sein dass er auch mit Ordner-Optionen nicht angezeigt wird).

Außerdem sind 3 Einträge vom KGBKeylogger.REFOG drin. Auch hier kein Zugriff auf zb. den Image-Ordner.

3 Prozesse konnten nicht entfernt werden.
Im Prozess gibt es auch einen Prozess der MPK.exe heißt... lässt sich aber nicht killen.

Virus.PNG
 
Zuletzt bearbeitet:
lass mal malwarebytes laufen, system im abgesicherten modus starten ;)

damit sollte es gehn
 
HW-Mann schrieb:
lass mal malwarebytes laufen, system im abgesicherten modus starten ;)

damit sollte es gehn
Zum Vergrößern anklicken....

Gibt ein Problem :d ich helfe ihr gerade via Teamviewer.

Mittlerweile konnten wir MPK bzw 2 der 3 Einträge Entfernen lassen. Nur noch C:\Windows\system32\MPK fehlt.
Der Ordner ist dort auch nicht vorhanden, aber das hat ja nix zu heißen.

- - - Updated - - -

Wir haben gerade auch entdeckt unter USER, dass dort neue Profile angelogt worden sind.
Diese lauten:

toto
toto.Kerstin
toto.Kerstin.000
toto.Kerstin.001
usw.

Ihr Benutzerkonto heißt aber nicht so, also muss ihr EX da wohl auch mir irgendwas diese erstellt haben.
 
dann gibts nur eins -> format und win neu installieren ... private daten ( docs, bilder, etc. keine programme! sollte ma eh gesichert haben irgendwo ... )
 
Das beste wäre wirklich die Kiste neu aufzusetzen. Du weißt schließlich nicht, ob er noch weitere "Dienste" installiert hat die ihm Remote Zugriff oÄ erlauben.
Im Anbetracht der Fakten wäre eine Anzeige durchaus angebracht, selbst wenn man damit "nur" z.B. ein Annäherungsverbot durchsetzt.

Ich würde auch unbedingt alle Passwörter von Diensten, die mit Geld zu tun haben schleunigst ändern.
Nicht das er z.B. per Paypal Geld vom Konto zieht oder irgendwo auf ihren Namen bestellt.
 
Zuletzt bearbeitet:
Die Maßnahmen zur Säuberung sind meiner Ansicht nach kontraproduktiv...das müsste eigentlich alles zur Polizei.

Refog wäre auch eine Firma die man ansprechen kann und beim entfernen helfen würden anstatt blind mit den Tools drauf los gehen. Alle Anti* Tools sind zum suchen, sichten und dann entscheiden da und nicht blind "bereinigen" drücken sondern sinnvolle wege zur etwaigen Entfernung suchen (z.B. https://www.raymond.cc/blog/how-to-uninstall-refog-keylogger-without-knowing-master-password/ )

Aber wie gesagt, alles was man verändert und manipuliert lässt sich von der Polizei nicht mehr verwerten -> kontraproduktiv


Grundsätzlich wurde ja schon gesagt
- Alle(!) Passwörter auf einem sauberen System ändern
- Den alten PC nicht nutzen oder dort gar Passwörter eingeben (außer ihr entscheidet euch ohne Polizei zur Neuinstallation)
-> eine Säuberung macht keinen Sinn, denn die ist nicht mehr sinnvoll durchführbar.
- Etwaige Sicherung über ein drittes System machen und nicht das verseuchte System hochfahren und die Daten irgendwohin kopieren...eine live cd machts zur not auch wenn festplattenausbau nicht in frage kommt. Die gesicherten Daten selbst sollten mehrfach geprüft werden (z.B. ct desinfect)
 
Zuletzt bearbeitet:
Ja das habe ich ihr auch angeraten.
Mal soll mit Teamviewer 10 auch irgendwie in den Abgesicherten Modus kommen, dass ich von dort aus weiter arbeiten kann.
Doch leider finde ich dazu nicht ein einziges Tutorial.. nicht mal auf Youtube.

Sie hat leider vom Installieren 0 Ahnung, aber da haben wir die Skype-Option via Handy und PC bei mir mir.
Sie ist gerade im AbgeModus, und lässt Mailwarebytes laufen.

MPK.exe hat er gerade nicht gestartet, und wir konnten den Prozess schon mal killen via Taskillergedöns, ext. Programm.

Dass sie zur Polizei gehen soll haben ihr jetzt schon mehrere gesagt...
Und sie wohnt im Saaland, ich in Kiel... und hat da gerade leider nur mich. Oh mann...
 
Zuletzt bearbeitet:
kannst doch eh net nachweisen, dass er das war ... könnte auch jeder andere sein, der ihm die daten zuspielt.
wenn keylogging geht, dann auch perfide.
 
Warum vernichtet ihr Beweise! Ganz blöd! Mit dem PC zur Polizei und Anzeige erstatten!!
 
Sh!nZ0n schrieb:
Warum vernichtet ihr Beweise! Ganz blöd! Mit dem PC zur Polizei und Anzeige erstatten!!
Zum Vergrößern anklicken....

Man sollte auch immer in Betracht ziehen, das die Betroffene das möglicherweise nicht wünscht. Aus welchen Gründen auch immer...
Da wir hier ein Hardwareforum sind, interessiert uns auch eher die technische als moralische Seite des Problems, oder? ;)

Das Wörtchen Polizei wurde nun schon oft genug verwendet...
 
HW-Mann schrieb:
kannst doch eh net nachweisen, dass er das war ... könnte auch jeder andere sein, der ihm die daten zuspielt.
wenn keylogging geht, dann auch perfide.
Zum Vergrößern anklicken....
öfter als gedacht haben keylogger, vor allem kommerzielle wie dieser, ein log woher datenabfragen oder woher Verbindungen kamen.

So oder so, der verursacher gehört angezeigt ... ob das nun ein dritter Mittelsmann ist ändert nichts

Tzk schrieb:
Da wir hier ein Hardwareforum sind, interessiert uns auch eher die technische als moralische Seite des Problems, oder? ;)
Zum Vergrößern anklicken....
der hinweis dass man hier beweise vernichtet ist technisch ;)

- - - Updated - - -

Comp4ny schrieb:
Ja das habe ich ihr auch angeraten.
Mal soll mit Teamviewer 10 auch irgendwie in den Abgesicherten Modus kommen, dass ich von dort aus weiter arbeiten kann.
Zum Vergrößern anklicken....
geht meines wissens auch nicht, generell ist das aus dem laufenden System heraus auch nicht sauber hinzubiegen (meine Einschätzung)

Das Problem lässt sich meiner Ansicht auch nicht sauber remote lösen bzw nur mit sehr viel zeit und einer detaillierten Anleitung/Anweisung für sie.

Es gibt gründe warum man sagt dass in solchen fällen nur ein weg gilt, System platt machen.
 
Zuletzt bearbeitet:
I.d.R. wird im Opferfall nur ein Abbild der Platte gezogen...man hat aber als Opfer natürlich auch die Wahl sich dagegen zu entscheiden wenn man das nicht möchte.
 
0711 schrieb:
der hinweis dass man hier beweise vernichtet ist technisch ;)
Zum Vergrößern anklicken....

Logo. Dieser Hinweis kam aber nun auch schon gefühlte Drölf mal...


******* schrieb:
Die Hardware wird aber unter Umständen beschlagnahmt und das kann dauern, könnte ich mir zumindest vorstellen. Und außerdem wird dann sicher alles richtig durchleuchtet, blöd, wenn da allzu private Sachen auf dem Rechner sind oder waren. ;)
Zum Vergrößern anklicken....

Da man in diesem Fall ja weiß, das die Kiste eingezogen wird kann man:
1. ein Backup machen, damit nicht alles verloren ist (bzw. man sollte eh ein Backup haben!)
2. gewisse (private) Daten vorher entfernen
 
Ja ich rate ihr auch die ganze Zeit, und andere, auch eure Bedenken habe ich schon angegeben zur Polizei zu gehen.
Sie wird es auch machen, wenn sie demnächst bei ihrer Mutter ist wo er momentan noch ist, und scannt ihren Laptop mit den ganzen Tools
die wir heute verwenden. Findet sie dort auch nur 1. einzige Datei wie aufm PC, geht sie noch mit Laptop und allem drum und dran zur Polizei.

Wir bzw. sie hat auch Screens von den Funden gemacht bezüglich Keylogger etc.
Aktuell läuft noch im AbgeModus Malewarebytes der auch noch immer was gefunden hat. Der MPK.exe-Prozess ist aktuell nicht mitgestartet.. muss aber nichts heißen.
Bis auf 1. Fund vorhin im S&D hat er alles entfernen können laut Programm. Nur war der Fund im System32, nur eben der Ordner dort nicht sichtbar.

--- Ich hasse es Fernwartung zu machen :d so machtlos zu helfen

--- Ich habe ihr gesagt sie soll NUR BILDER erstmal in einen Ordner sichern (alles im Abgesicherten Modus natürlich), und den Ordner
abscannen, erst dann den USB-Stick und die Bilder sichern und ggf. mit Schreibkram genau so verfahren. BLOß KEINE PROGRAMME etc.

Anschließend wird der .... irgendwann da es momentan nicht anders geht, Platt gemacht und neu aufgesetzt.
 
Zuletzt bearbeitet:
Zu Technik kann ich nicht mehr viel Neues beitragen.

Aber weil die Polizei ins Spiel gebracht wurde, würde ich folgendes empfehlen, wenn sie den Schritt tatsächlich erwägt. Sie könnte zu einer Frauenhilfe (Frauenhaus, etc.) gehen und den Fall schildern. Dann weiß sie, was im Fall einer Anzeige auf sie zukommt. Dort haben sie sicher auch Ratschläge, wie sie mit der Situation (gemeinsame Wohnung) umgehen kann.

Die Beraterinnen sind einfühlsame Menschen mit großer Erfahrung, sie haben den ganzen Tag mit sowas zu tun.
(In meinem Bekanntenkreis sind einige aus dem Sozialbereich. Deren Erfahrung ist, dass solche Hilfsorganisationen in aller Regel hervorragende Hilfe leisten. Die Entscheidung zu den ergriffenen Schritten bleibt dabei immer beim Hilfesuchenden.)
 
Zuletzt bearbeitet:
Für die Sicherung würde ich zum nem LiveLinux raten damit auch wirklich nichts mitstartet wenn Windows hochfährt.
Dort kannst du dann auch Teamviewer benutzen um ihr zu helfen falls sie nicht weiterkommt.
 
Sie sollte auf jedenfall noch Maus und Tastatur checken. Gibt schließlich auch hardware keylogger. Einen kleinen usb Adapter hinten am pc übersieht man im Eifer des Gefechts schon mal.
 
Zuletzt bearbeitet:
Comp4ny schrieb:
Danke für die Antwort.

Leider ist nicht nur eine Vermutung, den der Typ ist Krank, treibt seit der Trennung massive Psychospielchen,
akzeptiert nicht dass sie getrennt sind, glaubt sie kommt wieder zurück usw. -- Leider kann sie erst am 01.08. in die neue Wohnung einziehen.

Wie gesagt macht er das @ELIT3 - von weiter Entfernung... er ist also nicht Zuhause aktuell.
Ergo hat er ein Tool installiert zur Fernspionage.
Zum Vergrößern anklicken....
ja die armen frauen, die dann hilfe wegen ihren beziehungen bei anderne männern suchen. wie oft ich das schon gehört habe...
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh