Hack über TeamViewer // Gefahr durch .dll/.log-Dateien?

[Kasperl]

Hallo! Beim Durchstöbern einer externen Festplatte, die ich vor einigen Jahren zum Sichern persönlicher Dateien ("Benutzer"-Ordner) verwendet habe, ist mir ein "TeamViewer"-Ordner aufgefallen. Darin enthalten sind 1 Logdatei "TeamViewer4_Logfile.log" und 14 "TeamViewer_resource_XX.dll"-Dateien (XX steht für da, de, en, etc. ; scheinbar verschiedene Sprachen). Die Logdatei sieht so aus: Start: 2012/10/29 18:53:22.523 Version: 4.1.6911 QS ID: 0 License: Unbekannter Typ - Aktualisierung empfohlen Server: master7.teamviewer.com IC: 0 OS: Win7 IP: !!!MEINE_IP!!! MID: 0x60eb693ef3b0_1ca0431fd8ab1dc_4130671074 Proxy-Settings: :0 Except: IE: 9.0.8112.16421 AppPath: C:\Users\!!!MEIN_NAME!!!\temp\TeamViewer\Version4\TeamViewer.exe UserAccount: SYSTEM 10/29 18:53:22.367 02936 T TV.dll loaded (.\LateBinding.cpp, 240) 10/29 18:53:22.445 02936 D Generating new RSA private/public key pair 10/29 18:53:22.492 02936 D Generating new RSA private/public key pair 10/29 18:53:22.882 02936 D!! MC.isComm.DQuery.Failed, LE=997 10/29 18:53:22.882 02936 D MC.isComm.0 10/29 18:53:22.898 05324 D CT3 TM.TM_WaitAtGateway 10/29 18:53:22.898 02936 T Monitors: PnP-Monitor (Standard), \\.\DISPLAY3, 1600x900, flags=3 (..\Win32\Desktop.cpp, 382) 10/29 18:53:22.898 05324 D ProxySearch: Found setting IE 10/29 18:53:22.898 05324 D ProxySearch: Trying to connect with found setting: 172.16.1.254:8080 10/29 18:53:22.898 05324 D CT4 TM.TM_Ping 10/29 18:53:22.913 05428 D CCT.TM_PingMaster.ping3.dyngate.com:5938 - CT5 - S1 10/29 18:53:22.913 05428 D CCT.Connect.ping3.dyngate.com:5938 10/29 18:53:23.022 02936 T SystemEvent: Internet on startup (.\SystemEventHandlerWin.cpp, 35) 10/29 18:53:23.085 05428 D S1 46.105.99.93 - CCT.Connected 10/29 18:53:23.085 05428 D ! S1 46.105.99.93 - CT5 CT.Send.CMD_PING From=0 To=0 L=4 10/29 18:53:23.116 05428 D S1 46.105.99.93 - CT5 CT.Receive.CMD_PINGOK From=0 To=0 L=4 10/29 18:53:23.116 05428 D S1 46.105.99.93 - CT5 CT.Disconnect 10/29 18:53:23.116 05428 D ! S1 46.105.99.93 - CT5 CT.Send.CMD_DISCONNECT From=0 To=0 L=4 10/29 18:53:23.303 05324 D CCT.TM_MasterConnector.master7.teamviewer.com - CT6 - S2 10/29 18:53:23.303 05324 D CCT.Connect.master7.teamviewer.com:5938 10/29 18:53:23.350 05324 D S2 87.230.74.43 - CCT.Connected 10/29 18:53:23.350 05324 D ! S2 87.230.74.43 - CT6 CT.Send.CMD_MASTERCOMMAND From=0 To=0 L=147 10/29 18:53:23.397 05324 D S2 87.230.74.43 - CT6 CT.Receive.CMD_MASTERRESPONSE From=0 To=0 L=11 10/29 18:53:23.397 05324 D S2 87.230.74.43 - CT6 CT.Disconnect 10/29 18:53:23.397 05324 D ! MC.Reg F=Reg&IC=396870705&ID=0&Logging=1&MAC=0x60eb693ef3b0_1ca0431fd8ab1dc_4130671074&MID=0x60eb693ef3b0_1ca0431fd8ab1dc_4130671074&OS=Win7&V=4.1.6911 QS - 0#178703558 10/29 18:53:23.397 05324 D CCT.TM_MasterConnector.master7.teamviewer.com - CT7 - S3 10/29 18:53:23.397 05324 D CCT.Connect.master7.teamviewer.com:5938 10/29 18:53:23.444 05324 D S3 87.230.74.43 - CCT.Connected 10/29 18:53:23.444 05324 D ! S3 87.230.74.43 - CT7 CT.Send.CMD_MASTERCOMMAND From=178703558 To=0 L=266 10/29 18:53:23.490 05324 D S3 87.230.74.43 - CT7 CT.Receive.CMD_MASTERRESPONSE From=0 To=178703558 L=4 10/29 18:53:23.490 05324 D S3 87.230.74.43 - CT7 CT.Disconnect 10/29 18:53:23.490 05324 D CCT.TM_MasterConnector.master7.teamviewer.com - CT8 - S4 10/29 18:53:23.490 05324 D CCT.Connect.master7.teamviewer.com:5938 10/29 18:53:23.537 05324 D S4 87.230.74.43 - CCT.Connected 10/29 18:53:23.537 05324 D ! S4 87.230.74.43 - CT8 CT.Send.CMD_MASTERCOMMAND From=178703558 To=0 L=269 10/29 18:53:23.584 05324 D S4 87.230.74.43 - CT8 CT.Receive.CMD_MASTERRESPONSE From=0 To=178703558 L=4 10/29 18:53:23.584 05324 D S4 87.230.74.43 - CT8 CT.Disconnect 10/29 18:53:23.584 05324 D!! MC.isComm.DQuery.Failed, LE=997 10/29 18:53:23.584 05324 D MC.isComm.0 10/29 18:53:23.584 05324 D CCT.TM_MasterConnector.master7.teamviewer.com - CT9 - S5 10/29 18:53:23.584 05324 D CCT.Connect.master7.teamviewer.com:5938 10/29 18:53:23.631 05324 D S5 87.230.74.43 - CCT.Connected 10/29 18:53:23.631 05324 D ! S5 87.230.74.43 - CT9 CT.Send.CMD_MASTERCOMMAND From=178703558 To=0 L=261 10/29 18:53:23.678 05324 D S5 87.230.74.43 - CT9 CT.Receive.CMD_MASTERRESPONSE From=0 To=178703558 L=103 10/29 18:53:23.678 05324 D S5 87.230.74.43 - CT9 CT.Disconnect 10/29 18:53:23.678 05324 D MC.L Client=TVQSC&F=Login&GW=0&GWLevel=400&HideOnlineStatus=0&HTTPOUT=2&IC=396870705&ID=178703558&Keepalive=1&Language=de&LicenseType=0&Logging=1&MID=0x60eb693ef3b0_1ca0431fd8ab1dc_4130671074&NoOfActiveKeepalive=0&Runtime=2&SupportedFeatures=1&TCPOUT=1&V=4.1.6911 QS - 0#OK_10000_-_2__46.165.192.223:5938_32163_1_-1_0.0.0.0__87.230.74.41_87.230.74.43_0_178703558_1_0_0_0_9 10/29 18:53:23.678 05324 D CCT.TM_WaitAtGateway.46.165.192.223:5938 - CT10 - S6 10/29 18:53:23.678 05324 D CCT.Connect.46.165.192.223:5938 10/29 18:53:23.709 05324 D S6 46.165.192.223 - CCT.Connected 10/29 18:53:23.724 03372 D S6 46.165.192.223 - CT10 CT.Run 10/29 18:53:23.724 02936 T SystemEvent: TVOnline [prevState:false] (.\SystemEventHandlerWin.cpp, 260) 10/29 18:53:23.724 03372 D ! S6 46.165.192.223 - CT10 CT.Send.CMD_IDENTIFY From=178703558 To=0 L=32 10/29 18:53:23.724 02936 T SystemEvent: Enable Ping = false (.\SystemEventObserverWin.cpp, 127) 10/29 18:53:23.724 03372 D ! S6 46.165.192.223 - CT10 CT.Send.CMD_REQUESTKEEPALIVE2 From=178703558 To=0 L=24 10/29 18:53:23.724 03372 D ! S6 46.165.192.223 - CT10 CT.Send.CMD_BUDDY From=178703558 To=0 L=57 10/29 18:53:23.724 03372 D CConnectionThread::PingRouter(): Router Ping started 10/29 18:53:23.756 03372 D S6 46.165.192.223 - CT10 CT.Receive.CMD_IDENTIFY From=0 To=178703558 L=32 10/29 18:53:23.756 03372 D S6 46.165.192.223 - CT10 CT.Receive.CMD_BUDDY From=815758555 To=178703558 L=56 10/29 18:53:23.756 03372 D CConnectionThread::CmdPingRouter(): Router Pong Received with following Hops: 178703558 815758555 10/29 18:53:25.284 01208 D EnumComputers.0 10/29 18:54:13.081 02936 T Closing TeamViewer (.\MainWindow.cpp, 911) 10/29 18:54:13.128 02936 T StopHooks: 1 (..\Win32\Desktop.cpp, 1063) 10/29 18:54:13.128 02936 T StopHooks: 1 (..\Win32\Desktop.cpp, 1063) 10/29 18:54:13.144 02936 D MainApp.StopListening.WT n=0 10/29 18:54:13.144 02936 D S6 46.165.192.223 - CT10 CT.Disconnect 10/29 18:54:13.144 02936 D ! S6 46.165.192.223 - CT10 CT.Send.CMD_DISCONNECT From=178703558 To=815758555 L=4 10/29 18:54:13.175 02936 D MainApp.Shutdown.GWS.Disconnect n=0 10/29 18:54:13.175 02936 D MainApp.Shutdown.CT.Terminate n=6 10/29 18:54:13.175 02936 D MainApp.Shutdown.WT n=0 10/29 18:54:13.175 02936 D MainApp.Shutdown.PT n=1 10/29 18:54:13.175 02936 D MainApp.Shutdown.GWS.Delete n=0 Das alles fand statt, als ich noch Norton nutze. Ich habe persönlich überhaupt keine Ahnung wie damals TeamViewer auf meinen Computer kam. Mit Absicht habe ich es sicher nicht heruntergeladen, installiert oder benutzt. Für mich als mehr oder weniger Laie sieht es aus, als ob ich gehackt wurde. So wirklich entziffern kann ich die Logdatei aber nicht. Könnte mir bitte jemand sagen was damals passiert ist? Sorry für die dumme Frage: Aber geht von den .dll-Dateien (noch bzw. überhaupt) und der Logdatei irgendwelche Gefahr aus? Ich habe auch die .dll-Dateien mit dem Editor geöffnet. Danke im Voraus für euer Bemühen und Entschuldigung für das nicht wirklich Kaspersky betreffende Thema. mfg

[Tiranon]

Vielleicht hast Du es ja doch irgendwie unbewusst oder sonst wie installiert. teamViewer ist ein tolles Programm.

[Schulte]

Hallo Kasperl, das Log sieht relativ unverdächtig aus. Scheinbar hat eine TV-Instanz auf Deinem Rechner getestet, ob sich überhaupt darüber eine Verbindung herstellen lässt und den Test protokolliert. Datenverkehr ist keiner vermerkt, nur ein paar Pings. Es wäre möglich, dass Du damals ein Programm installiert hast, dessen Support den TV darin integriert hat und sich dann bei Problemen aufschalten kann. Ich kenne das aus dem Gesundheitsbereich (Patientenverwaltung, Abrechnung,...) aber auch von spezialisierten Anwendungen wie z.B. Lohnbuchhaltung, Fertigungsplanung,... Ist Dir etwas in dieser Richtung bekannt? Die Dateien selbst könnten tatsächlich zur sprachlichen Anpassung des TVs dienen. Angenommen, sie enthielten Malware: dann muss erst mal ein Programm ausgeführt werden, dass genau diese Dateien sucht und einbindet und auch noch weiß, welche Routine darin wie aufzurufen ist. Ich würde sie an Deiner Stelle einfach nicht beachten. Falls Dir wohler ist, kannst Du sie auch löschen. TV ist inzwischen bei Version 14 angekommen, ich denke nicht, dass die .DLLs noch irgendwann gebraucht werden. EDIT: Hi Tiranon :relaxed:

[Kasperl]

Hallo!

Entschuldigung für die seeeehr späte Rückmeldung.

@Schulte:
Ich denke nicht, dass damals irgendein Programm TeamViewer benötigt hätte. Ich nutzte den Computer nur für die Uni, und da war Internet und eventuell Office 2003 ausreichend. Sonderlich mehr (außer vielleicht 2-3 Spiele 😉 ) war nicht drauf.

Mich hat eben stutzig gemacht, dass überhaupt TeamViewer-Dateien vorhanden waren, und dass es sich angeblich schon damals um eine total veraltete Version handelte. (Laut Wikipedia werden alte Versionen für Hacks gerne verwenedet.)
Weiters scheinen die IPs aus China zu stammen.

 

Angenommen, sie enthielten Malware:
dann muss erst mal ein Programm ausgeführt werden, dass genau diese Dateien sucht und einbindet und auch noch weiß, welche Routine darin wie aufzurufen ist.

 

Heißt das, auch wenn ich gehackt wurde und TeamViewer irgendwie als Schadsoftware fungiert hat, dass jetzt keine Gefahren mehr von den Restdateien ausgehen?

 

mfg

[Schulte]

Hi @Kasperl,

was damals war werden wir wohl nie herausfinden.

Nach Deiner Aussage liegen die Dateien auf einer externen Festplatte in einer alten Sicherung.
Damit dürfte klar sein, dass Dein Rechner sie für den Betrieb nicht benötigt. Eine aktuelle Gefahr besteht also nicht.

Hattest Du mal Hilfe per TV bekommen, vielleicht vom Uni-Admin?
Oder war TV grundinstalliert?

Wie schon gesagt, es wird sich kaum noch aufklären lassen. Falls damals etwas vorgefallen ist, kann es eh nicht mehr rückgängig gemacht werden. Ich würde den Fund ganz einfach zu den Akten legen. Wenn Dir dabei wohler ist, lösche die Dateien. Für Dein aktuelles System sehe ich durch sie keine Gefahr.