1. Liebe Forumsgemeinde,

    aufgrund der Bestimmungen, die sich aus der DSGVO ergeben, müssten umfangreiche Anpassungen am Forum vorgenommen werden, die sich für uns nicht wirtschaftlich abbilden lassen. Daher haben wir uns entschlossen, das Forum in seiner aktuellen Form zu archivieren und online bereit zu stellen, jedoch keine Neuanmeldungen oder neuen Kommentare mehr zuzulassen. So ist sichergestellt, dass das gesammelte Wissen nicht verloren geht, und wir die Seite dennoch DSGVO-konform zur Verfügung stellen können.
    Dies wird in den nächsten Tagen umgesetzt.

    Ich danke allen, die sich in den letzten Jahren für Hilfesuchende und auch für das Forum selbst engagiert haben. Ich bin weiterhin für euch erreichbar unter tti(bei)pcwelt.de.
    Dismiss Notice

XP-Key von fremden PC auslesen?

Discussion in 'Windows XP / Server 2003/2008 / Vista' started by TheAir, Oct 7, 2008.

Thread Status:
Not open for further replies.
  1. TheAir

    TheAir Kbyte

    Hallo Leute!

    Habe mal ne Frage. Ein Kumpel von mir hat von seinem Rechner aus meinen CD-Key von XP ausgelesen und mir mitgeteilt.

    Meine Frage: Wie ist das möglich? Braucht man dazu einen Trojaner ? Bin etwas verunsichert!


    Bitte um Hilfe.
     
    TheAir, Oct 7, 2008
    #1
  2. derstille

    derstille Byte

    Wie hat er in ausgelesen, hat er vor deinem PC gesessen oder wie?

    Edit: Christine hat schon ein HijackThis-Log angefragt!
     
    Last edited: Oct 7, 2008
    derstille, Oct 7, 2008
    #2
  3. TheAir

    TheAir Kbyte

    Muss dazu sagen habe XP grade neu installiert und SP 3.

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 22:05:36, on 07.10.2008
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Analog Devices\Core\smax4pnp.exe
    C:\Programme\Analog Devices\SoundMAX\Smax4.exe
    C:\WINDOWS\system32\winsys2.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Programme\Winamp\winampa.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
    C:\Programme\Winamp\winamp.exe
    C:\Programme\SurfMusik 3.1\SurfMusik.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Dokumente und Einstellungen\Benjamin\Desktop\HiJackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
    O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
    O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
    O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
    O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
    O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

    --
    End of file - 3904 bytes
     
    TheAir, Oct 7, 2008
    #3
  4. deoroller

    deoroller Wandelndes Forum

    Meldet Avira das Ding nicht als Trojaner?

    Die Datei 'WinSys2.exe' wurde als 'MALWARE' eingestuft. Unsere Analytiker haben dieser Bedrohung den Namen TR/MadeCodeHook gegeben. Bei der Bezeichnung "TR/" handelt es sich um ein Trojanisches Pferd, dass in der Lage ist, ihre Daten auszuspähen, Ihre Privatsphäre zu verletzen und nicht erwünschte Änderungen am System vornehmen kann.Ein Erkennungsmuster ist mit Version 7.00.05.171 der Virendefinitionsdatei (VDF) hinzugefügt.

    http://forum.avira.com/wbb/index.php?page=Thread&threadID=72184

    Den Thread auch mal beobachten:
    http://forum.chip.de/windows-xp/xp-key-fremden-pc-auslesen-1080863.html
     
    deoroller, Oct 7, 2008
    #4
  5. TheAir

    TheAir Kbyte

    Beim Googeln wurde mir aber auch angezeigt, dass die Datei WinSys2.exe zu MSI-Grafikkarten wie meiner gehört. AntiVir oder Spybot haben nichts gefunden.
     
    TheAir, Oct 7, 2008
    #5
  6. -humi-

    -humi- Joker

    lade die Datei mal auf jotti bzw virustotal hoch und poste das Ergebnis
     
    -humi-, Oct 7, 2008
    #6
  7. TheAir

    TheAir Kbyte

    Datei WinSys2.exe empfangen 2008.10.08 07:27:57 (CET)
    Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
    Ergebnis: 0/36 (0%)

    Auf Jotti wurde ebenfalls nichts gefunden.
     
    Last edited: Oct 8, 2008
    TheAir, Oct 8, 2008
    #7
  8. -humi-

    -humi- Joker

    ist wirklich nicht mehr gestanden? dann wurde die Datei nciht hochgeladen...

    fixen... falls sie wichtig ist, kann man sie mittels Backup von HJT wiederherstellen(dazu muss aber HJT in einen separaten Ordner sein)
     
    -humi-, Oct 8, 2008
    #8
  9. TheAir

    TheAir Kbyte

    weitere Informationen
    File size: 217088 bytes
    MD5...: 331db46a3a5ea8e1a3d2e06725a65bf7
    SHA1..: 7e7db810203a2a95e255b11bb47fd77df478b14b
    SHA256: 85c875da698b7ad42cfe8a38b052d6d3f1596c345e8b23d101e2f3890787b9cf
    SHA512: 4f5f38ac604869c7172dde8c713f810f901d233dd574ec310d02dfdd4a2c79fe
    d5988bb4d86fc42ce85bb03114215aca1b440e44d6ade3fc701ebdb5165bbaf7
    PEiD..: -
    TrID..: File type identification
    InstallShield setup (42.6%)
    Win32 Executable MS Visual C++ (generic) (37.3%)
    Win32 Executable Generic (8.4%)
    Win32 Dynamic Link Library (generic) (7.5%)
    Generic Win/DOS Executable (1.9%)
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x40eee7
    timedatestamp.....: 0x45665c90 (Fri Nov 24 02:44:32 2006)
    machinetype.......: 0x14c (I386)

    ( 4 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x1000 0x1f6d6 0x20000 6.61 2597fdefa7ef0d72e6b9d042d179f807
    .rdata 0x21000 0x7656 0x8000 4.79 7a1a8dc0e614f63e393471e2a7a8185a
    .data 0x29000 0x5a74 0x2000 3.85 6d7f74470b50f6760435bdc1865de721
    .rsrc 0x2f000 0x9290 0xa000 5.56 b596ffd3a165cb398764578107bedac4

    ( 8 imports )
    > MADCHOOK.DLL: InjectLibraryA, UninjectLibraryA
    > KERNEL32.dll: SetErrorMode, HeapFree, HeapAlloc, VirtualAlloc, HeapReAlloc, GetCommandLineA, GetProcessHeap, GetStartupInfoA, RaiseException, RtlUnwind, ExitProcess, HeapSize, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, HeapDestroy, HeapCreate, VirtualFree, GetStdHandle, Sleep, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, GetACP, GetConsoleCP, GetConsoleMode, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, GetOEMCP, GetCPInfo, CreateFileA, GetCurrentProcess, GetThreadLocale, FlushFileBuffers, SetFilePointer, WriteFile, ReadFile, GlobalFlags, InterlockedIncrement, TlsFree, DeleteCriticalSection, LocalReAlloc, TlsSetValue, TlsAlloc, InitializeCriticalSection, GlobalHandle, GlobalReAlloc, EnterCriticalSection, TlsGetValue, LeaveCriticalSection, LocalAlloc, GlobalGetAtomNameA, GlobalFindAtomA, lstrcmpW, GetVersionExA, InterlockedDecrement, GetModuleFileNameW, FreeResource, CloseHandle, WritePrivateProfileStringA, GlobalAddAtomA, GetCurrentProcessId, GetCurrentThread, GetCurrentThreadId, ConvertDefaultLocale, GetModuleFileNameA, EnumResourceLanguagesA, GetLocaleInfoA, LoadLibraryA, lstrcmpA, FreeLibrary, GlobalDeleteAtom, GetModuleHandleA, GetProcAddress, GlobalFree, GlobalAlloc, GlobalLock, GlobalUnlock, FormatMessageA, LocalFree, FindResourceA, LoadResource, LockResource, SizeofResource, MulDiv, SetLastError, GetVersion, CompareStringA, GetLastError, InterlockedExchange, MultiByteToWideChar, WideCharToMultiByte, lstrlenA
    > USER32.dll: LoadCursorA, GetSysColorBrush, ShowWindow, SetWindowTextA, IsDialogMessageA, RegisterWindowMessageA, SendDlgItemMessageA, WinHelpA, GetCapture, GetClassLongA, GetClassNameA, SetPropA, GetPropA, RemovePropA, SetFocus, GetWindowTextA, GetForegroundWindow, GetTopWindow, GetMessageTime, GetMessagePos, MapWindowPoints, SetForegroundWindow, UpdateWindow, GetMenu, CreateWindowExA, GetClassInfoA, RegisterClassA, AdjustWindowRectEx, CopyRect, PtInRect, GetDlgCtrlID, DefWindowProcA, CallWindowProcA, SetWindowLongA, SetWindowPos, SystemParametersInfoA, GetWindowPlacement, GetWindowRect, GetWindow, UnhookWindowsHookEx, GetSysColor, EndPaint, BeginPaint, ReleaseDC, GetDC, ClientToScreen, GrayStringA, DrawTextExA, DrawTextA, TabbedTextOutA, GetDesktopWindow, SetActiveWindow, CreateDialogIndirectParamA, DestroyWindow, IsWindow, EnableWindow, GetSystemMetrics, GetDlgItem, GetNextDlgTabItem, EndDialog, SetWindowsHookExA, CallNextHookEx, GetMessageA, TranslateMessage, DispatchMessageA, GetActiveWindow, IsWindowVisible, GetKeyState, PeekMessageA, GetCursorPos, DestroyMenu, UnregisterClassA, PostMessageA, SendMessageA, GetClientRect, DrawIcon, LoadIconA, IsIconic, GetSubMenu, GetMenuItemCount, GetMenuItemID, GetMenuState, CheckMenuItem, EnableMenuItem, ModifyMenuA, GetParent, ValidateRect, GetWindowThreadProcessId, GetWindowLongA, GetLastActivePopup, IsWindowEnabled, MessageBoxA, SetCursor, PostQuitMessage, SetMenuItemBitmaps, GetMenuCheckMarkDimensions, LoadBitmapA, GetFocus, GetClassInfoExA
    > GDI32.dll: SetWindowExtEx, ScaleWindowExtEx, DeleteDC, GetStockObject, RectVisible, ScaleViewportExtEx, SetViewportExtEx, OffsetViewportOrgEx, SetViewportOrgEx, SelectObject, Escape, ExtTextOutA, GetDeviceCaps, PtVisible, GetObjectA, DeleteObject, GetClipBox, SetMapMode, SetTextColor, SetBkColor, RestoreDC, SaveDC, CreateBitmap, TextOutA
    > WINSPOOL.DRV: ClosePrinter, DocumentPropertiesA, OpenPrinterA
    > ADVAPI32.dll: RegQueryValueA, RegEnumKeyA, RegDeleteKeyA, RegOpenKeyA, RegCloseKey, RegOpenKeyExA, RegCreateKeyExA, RegQueryValueExA, RegSetValueExA
    > SHLWAPI.dll: PathFindFileNameA, PathFindExtensionA
    > OLEAUT32.dll: -, -, -

    ( 0 exports )
     
    TheAir, Oct 8, 2008
    #9
  10. -humi-

    -humi- Joker

    ich meinte sowas:
     

    Attached Files:

    -humi-, Oct 8, 2008
    #10
  11. deoroller

    deoroller Wandelndes Forum

    Dann ist das von Avira wohl ein Fehlalarm gewesen.
    Hast du einen Router?
     
    deoroller, Oct 8, 2008
    #11
  12. TheAir

    TheAir Kbyte

    Genau so sah mein bild auch aus, nichts gefunden. Nein ich habe keinen Router sondern eine FritzBox-WLan.

    Nebenbei, es ist noch ein Laptop über WLan verbunden und an diesem Laptop teilte mir besagter Kumpel über ICQ meinen Key mit. Wohlgemerkt den Key von meinem Haupt-PC, nicht vom Laptop.
     
    Last edited: Oct 8, 2008
    TheAir, Oct 8, 2008
    #12
  13. deoroller

    deoroller Wandelndes Forum

    deoroller, Oct 8, 2008
    #13
Thread Status:
Not open for further replies.

Share This Page