Verlauf-Spy-Programm??

[freakyd]

Hallo ihr lieben, folgendes Problem hat ein Kumpel von mir zur Zeit und ich benötige Hilfe von euch da ich mich mit sowas nicht auskenne.

Seine Freundin kontrolliert sein Computernutzungsverlauf. Sie sieht mit wem er gechattet hat, wann und auf welche Seiten er war. Ich habe ein verdacht auf ein Spy-Programm, konnte aber nichts finden. Auf jedenfall konnte er nur sehen, dass ein weißes Fenster geöffnet wurde, tabellarischer Aufbau wie Exel, sie hat aber zu schnell wieder geschlossen und er konnte nicht sehen was das war. Ich habe seine Windowspartition frischformatiert, dennoch konnte sie alles nachlesen. Könnte das Programm evtl auf D: versteckt sein und aktiviert sich automatisch wieder sobald man sich im Windows anmeldet? Oder hat sie irgendwelchen Befehle eingegeben? Was könnte das sein?


Vielen Dank für eure Hilfe^^

 

[KenshiHH]

Das ist doch mal vertrauen in der Beziehung...
Schon nen Termin für ne Talkshow gesichert? XD

 

[Spielmops]

Wie wäre es, wenn dein Kumpel mal seine Freundin direkt darauf anspricht?

Sie installiert heimlich was, das er dann heimlich deinstallieren will? Das kann ja nicht gut gehen

 

[freakyd]

Naja, sie hat ja einen Grund dazu gehabt und er kann jetzt nichts mehr dagegen setzen . Er will jetzt nur wissen wie sie das macht. Mir ist noch eingefallen, sie hat eine kleine Schwester und ihr Internetnutzung zuhause wird auch überwacht. Frag mich bloß mit was :-|

 

[Spielmops]

Dann stimmt bei den beiden aber grundsätzlich was nicht. Also überwacht Big Sister auch zuhause die Familie? Das wird ja immer toller

 

[TheBigG]

Dein Freund kann ja tails nutzen für Sachen die seine Freundin nicht mitbekommen soll.
Vorgehen:
1. Tails von einem sauberen Rechner auf CD brennen.
2. Festplatten abstöpseln
3. gucken ob was an den usb ports hängt und vergewissern das auch nichts zwischen tastatur und computer hängt.
4. von der CD booten und was auch immer machen.

 

[freakyd]

Vielen Dank für deine Antwort TheBigG aber er möchte halt nur wissen wie sie das macht^^ (eigentlich will ich das auch, ziemlich interessant zumal sie sich überhaupt nicht mit PC auskennt. Hat bestimmt von irgendjemand einen Tip bekommen )

 

[KGM11]

Wenn da tatsächlich was auf dem Rechner läuft, dann dürfte sich das mit den üblichen Werkzeugen wie Process Explorer, Process Monitor, Autoruns etc. finden lassen.

 

[allmecht]

arbeitet diese dame zufällig für die nsa?

p.s. wie gehen die ins internet hat da jeder seinen eigenen pc oder sind die alle vernetzt wenn letzteres könnte ich mir vorstellen das die daten irgendwie am router abgegriffen werden (aber ich kenn mich mit solchen sachen nicht aus deshalb nus spekulation)

 

[freakyd]

Sie wohnt in Augsburg und er in Frankfurt. Sie kommt ab und zu nach Frankfurt zu Besuch. Er wohnt in Studentenheim und nutzt auch da das Internet vom Haus aus, da fällt die Variante mit dem Router schonmal weg

Gesendet von meinem GT-N7100 mit der Hardwareluxx App

 

[freakyd]

Push

 

[X5-599]

Warum fragt er sie nicht einfach?

Sorry, aber wir können nur raten und irgendwie kommt bei mir der Verdacht auf das es weniger darum geht womit sie das macht sondern dir Tipps geben wie du sowas machen könntest.
Um wirklich zu wissen was auf dem Rechner drauf ist müsste man da diverse Tests machen die scheinbar auch du nicht machen kannst.

Also wenn sich da nicht noch ein tiefer Sinn ergibt, überlege ich mir den Thread zu schliessen.

 

[freakyd]

Was unterstellst du mir hier lieber Mod? Auch wenn du Mod bist kannst du dir auch nicht alles erlauben. Um an so ein Programm zukommen glaube ich ist es nicht schwer. Bei Tante google eingeben und es gibt zigtausende Angebote. Es geht mir darum mein Kumpel zuhelfen, sonst nichts. Diverse Tests kann ich noch nicht machen da sein Laptop nicht bei mir ist. Evtl hat ja schon jemand Erfahrung damit gemacht.

 

[little_skunk]

Starte mal msconfig und schau ob da was ungewöhnliches zu finden ist. Aber einfach wird das nicht. Dort werden diverse Programme und Dienste aufgelistet werden, die beim Systemstart automatisch gestartet werden. Über Google kannst du rausbekommen welche wichtig sind und welche eher nicht.

Alternativ hijackthis über das System laufen lassen und die Logdatei online auswerten lassen. Allerdings steht dir auch da etwas Arbeit bevor. Das Überwachungsprogramm wird vermutlich nicht als Schadsoftware erkannt. Das heißt du musst die ausgewertete Logdatei selber kontrollieren und dich bei Google über die Programme informieren.

Ruhe hätte "dein Freund" übrings wenn er auf Linux wechselt und bei der Installation gleich alles so einstellt, dass "seine Freundin" sich höchstens über ein Gast Zugang ohne Rechte anmelden kann.

 

[dirk11]

Was unterstellst du mir hier lieber Mod? Auch wenn du Mod bist kannst du dir auch nicht alles erlauben.

Tut er auch nicht. Er stellt eine legitime Vermutung an, die ich genausogut hätte schreiben können, sonst nichts. Warum nur können Menschen wie du eine Funktion nicht von einer Person unterscheiden!? Die Funktion "Moderator" verbietet X5-599 noch lange nicht, als Person X5-599 zu schreiben und zu kommentieren, was er will.
Mir scheint eher, dass du seine Vermutung nicht widerlegen kannst und deshalb anfängst, ihn auf Nebenschauplätzen anzugreifen, die mit der Sache überhaupt nichts zu tun haben.

 

[freakyd]

Menschen wie ich? Was für ein Mensch bin ich denn? Wenn du überhaupt nicht dazu beitragen kannst mir bei meinem Problem zulösen dann geht bitte woanders hin spammen. Wenn mein Thread nicht legitim ist, dann hätte er sicherlich schon längst geschlossen. Warum sollte ich hier irgendjemand irgendetwas nachweisen? Ich habe mein Problem geschildert, wenn das regelwidrig ist dann sollte doch irgendein Mod mich darauf aufmerksam machen und hier schließen. Ein Forum ist doch schließ dazu da um Unwissende bei Probleme zuhelfen oder bin ich hier ganz falsch?

...auf Nebenschauplätzen anzugreifen, die mit der Sache überhaupt nichts zu tun haben....

das sagt gerade du, der nichts hilfsreiches spamst -.-

 

[little_skunk]

Damit beschleunigst du nur die Schließung deines Threads. Es kann dir eigentlich egal sein was einige hier über dich denken. Du bist hier nicht um dich zur Schau zu stellen sondern um ein Problem zu lösen. Ich hab dir geschrieben wie du das Überwachungsprogramm findest. Ignorier einfach alle anderen Kommentare. Machst du das nicht, muss auch ich annehmen, dass sie mit ihrer Vermutung richtig liegen. Nicht umsonst gibt es das Sprichwort "getroffene Hunde bellen".

 

[freakyd]

So, jetzt habe ich endlich sein Netbook. Dennoch konnte ich nichts ungewöhnliches entdecken. Ich habe Screenshots der Autostartprozesse und Taskmanager gemacht und hijackthis logfile. Seht ihr irgendwas ungewöhnliches?

Spoiler

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 21:23:59, on 01.12.2013
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v10.0 (10.00.9200.16736)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\Dwm.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Microsoft Security Client\msseces.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\taskmgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_9_900_152.exe
C:\Windows\system32\Macromed\Flash\FlashPlayerPlugin_11_9_900_152.exe
C:\Users\Quang\Downloads\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.amazon.de/gp/bit/amazons...f85bdfdcec20393ee_30_46_20131119_DE_ie_sp_IS0
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN Deutschland: Aktuelle Nachrichten, Outlook.com Email und Skype Login.
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN Deutschland: Aktuelle Nachrichten, Outlook.com Email und Skype Login.
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [MSC] "C:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\PROGRA~1\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\S-1-5-18\..\RunOnce: [SPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [SPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: Updater Service for AMZN - Unknown owner - C:\Program Files\Amazon Browser Bar\ToolbarUpdaterService.exe
O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe

--
End of file - 4775 bytes

 

[senbei]

Running processes:
Kein Antivirus?

Beim Systemstart steht Mcaffe aber es sind dämont00ls und yahoo angekreuzt - muss man nicht verstehen oder?

Nutzt dein Freund Office und das enthaltene groove? Falls nicht wirf groove mal runter.

 

[TheBigG]

beim taskmanager mal alle prozesse anzeigen und dann noch die services.

 

[freakyd]

Office nutzt er oft, das groove...ehm...ich weiss nicht mal was das ist, wird aber deaktiviert. Mcaffee hat sich automatisch reingeschlichen bei der Aktualisierung von flash, ist bereits deinstalliert. Standart Antivirus benutzt er das Microsoft Security Essentials.

Gesendet von meinem GT-N7100 mit der Hardwareluxx App

 

[little_skunk]

Ich habe Screenshots der Autostartprozesse und Taskmanager gemacht und hijackthis logfile.

Logdatei auswerten kannst du hier: HijackThis Logfileauswertung

Jedes dir unbekannte Programm einfach bei Google suchen.

BTW: Dein IE ist veraltet und braucht ein Update.