Hallo,

das würde mich auch sehr interessieren.

Windows könnte theoretisch gesendete Befehle ausführen, aber ohne eine konkrete Server-Applikation???

Nur kann ich mir nicht vorstellen, wie derjenige, der als Admin fungierte, diese Befehle gesendet hat. Wurde dazu ein spezielles Programm verwendet? Falls ja, welches?

Tschüss..

Hallo,

wie sah diese Fernsteuerung aus? Hat er Programme "fernbedient"? Wenn ja, wird das Ganze über <b>Network DDE</b> oder <b>DCOM</b> gelaufen sein

Hi

Auf der Client Seite muss auf jeden Fall eine Anwendung sitzen die Script/COM basiert arbeitet. Z.b. MS-Outlook mit aktiviertem VB-Script wäre durch eine E-Mail fernsteuerbar, falls jede E-Mail automatisch bearbeitet wird. Ich glaube kaum das ein einfaches Filebasiertes Netzwerk ohne zusätzliche Clientprogramme steuerbar wird.

Gruß Hage

also... der kerl hat bei sich ein programm gestartet und der andere rechner hatte NIX laufen.. GARNIX!!!! das isset ja.... keine ahnung wie der das gemacht hat....
und was ist DDE oder DCOM????
ich weiss nur, das der sein Prog in VB geschrieben hat.. und jede menge apis benutzt...
er sagte mir nur, dass ich mich über apis informieren muss.. also hab ich hier gepostet...

Tschüss
Ji

Hi

Also NIX laufen und NIX laufen sind zweierlei.
Der wesentlichste Unterschied besteht darin was Du sehen kannst und was nicht. Dein Freund ist wie alle Zauberer, der Trick besteht darin Dir glauben zu machen das da nichts wäre. Grundsätzlich gilt, falls GARNICHTS auf dem anderen Rechner läuft dann ist die Kiste ausgechaltet, ansonsten läuft ein Betribssystem, nein > 3 Betriebssysteme, nämlich BIOS, DOS, WINDOWS, Netzwerk.

Zusätzlich gibt es die verschiedene Service, wie DCOM, Mail clients, DDE, Remote Controlling, MailSlots, RPC. All diese Software erscheint unsichtbar und ermöglichen dennoch Code auf einem Rechner gezielt auszuführen.

Meine konkrete Vermutung geht in Richtung VB Scripts, also die Software vom "Freund" besorgt und auf dem Clientrechner mal das VB Scripting deinstalliert (inclusive VBA). Wenn's dann NICHT mehr funktioniert weiste es war VB/VBA Scripting.

Warum fragst Du nicht Deinen "Freund" wie er's anstellt ?

Gruß Hage

hehe... auf dem rechner war "nichts" installiert, weil es MEIN rechner war =)... und der hat nie an dem was rumgefummelt...
ich hab auch kein VBscripting oder VBA...
Der Freund will mir nichts sagen...der meint ich sollte selbst drauf kommen...
tja.. für mich bleibt das nen rätsel.............
Tschüss
Ji

Hi

Hast Du in letzer Zeit (vor dem Test) irgendwas gedownloaded/installiert oder Mails empfangen. Also irgendwas das vom besagten Freund kommen könnte. Ich will darauf hinaus das Er Dir vielleicht einen Trojaner untergeschoben hat.
Es wäre auch interessant zu wissen WAS er denn nun im einzlnen "ferngesteuert" hat ? (CD ROM, Dateisystem, Anwendungen gestartet usw.)

Gruß Hage

ICh hab nix downgeloadet, weil ich zu dem zeitpunkt kein internet hatte ..
er konnte mein Komplette dateisystem auslesen, sich jede Datei rüberziehen, mein Keyboard steuern, meine maus auch, mein CD-Rom laufwerk sowieso, er konnte meine auflösung ändern, ein fade to black machen (Ditter), bilder einblenden, tja.. so ziemlich alles ..
ICH WEISS, DAS HÖRT SICH GENAU WIE EIN TROJANER AN...
er war aber NIE an meinem PC....
tja...
bis denn dann

Gruß,
Ji

Hallo,

um wirklich sicher zu gehen, würde ich mir von <a href="http://www.sysinternals.com/files/handleex.zip">Sysinternals</a> das Programm "HandleEx" herunterladen und mal schauen, was da noch so nebenbei läuft. Wenn du Windows 98 benutzt, dürften da nur folgende Einträge vorhanden sein:

<pre>
- Explorer.exe
- Kernel32.dll
- mmtask.tsk
- mprexe.exe
- msgsrv32.exe
- System
- (Systray.exe)
</pre>

Der Rest ist überflüssig! Damit wäre zu 75% geklärt, dass er keinen Trojaner verwendet.

Tschüss..

Hm, einen guten Trojaner wirst'e aber mit dem TaskManager nicht ausfindigmachen. HandleEx ist sehr gut, aber auch hier gibts Wege einen Trojaner zu verstecken.

Die obigen Fernsteuer-Features deuten meiner Meinung nach SEHR STARK auf einen Trojaner hin. Ich kenne jedenfalls kein API das all diese Features gleichzeitig unterstützt, AUSSER Tools wie PC-Anyware.

@Jim, hast Du den rechner noch so konfiguriert wie er war ??
Ist es ein Win9x Rechner ? Falls ja, so müsste der "Trojaner" noch aktiv sein, und ich könnte am Wochenende ein kleines Progi bauen das ALLE Task/Processe und Threads auflistet.

Gruß Hage

@Hagen:

Es gibt auch noch ein Programm namens "JTHZ Window-enumerator", dass vielleicht noch beser ist und <i>"alles"</i> auflistet. Totzdem würde mich dein Programm auch interessieren.

Aber mich würden die "Wege einen Trojaner zu verstecken" (bei HandleEx) interessieren - welche Methode kann man noch verwenden?

Wurde PC-Anywhere eigentlich in Delphi geschrieben? Wie funktioniert dort eigentlich, dass man den Screen des Remote-Rechners sehen kann und dann dort die Maus bewegt.

Ich könnte mir das so vostellen, dass beim Server ein Screenshoot gemacht wurde und nun beim Clienten angezeigt wird. Bewegt jetzt der Client die Maus, werden diese Koordinaten an den Server geschickt und gesszt. Aber der Screenshoot wird stetig erneuert und ohne große Verzögerung - wie ist das möglich.

Selbst wenn ich ein Bild per JPEG komprimiere und schicken lasse, dauert dies auch etwa 5 Sekunden. Was gibt es für Alternativen?

Gibt es irgendwo eine Übersicht und vielleicht auch Beispiele zu API-Funktionen?

<hr>
@Jim:

Der Trojaner, falls es wirklich einer sein sollte, muss ja auch einen Eintrag in die Registry, System.ini oder Win.ini machen, um automatisch zu starten. - Hast du vielleicht dort mal nachgesehen?

Tschüss..

Das progg würd mich auch interessieren..
und das mit pc anywhere auch...
ich hab natürlich die registry gecheckt... aber nix gefunden...
wisst ihr eigentlich, was timesink ist ...
also... gib mir das prog und ich guck ma.. aber wie will der den trojaner drauf gemacht haben???

Tschau

Jim

Ps.: wisst ihr, wie ich die ip von mir selbst rauskriege?? also nicht die netzwerk ip sondern die, die vom Anbieter vergeben wird......

Hallo,

was timesink ist wusste ich eigentlich auch noch nicht, aber ich habe mich mal erkundigt und habe folgendes gefunden:

"Conducent/Timesink

Their technology utilizes the Internet to dynamically deliver content to desktop software. Once the content is received it can be displayed at any time in the application. Content activity information such as advertising impressions and click through data is recorded and sent back to Conducent for daily reporting."
(<a href="http://www.simplythebest.net/info/spyware.html">http://www.simplythebest.net/info/spyware.html</a>)

Das klingt interessant, kann man dass irgendwie in Delphi umsetzten?

Einen Trojaner könnte man, falls du Datei-Freigaben vergeben hast locker auf deinen Rechner bringen, es gibt aber auch noch ein paar weitere Möglichkeiten.

Falls du deine Internet-IP herausbekommen willst, musst du folgendes verwenden:

"<pre>
GetIPAddress(0); sollte deine Netzwerk IP sein
GetIPAddress(1); sollte deine Internet IP sein

Das ganze geht nicht mehr gut, wenn du mehrere Netzwerkkarten, RAS Server usw. laufen läßt dann muß man das anders machen

uses winsock;

Function GetIPAddress(Nr : Integer) : String;
type
TaPInAddr = array [0..10] of PInAddr;
PaPInAddr = ^TaPInAddr;
var
phoste : PHostEnt;
Buffer : Array [0..100] of Char;
WSAData : TWSADATA;
pptr : PaPInAddr;
I : Integer;
Begin
result := '';
if WSAStartup($0101,WSAData) <> 0 then
exit;
GetHostName(Buffer, SizeOf(Buffer));
phoste := GetHostByName(Buffer);
if phoste = NIL then
result := '127.0.0.1'
else
begin
//result := inet_ntoa(PInAddr(phoste^.h_addr_list^)^);
pptr := PaPInAddr(phoste^.h_addr_list);
I := 0;
while (pptr^[I] <> nil) do
begin
// If FirstIPOnly Then
// result := inet_ntoa(pptr^[0]^)
// Else
if i = Nr then
result := inet_ntoa(pptr^[I]^);
inc(I);
end;
end;
WSACleanup;
end;
</pre>"

(Patrick Sack - 02:09pm Apr 4, 2001 MEZ - dynamische IP ermitteln - Entwickler Forum Delphi Internet)

Tschüss..

Hi

Also das mit dem Fernsteuern hört sich ziemlich
kurios an. Über die Möglichkeiten, Trojaner noch
besser zu verstecken wüsste ich auch gerne mehr.
Einige Trojaner sollen ja über *.vxd - Treiberdateien
im Hintergrund laufen. (So werden sie nicht als
Prozesse angezeigt)
Ist so etwas in Delphi möglich? Wie kann man solche
Trojaner finden und entfernen?

Kann es sein, dass sich ein Trojaner mit einer wichtigen
Systemdatei wie mpr.exe oder msgrv32.exe verbindet und
so vollkommen unerkannt bleibt??

PS: Viele Grüße an Tim Henfor