Hilfe ich werde gehackt

[coffeebreak]

@coffeebreak

gut...vllt. gibt es wirklich ein 2. Programm, mit dem dieses konfiguriert werden kann. Vllt. ist es aber auch möglich das Prog. auszuführen wenn es die richtigen Rechte besitzt. Und wie bereits erwähnt muss man es ja nicht als superuser starten, sondern könnte mit chown und chmod die richtigen Rechte zuweisen.
Und sollte es wirklich möglich sein das Prog auszuführen ist der "Informationsgewinn" sicherlich höher als bei allen anderen bisher angeführten Lösungsvorschlägen.

Wenn es nicht die passenden Rechte hätte, sollte es normalerweise danach fragen oder das zumindest melden. Die Tatsache, dass es nichts sagt oder fragt und einfach scheinbar nichts tut, spricht eher dafür, dass es einen Dämon startet.

 

[fionagwynneth]

Ich lade gerade wireshark herunter.
An alle: Danke für die Hilfe

Ich möchte wirklich schwarz auf weiss wissen wer sowas macht

 

[laurooon]

Ich lade gerade wireshark herunter.
An alle: Danke für die Hilfe

Ich möchte wirklich schwarz auf weiss wissen wer sowas macht

Na dann bleib dran. Wir bleiben natürlich auch dran!

 

[Sörnäinen]

Ich lade gerade wireshark herunter.
An alle: Danke für die Hilfe

Ich möchte wirklich schwarz auf weiss wissen wer sowas macht

Okay, dann hilft nur Weitersuchen.
Aber ich denke, Du weißt doch längst, wer´s war, oder?

 

[kafkaesk]

Wie gesagt Monk, wäre jetzt schon an einen anderen Fall dran.

 

[laurooon]

Okay, dann hilft nur Weitersuchen.
Aber ich denke, Du weißt doch längst, wer´s war, oder?

Wie gesagt Monk, wäre jetzt schon an einen anderen Fall dran.

Niemand ist schuldig, bis seine Schuld BEWIESEN ist!

 

[fabiopigi]

hm, die plist von den preferences ist ebenfalls verschlüsselt.
sie ist in binär gespeichert, lässt sich aber mit plutil ins xml format bringen.
schaut dann etwa so aus:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
	<key>Alerts</key>
	<array/>
	<key>Alerts email</key>
	<true/>
	<key>Alerts screenshot</key>
	<true/>
	<key>Code2</key>
	<data>
	YnBsaXN0MDDUAQIDBAUGCQpYJHZlcnNpb25UJHRvcFkkYXJjaGl2ZXJYJG9iamVjdHMS
	AAGGoNEHCFRyb290gAFfEA9OU0tleWVkQXJjaGl2ZXKpCwwVGxwfJikqVSRudWxs1A0O
	DxAREhMUWU5TLmZvcm1hdFYkY2xhc3NXTlMudGltZVtOUy50aW1lem9uZYAHgAgjQbAC
	RktDIzaAAtMOFhcYGRpXTlMubmFtZVdOUy5kYXRhgAaAA4AEXUV1cm9wZS9adXJpY2jS
	DhcdHoAFTxECrVRaaWYAAAAAAAAAAAAAAAAAAAAAAAAABAAAAAQAAAAAAAAAeAAAAAQA
	AAAJySTH8MlygmDKFiaQyuEDYMv2CJDMwOVgFSPrkBYT3JAXA82QF/O+kBjjr5AZ06CQ
	GsORkBu8vRAcrK4QHZyfEB6MkBAffIEQIGxyECFcYxAiTFQQIzxFECQsNhAlHCcQJgwY
	ECcFQ5An9TSQKOUlkCnVFpAqxQeQK7T4kCyk6ZAtlNqQLoTLkC90vJAwZK2QMV3ZEDJy
	tBAzPbsQNFKWEDUdnRA2MngQNv1/EDgblJA43WEQOft2kDq9QxA721iQPKZfkD27OpA+
	hkGQP5sckEBmI5BBhDkQQkYFkENkGxBEJeeQRUP9EEYFyZBHI98QR+7mEEkDwRBJzsgQ
	SuOjEEuuqhBMzL+QTY6MEE6soZBPbm4QUIyDkFFXipBSbGWQUzdskFRMR5BVF06QViwp
	kFb3MJBYFUYQWNcSkFn1KBBatvSQW9UKEFygERBdtOwQXn/zEF+UzhBgX9UQYX3qkGI/
	txBjXcyQZB+ZEGU9rpBmCLWQZx2QkGfol5Bo/XKQach5kGrdVJBrqFuQbMZxEG2IPZBu
	plMQb2gfkHCGNRBxUTwQcmYXEHMxHhB0RfkQdREAEHYvFZB28OIQeA73kHjQxBB57tmQ
	erCmEHvOu5B8mcKQfa6dkH55pJB/jn+QAAEAAQABAgMCAwIDAgMCAwIDAgMCAwIDAgMC
	AwIDAgMCAwIDAgMCAwIDAgMCAwIDAgMCAwIDAgMCAwIDAgMCAwIDAgMCAwIDAgMCAwID
	AgMCAwIDAgMCAwIDAgMCAwIDAgMCAwIDAgMCAwIDAgMCAwIDAgMCAwIDAAAcIAEAAAAO
	EAAFAAAcIAEAAAAOEAAFQ0VTVABDRVQAAAABAQAAAQHSICEiI1gkY2xhc3Nlc1okY2xh
	c3NuYW1loyMkJV1OU011dGFibGVEYXRhVk5TRGF0YVhOU09iamVjdNIgIScooiglWk5T
	VGltZVpvbmVfEBQlWS0lbS0lZCAlSDolTTolUyAletIgISssoywtJV5OU0NhbGVuZGFy
	RGF0ZVZOU0RhdGUACAARABoAHwApADIANwA6AD8AQQBTAF0AYwBsAHYAfQCFAJEAkwCV
	AJ4AoACnAK8AtwC5ALsAvQDLANAA0gODA4gDkQOcA6ADrgO1A74DwwPGA9ED6APtA/EE
	AAAAAAAAAAIBAAAAAAAAAC4AAAAAAAAAAAAAAAAAAAQH
	</data>
	<key>Default startup</key>
	<true/>
	<key>Delete old screenshots</key>
	<false/>
	<key>Email minutes</key>
	<integer>30</integer>
	<key>Email password</key>
	<data>
	</data>
	<key>Email user name</key>
	<data>
	</data>
	<key>Enable chat logging</key>
	<true/>
	<key>Enable key logging</key>
	<true/>
	<key>Enable screenshots</key>
	<true/>
	<key>Enable web logging</key>
	<true/>
	<key>FTP dir</key>
	<data>
	hQ==
	</data>
	<key>FTP host</key>
	<data>
	</data>
	<key>FTP last upload</key>
	<data>
	YnBsaXN0MDDUAQIDBAUGCQpYJHZlcnNpb25UJHRvcFkkYXJjaGl2ZXJYJG9iamVjdHMS
	AAGGoNEHCFRyb290gAFfEA9OU0tleWVkQXJjaGl2ZXKpCwwVGxwfJikqVSRudWxs1A0O
	DxAREhMUWU5TLmZvcm1hdFYkY2xhc3NXTlMudGltZVtOUy50aW1lem9uZYAHgAgjQbAC
	RpdzJ1eAAtMOFhcYGRpXTlMubmFtZVdOUy5kYXRhgAaAA4AEXUV1cm9wZS9adXJpY2jS
	DhcdHoAFTxECrVRaaWYAAAAAAAAAAAAAAAAAAAAAAAAABAAAAAQAAAAAAAAAeAAAAAQA
	AAAJySTH8MlygmDKFiaQyuEDYMv2CJDMwOVgFSPrkBYT3JAXA82QF/O+kBjjr5AZ06CQ
	GsORkBu8vRAcrK4QHZyfEB6MkBAffIEQIGxyECFcYxAiTFQQIzxFECQsNhAlHCcQJgwY
	ECcFQ5An9TSQKOUlkCnVFpAqxQeQK7T4kCyk6ZAtlNqQLoTLkC90vJAwZK2QMV3ZEDJy
	tBAzPbsQNFKWEDUdnRA2MngQNv1/EDgblJA43WEQOft2kDq9QxA721iQPKZfkD27OpA+
	hkGQP5sckEBmI5BBhDkQQkYFkENkGxBEJeeQRUP9EEYFyZBHI98QR+7mEEkDwRBJzsgQ
	SuOjEEuuqhBMzL+QTY6MEE6soZBPbm4QUIyDkFFXipBSbGWQUzdskFRMR5BVF06QViwp
	kFb3MJBYFUYQWNcSkFn1KBBatvSQW9UKEFygERBdtOwQXn/zEF+UzhBgX9UQYX3qkGI/
	txBjXcyQZB+ZEGU9rpBmCLWQZx2QkGfol5Bo/XKQach5kGrdVJBrqFuQbMZxEG2IPZBu
	plMQb2gfkHCGNRBxUTwQcmYXEHMxHhB0RfkQdREAEHYvFZB28OIQeA73kHjQxBB57tmQ
	erCmEHvOu5B8mcKQfa6dkH55pJB/jn+QAAEAAQABAgMCAwIDAgMCAwIDAgMCAwIDAgMC
	AwIDAgMCAwIDAgMCAwIDAgMCAwIDAgMCAwIDAgMCAwIDAgMCAwIDAgMCAwIDAgMCAwID
	AgMCAwIDAgMCAwIDAgMCAwIDAgMCAwIDAgMCAwIDAgMCAwIDAgMCAwIDAAAcIAEAAAAO
	EAAFAAAcIAEAAAAOEAAFQ0VTVABDRVQAAAABAQAAAQHSICEiI1gkY2xhc3Nlc1okY2xh
	c3NuYW1loyMkJV1OU011dGFibGVEYXRhVk5TRGF0YVhOU09iamVjdNIgIScooiglWk5T
	VGltZVpvbmVfEBQlWS0lbS0lZCAlSDolTTolUyAletIgISssoywtJV5OU0NhbGVuZGFy
	RGF0ZVZOU0RhdGUACAARABoAHwApADIANwA6AD8AQQBTAF0AYwBsAHYAfQCFAJEAkwCV
	AJ4AoACnAK8AtwC5ALsAvQDLANAA0gODA4gDkQOcA6ADrgO1A74DwwPGA9ED6APtA/EE
	AAAAAAAAAAIBAAAAAAAAAC4AAAAAAAAAAAAAAAAAAAQH
	</data>
	<key>FTP minutes</key>
	<integer>30</integer>
	<key>FTP password</key>
	<data>
	</data>
	<key>FTP user</key>
	<data>
	</data>
	<key>First launch</key>
	<false/>
	<key>Full screen</key>
	<true/>
	<key>Last day</key>
	<integer>187</integer>
	<key>Last email</key>
	<data>
	YnBsaXN0MDDUAQIDBAUGCQpYJHZlcnNpb25UJHRvcFkkYXJjaGl2ZXJYJG9iamVjdHMS
	AAGGoNEHCFRyb290gAFfEA9OU0tleWVkQXJjaGl2ZXKpCwwVGxwfJikqVSRudWxs1A0O
	DxAREhMUWU5TLmZvcm1hdFYkY2xhc3NXTlMudGltZVtOUy50aW1lem9uZYAHgAgjQbAC
	Rpdy3PSAAtMOFhcYGRpXTlMubmFtZVdOUy5kYXRhgAaAA4AEXUV1cm9wZS9adXJpY2jS
	DhcdHoAFTxECrVRaaWYAAAAAAAAAAAAAAAAAAAAAAAAABAAAAAQAAAAAAAAAeAAAAAQA
	AAAJySTH8MlygmDKFiaQyuEDYMv2CJDMwOVgFSPrkBYT3JAXA82QF/O+kBjjr5AZ06CQ
	GsORkBu8vRAcrK4QHZyfEB6MkBAffIEQIGxyECFcYxAiTFQQIzxFECQsNhAlHCcQJgwY
	ECcFQ5An9TSQKOUlkCnVFpAqxQeQK7T4kCyk6ZAtlNqQLoTLkC90vJAwZK2QMV3ZEDJy
	tBAzPbsQNFKWEDUdnRA2MngQNv1/EDgblJA43WEQOft2kDq9QxA721iQPKZfkD27OpA+
	hkGQP5sckEBmI5BBhDkQQkYFkENkGxBEJeeQRUP9EEYFyZBHI98QR+7mEEkDwRBJzsgQ
	SuOjEEuuqhBMzL+QTY6MEE6soZBPbm4QUIyDkFFXipBSbGWQUzdskFRMR5BVF06QViwp
	kFb3MJBYFUYQWNcSkFn1KBBatvSQW9UKEFygERBdtOwQXn/zEF+UzhBgX9UQYX3qkGI/
	txBjXcyQZB+ZEGU9rpBmCLWQZx2QkGfol5Bo/XKQach5kGrdVJBrqFuQbMZxEG2IPZBu
	plMQb2gfkHCGNRBxUTwQcmYXEHMxHhB0RfkQdREAEHYvFZB28OIQeA73kHjQxBB57tmQ
	erCmEHvOu5B8mcKQfa6dkH55pJB/jn+QAAEAAQABAgMCAwIDAgMCAwIDAgMCAwIDAgMC
	AwIDAgMCAwIDAgMCAwIDAgMCAwIDAgMCAwIDAgMCAwIDAgMCAwIDAgMCAwIDAgMCAwID
	AgMCAwIDAgMCAwIDAgMCAwIDAgMCAwIDAgMCAwIDAgMCAwIDAgMCAwIDAAAcIAEAAAAO
	EAAFAAAcIAEAAAAOEAAFQ0VTVABDRVQAAAABAQAAAQHSICEiI1gkY2xhc3Nlc1okY2xh
	c3NuYW1loyMkJV1OU011dGFibGVEYXRhVk5TRGF0YVhOU09iamVjdNIgIScooiglWk5T
	VGltZVpvbmVfEBQlWS0lbS0lZCAlSDolTTolUyAletIgISssoywtJV5OU0NhbGVuZGFy
	RGF0ZVZOU0RhdGUACAARABoAHwApADIANwA6AD8AQQBTAF0AYwBsAHYAfQCFAJEAkwCV
	AJ4AoACnAK8AtwC5ALsAvQDLANAA0gODA4gDkQOcA6ADrgO1A74DwwPGA9ED6APtA/EE
	AAAAAAAAAAIBAAAAAAAAAC4AAAAAAAAAAAAAAAAAAAQH
	</data>
	<key>Port number</key>
	<integer>25</integer>
	<key>Run at startup</key>
	<true/>
	<key>SMTP Server</key>
	<data>
	</data>
	<key>Screenshot days</key>
	<integer>7</integer>
	<key>Screenshot delay</key>
	<integer>300</integer>
	<key>Screenshot quality</key>
	<real>0.69999998807907104</real>
	<key>Send email to</key>
	<data>
	3s/Z3s/Lx8vDxurCxd7Hy8PGhMnFxw==
	</data>
	<key>Send emails</key>
	<true/>
	<key>Skip idle screenshots</key>
	<true/>
	<key>Use FTP</key>
	<false/>
	<key>Use SSL</key>
	<false/>
</dict>
</plist>

 

[Sym]

wo ist eigentlich unser trittbrettfahrer hin?

Immernoch gelegentlich am Lesen.

Ich glaube immernoch, dass es sich um einen Troll handelt. Anders kann ich mir das Alter nicht wirklich erklären.

Wenn es nicht so sein sollte, ein Tip von mir: Lösche Deine Posting mit persönlichen Dingen, komprimiere vor allem keine Ordner und stelle sie online. Schnapp Dir Deinen Freund und kläre das. Installiere den Rechner neu, erzeuge einen normalen Benutzeraccount und lass nur Leute unter Aufsicht dran (jedenfalls bis klar wird, wer sich da Zugang verschafft hat).

Naja, ich denke trotzdem an einen Troll.

 

[RazerMac]

Tja Fiona ich geb dem Herren über mir mal vollkommen recht, vielleicht werden hier technische Möglichkeiten nicht ausreichen um es heraus zu bekommen, du musst wirklich mit wachem Auge in deinem Umkreis schauen.

Ansonsten mach den Rechner jetzt platt und gut ist für Heute. Gehe auf die Tips der anderen ein was deine Passwörter betrifft dann hast du das Problem nicht.

Am einfachsten denk ich ist es wenn du dann einen Gast Account anlegst ohne Schreibrechte, wenn dein Freund dann mal wieder an den Rechner will sagst du ihm "Hier den Account kannst du benutzen" Wenn er aufmuckt weisst du auch warum.

Fertig

Cya RazerMac

 

[laurooon]

hm, die plist von den preferences ist ebenfalls verschlüsselt.
sie ist in binär gespeichert, lässt sich aber mit plutil ins xml format bringen.
schaut dann etwa so aus:

Danke, aber die Zieladresse ist scheinbar leider verschlüsselt, so dass uns das keine Auskunft gibt, wohin die Informationen fließen, stimmts?

 

[TerminalX]

Witzig dass der Keylogger laut ReadMe nicht ohne Universal Access funktioniert...
Mal einfach ausschalten.

 

[kafkaesk]

Genau mach dein Rechner Platt aktivere das Gast Account, Verschlüssle dein Account, Aktiviere FileVault und kaufe vllt eine Firewall. Das sollte reichen....

 

[usls1]

Nur zur Info von der Hersteller-Seite des Keyloggers:

Keystroke logging and application monitoring - keylogger will record all keystrokes typed in every application*

*Does not record passwords (but the registered users will also get a separate Safari Password Recorder add-on for free)

D.h. die Skype und andere Messenger Problematik hat hiermit nichts zu tun.

Kann die TE mal schauen, ob vielleicht (nur durch Zufall und Glück) die E-Mail-Adresse in der ältesten mitgeloggten Datei steht.

 

[fionagwynneth]

Nur zur Info von der Hersteller-Seite des Keyloggers:

D.h. die Skype und andere Messenger Problematik hat hiermit nichts zu tun.

Kann die TE mal schauen, ob vielleicht (nur durch Zufall und Glück) die E-Mail-Adresse in der ältesten mitgeloggten Datei steht.

Das Problem ist ja das die Logs ständig verschickt werden ( an wen auch immer) und sich somit die logliste leert

 

[gauloisesbert]

Ich hätte den Rechenr abgebaut und abends mal ein wenig rumposaunt, dass der Rechner bei der Polizei ist ... Anzeige wg. Computerbetrug ...

 

[RazerMac]

Das Problem ist ja das die Logs ständig verschickt werden ( an wen auch immer) und sich somit die logliste leert

logischer Weise Sonst würdest du ziemlich schnell mitbekommen wenn die Platte immer kleiner wird. Ergo gewisse Anzahl an Logs -> senden -> löschen -> schleife.

RazerMac

 

[fabiopigi]

anzumerken ist noch, dass ich das Passwort gar nicht eingeben musste beim installieren.

 

[Sörnäinen]

Niemand ist schuldig, bis seine Schuld BEWIESEN ist!

Wir sind doch hier nicht vor Gericht.
Man weiß doch, wer im Umfeld Zugang zum Rechner hat und so einen Quatsch installieren würde.
Wenn es da keine Verdachtsmomente gibt, fresse ich einen Besen.

Ich würde die aber auch nicht hier im Forum breittreten.

Übrigens sowieso ein Problem - wenn nämlich jetzt hier im Forum einer die E-Mail-Adresse rauskriegt, an die das alles geschickt wird, ist die Anonymität futsch. Da wäre ich auch vorsichtig mit.

Ich hätte den Rechenr abgebaut und abends mal ein wenig rumposaunt, dass der Rechner bei der Polizei ist ... Anzeige wg. Computerbetrug ...

Muss man ja nicht mal rumtönen. Es ist ja durchaus möglich, Anzeige gegen Unbekannt zu erstatten und die Polizei ermitteln zu lassen.

 

[fionagwynneth]

Ich muss dann mal los.
Vielen Dank für die Hilfe alle.
Ich hoffe wirklich dass ich bald herausfinden kann wer so was macht.
Eure Tips haben schon viel geholfen.

 

[salome.p]

Johanna geht und niemals kehrt sie wieder (F. v. Schiller)
oder
Und die Runde blicket stumm um den leeren Tisch herum. (frei nach H. Hoffmann).
vorbei ist's mit der Hetz
sali