Yahoo Chat , Private Nachrichten werden mitgelesen

N

noodles_do

0
Hallo zusammen,

ich hab da mal ein Problem im Yahoo Chat. Eine Bekannte von mir benutzt den Yahoo Chat sprich den Yahoo Messanger. Nun wird sie wohl seid einiger Zeit von einem Kerl belästigt der ihre privaten Nachrichten wohl mitlesen kann.
Un möchte ich nur mal wissen wie der Kerl das anstellt. Aber er kann das wohl definitiv.

ich habe schon folgende sachen probiert bzw. ihr geraten:

- keine PMs (privaten Messanges mit der Person) dadurch kein P2P
- Sie hatte nie irgendwelche Dateien von dem Kerl empfangen (Trojaner)
- Mehrer verschiedenen Vierenscans wahren negativ
- von meinen Rechner aus habe ich ihre Ports angepingt ( Nichts auffälliges ) mit IP Tools
- PFW allerdings die von Windows läuft
- ab und an ging eine connect an hotmail , nach Deinstalation des MSN Messis ist der aber weg
- hab versucht sie mit ethernal abzusniffen , geht ja aber auch nur wen sie im kontakt mit mir steht.

So nun mal zu meiner Frage . WIE MACHT DER DAS ???? Wie ist eine so "Man in the Middle Attake " möglich ? wie bekommt er Ihre IP ? Wie kann er sehen, was und mit wem sie schreibt.
MfG
 
Vielleicht sitzt ihr Bruder mit dem Laptop neben ihr und wenn sie ihn fragt was er macht sagt er "arbeiten". Dabei bespitzelt er sie :)
 
Original von noodles_do
WIE MACHT DER DAS ????
Zum Vergrößern anklicken....

Wenn Du eine Malware (vor allem RATs) sicher ausschließen kannst, weißt dass ihr Account gesichert ist und er weder beim Provider Deiner Bekannten, noch bei Yahoo (oder dessen Provider) arbeitet, die Provider sauber sind und der Angreifer von der Begabung der Telepathie befreit ist, dann wüsste ich das auch gerne (wenn er in einer anderen Stadt lebt - er also nicht ihr unmittelbarer Nachbar ist - dann scheiden billige Funktastaturen ja aus). Es gibt zwar mehrere Methoden, so etwas fernab der o.g. Möglichkeiten im Internet abzufangen, aber dafür muß die Kommunikation auch immer über seinen Port gehen, was eben sehr unwahrscheinlich ist.

Bye, nz
 
Naja, also von der Begabung der Telepathie gehe ich auch bei diesem Spinner nicht aus :-))

Ich kann das ja auch noch nachvollziehen wenn er selber in einen P2P Kontakt mit ihr steht das er nachvollziehen kann mit wem sie schreibt. Dies hab ich selber schn mal nachvollzogen wenn ich dann ( ich habs mit Superscan gemacht) die Ports absniffe. Hab dann immer Datenfragmente über den Port mitbekommen wie z.B den Namen der Message. Aber komplette Inhalte konnte ich da nie empfagen.

Naja Mal kann man ja nie so ganz ausschiessen. die Scanner die sie rüberlaufen gelassen hatte war Norten, Ad Aware und SaD.
 
Naja Mal kann man ja nie so ganz ausschiessen. die Scanner die sie rüberlaufen gelassen hatte war Norten, Ad Aware und SaD.
Zum Vergrößern anklicken....

Ich tippe ganz stark auf Malware. Bei Norton braucht man drei Klicks und bekannte Malware würde durchgehen. Ganz schlechte Wahl.

AdAware und SaD sind in erster Linie auf reine Spyware ausgelegt, weniger auf Malware.
Es gbt neben Rats auf spezielle Programme, die nur Messenger mitloggen, ohne die üblichen Zusatzfuntionen wie bei RATS üblich.
Oftmals werden solche Tools schon von Haus aus nicht erkannt, weil die Verbreitung zu gering ist.

Das Prozedere ist das übliche:

HiJackThis Scan durchführen, Log posten, Registry durchgehen, Start-Keys überprüfen, mal einen Onlinescan machen.

Gruss

root
 
Welche Logs meinst du den jetzt ? Die Yahoo Messanger log zeigt mir nur die regulären Connects an.
Beispiel:
On 5/27 21:19:42| Received Send Port Success Check

On 5/27 22:34:57| Received FD_CLOSE

On 5/27 22:34:57| Try to write on a invalid socket

On 5/27 22:35:19| #Start Session::User connecting to net direct

On 5/27 22:35:20| Hostname IP:216.155.193.141

On 5/27 22:35:20| Received FD_CONNECT

On 5/27 22:35:20| Received Send Port Success Check

On 5/27 22:39:24| P2P: Send ControlMsg, to:gloeckchen0704, from:noodles_do, action=0

On 5/27 22:40:42| P2P: Send ControlMsg, to:gloeckchen0704, from:noodles_do, action=0

On 5/27 22:40:44| P2P: Send ControlMsg, to:gloeckchen0704, from:noodles_do, action=0

On 5/27 22:41:38| P2P: Send ControlMsg, to:ladysabine2000, from:noodles_do, action=0

On 5/28 0:22:39| Hostname IP:216.155.193.180

On 5/28 0:22:42| Received FD_CONNECT

On 5/28 0:22:46| Received Send Port Success Check

On 5/28 11:28:27| #Start Session::User connecting to net direct

On 5/28 11:28:28| Hostname IP:216.155.193.168

On 5/28 11:28:28| Received FD_CONNECT

On 5/28 11:28:29| Received Send Port Success Check

Das andere ist mir auch klar. hab aber nix auffäliges gefunden.
 
So hier nun mal das hijackthis.log

Logfile of HijackThis v1.99.1
Scan saved at 11:24:55, on 29.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\tightvnc\WinVNC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\Programme\palmOne\HOTSYNC.EXE
C:\WINDOWS\System32\LVComsX.exe
C:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe
C:\Programme\YahELite\YahELite.exe
C:\Programme\YahELite\YahVox.exe
C:\Programme\Yahoo!\Messenger\YPager.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Sabine\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://de.rd.yahoo.com/slv/ycheck/as/*http://de.docs.yahoo.com/info/ie6.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/slv/ycheck/as/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/slv/ycheck/as/*http://search.yahoo.com/search?p=%s
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [ProPort StartUp] C:\Dokumente und Einstellungen\Sabine\Desktop\ProPort.exe /StartUp
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\ypager.exe" -quiet
O4 - Startup: HotSync Manager.lnk = C:\Programme\palmOne\HOTSYNC.EXE
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: &AIM Search - res://C:\Programme\AIM Toolbar\AIMBar.dll/aimsearch.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {041C3AFE-FFDB-43A5-8B9D-CAD98F8C8346} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {041C3AFE-FFDB-43A5-8B9D-CAD98F8C8346} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programme\Agnitum\Outpost Firewall 1.0\trash.exe (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programme\Agnitum\Outpost Firewall 1.0\trash.exe (HKCU)
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei-2/FunBuddyIconsFWBInitialSetup1.0.0.8-2.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{E81C3D40-DF38-4739-9046-D89E8884279F}: NameServer = 217.237.151.225 217.237.150.225
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe (file missing)
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\tightvnc\WinVNC.exe" -service (file missing)

der WinVNC läuft nicht.
 
*gg*

Evtl. gibts da noch etliche andere Erklärungen.
Er liesst nicht Ihre Nachrichten sondern Ihre nachrichten bei anderen die er mit Trojanern verseucht hat :-)

oder

Sie wird veräppelt und der andere User gibt die Nachrichten freiwillig weiter :-)

oder

er ist ein Psycho und chattet mit 2 Nicks, Mit dem einen Als 1. Person und mit dem anderen als 2.gespaltene Persönlichkeit wobei die zweite Person durch Zufall die Informationen von der Ersten bekommt :D

Wobei ich die 3.Variante für sehr interessant halte wenn man zukünftig an Daten ran will.
Weil auf irgendeine Art muß Deine bekannte ja stehen und anspringen. Wenn sie es Beim Wilden hengst nicht will vielleicht klappts dann beim jungfräulichen Studenten :D um Dateien einzuschleusen.

Also gut aufpassen auch in Zukunft !

Ich bin zwar kein Psycho aber ich habe mal mit einem Kollegen einen anderen Kollegen aus unserem Fortbildungskurs auf dem Arm genommen.
Dabei haben wir ihn mit mehreren Nicks angeschrieben bis er ansprang und haben es trotz seiner Fachkenntnisse geschafft ein kleines Fernwartungstool was völlig legal ist untergejubelt. Geschafft haben wir es durch die dumme junge Blondine die überhaupt keine Ahnung von einem PC hat *ggg*. Da wir schon viel sehr persönlcihes über ihm wußten was vorher durch andere Nicks erfragt wurde ist ja klar auf was die Blödine stand und will ^^^ :D .


SYD
 
hallo,

lol also deine 3 Möglichkeit ist wirklich intressant :-)) An sowas hab ich ja gar nicht gedacht. Leider sind es tatsächlich 2 Personen . Yahoo ist ja ein Voice-Chat. Also mann hört die Personen in den Räumen tatsächlich sprechen. Und das diese beiden sich kennen halte ich für ziemlich unwahrscheinlich. Vielmehr halte ich deine erste Möglichkeit das der Andere einen Trojaner hat für wahrscheinlcih. Auf diese Schlussfolgerung bin ich im entefekt auch gekommen. Ich tippe mal auf einen Keylogger. Weil nachdem ich mich nochmal mit meiner Bekannten geredet habe sagt sie mir das der Typ nicht das was si schreibt lesen kann sondern nur das des anderen

MfG
 
hm

Hi,

Bei einem Keylogger der bei Ihrem Chatpartner installiert ist, kann er nicht Ihre Nachrichten lesen.
Da müßte dann eher schon ein Fernwartungstool mit Desktopzugriff (da illegal genutzt nennen wir es mal Trojaner) her.
Mit Anything weiß ich funktioniert sowas prima. Man kann sich auf Beobachtungsmodus einloggen und schön mitlesen 8o. Wie im Kino eben.

Ich kann nur raten mindestens eine FW zu aktivieren.
Mindestens die Standart XP FW sollte aktviert sein. Die macht solchen legalen Programmen die zu Trojanerzwecken eingesetzt werden das Leben auf jeden Fall einen Schritt schwerer.

SYD
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben