Zum neuen Informatik-Forum >>
 FAQFAQ   SuchenSuchen   MitgliederlisteMitgliederliste   BenutzergruppenBenutzergruppen   RegistrierenRegistrieren   ProfilProfil   Einloggen, um private Nachrichten zu lesenEinloggen, um private Nachrichten zu lesen   LoginLogin 

illegaler Zugriff auf PC?
Gehe zu Seite 1, 2  Weiter
 
Dieses Forum ist gesperrt, du kannst keine Beiträge editieren, schreiben oder beantworten.   Dieses Thema ist gesperrt, du kannst keine Beiträge editieren oder beantworten.    Informatikerboard.de Foren-Übersicht -> Off-Topic
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
Mia



Anmeldungsdatum: 09.01.2006
Beiträge: 6

BeitragVerfasst am: 09. Jan 2006 17:36    Titel: illegaler Zugriff auf PC? Antworten mit Zitat

Hallo,

eben habe ich im PHP Forum mein Problem geschildert, bin aber nicht sicher, ob ich nicht besser an dieser Stelle um eure Hilfe bitten soll. Deshalb hier noch einmal:

Ich bin Anwender (3D CAD) und habe möglicherweise ein Sicherheitsproblem auf meinem Rechner, mit dem ich ohne kompetenten Rat nicht weiterkomme.

Auf meiner Website sind Mail-Adressen ohne mein Wissen geändert (worden), sodass die automatische Weiterleitung nicht mehr funktionieren kann.

Folgende Dateien habe ich auf meinem Rechner entdeckt, die alle das gleiche Erstellungsdatum tragen (an dem ich im Urlaub war):
dbgDatFile27, dbgDatFile33, dbgDatFile53

Im Netzwerkordner habe ich vor ein paar Tagen eine nicht von mir erstellte VPN Verbindung entdeckt. Nach mehrmaligem vergeblichen Versuch, die Eigenschaften zu öffnen, "verschwand" die Verbindung.
Heute tauchte wieder eine VPN Verbindung auf (erst nachdem ich schon mehrere Stunden am Rechner war), diesmal mit dem Namen "The Internet (2)".

Kann hier jemand einen Zusammenhang erkennen?
Haben die dbg Dateien mit der Änderung auf der Website zu tun?
Deutet die VPN Verbindung auf einen unauthorisierten Zugriff hin?

Vielen Dank in Voraus für eure Hilfe!

Hilfe
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Gast






BeitragVerfasst am: 09. Jan 2006 19:41    Titel: Antworten mit Zitat

hast du eine Firewall und wenn ja welche?
Nach oben
kurellajunior
Administrator


Anmeldungsdatum: 14.02.2005
Beiträge: 214
Wohnort: Berlin-Pankow

BeitragVerfasst am: 09. Jan 2006 23:20    Titel: Antworten mit Zitat

Würde spontan schätzen da steckt der Wurm drin, mit Fremdsteuerung, Passwortspähen und allem Spaß, den sich kranke Hirne in ihrer Freizeit ausdenken, warte mal auf TMS, der kann Dir da am besten helfen...

Jan

_________________
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
Mia



Anmeldungsdatum: 09.01.2006
Beiträge: 6

BeitragVerfasst am: 10. Jan 2006 09:54    Titel: Mia Antworten mit Zitat

Vielen Dank, dass ich bei euch Hilfe finde!

Ich arbeite auf einer mobilen Workstation mit Windows 2000 SP4.
Eine Firewall habe ich mir nicht extra zugelegt, aber meinen Rechner überprüfe ich regelmäßig mit AntiVir und Ad-aware. Hier hatte ich noch nie ein Ereignis angezeigt bekommen.

Mir wurde vor längerer Zeit ein Netzwerk mit Zugang zu zwei freigegebenen Ordnern (in C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung) eingerichtet, da geplant war, 2 PC’s miteinander zu vernetzen. Vernetzt wurden die PC’s dann allerdings nicht.
Meine Einstellungen hatte ich bis zu den Ereignissen nicht geändert. Ist es möglich, dass übers Internet dieser Weg benutzt wurde, obwohl nur 2 Ordner freigegeben waren?

Inzwischen habe ich sämtliche Passworte sowie den PC-Namen geändert und dennoch scheint ein Zugriff weiter zu erfolgen.

Ich bin einigermaßen ratlos.
Wie kann ich meinen PC vor weiteren Zugriffen schützen? Ist es möglich, dass auch „offline“ auf meine Daten zugegriffen werden kann?
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
kurellajunior
Administrator


Anmeldungsdatum: 14.02.2005
Beiträge: 214
Wohnort: Berlin-Pankow

BeitragVerfasst am: 10. Jan 2006 21:36    Titel: Antworten mit Zitat

Letzte Frage zuerst: nein.

Freigaben ohne Firewall sind wie Tür offen lassen und Schild auf die Straße stellen.

Wenn man nicht nette Menschen wie TMS kennt: Daten (und nur die Daten) retten. System plattmachen und frisch installieren. Mit Firewall und anderen Sicherheitsprogrammen. Dann sollte es besser werden.

Jan

_________________
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
TMSearcher



Anmeldungsdatum: 19.05.2005
Beiträge: 270
Wohnort: Bremen

BeitragVerfasst am: 10. Jan 2006 22:16    Titel: Antworten mit Zitat

Hi, bin leider etwas spät dran.

kurellajunior hat Folgendes geschrieben:
Freigaben ohne Firewall sind wie Tür offen lassen und Schild auf die Straße stellen.


Stimmt leider. Eine funktionierende Firewall ist das Minimum an Schutz. Und wenn du nicht ständig einen aktuellen und guten Virenschutz mitlaufen hattest -> dumm gelaufen! Hinterher hilft dir als Laie weder das eine noch das andere. Die Proger der Malware sind clever und fantasievoll und die Scanner müssen zwangsläufig hinterher hängen, den hier stellt sich nicht die Frage:“was war zuerst da, die Henne oder das Ei?“ sondern die Malware ist immer zuerst da.

So ein System komplett zu säubern kann Manntage dauern und 100% sicher ist man sich nie ob wirklich alles runter ist oder ob es noch einen Schläfer* irgendwo gibt.

Also (wenn NULL Ahnung) Rat befolgen: Datensichern, Platte incl. des Partitiontables löschen bzw. neuschreiben, formatieren und System neu installieren. Ich weis aus eigener Erfahrung das kann hart sein und Wochen in Anspruch nehmen bis alles wieder drauf ist und läuft.
Ganz wichtig! Bevor du dann wieder in’s Internet gehst, Servicepacks installieren, Antivirensoftware und Firewall installieren. Sonst geht’s dir so wie Sisyphus. Kauf dir am besten eine Zeitschrift mit CD, wo die Sachen drauf sind.

Gruß und so long...
TMS

*Der Begriff kommt wirklich aus dem Softwarebereich in der Zeit des kalten Krieges und ist nur in die Terrorismusabwehr übernommen worden.

PS.:
Zitat:
Ist es möglich, dass auch „offline“ auf meine Daten zugegriffen werden kann?
Kommt auf deine Kollegen an Augenzwinkern Viele Attacken kommen von innen.
_________________
Intelligent life is so very rare,
the rarest thing in creation
and the most precious
This is Earth Calling..
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
Mia



Anmeldungsdatum: 09.01.2006
Beiträge: 6

BeitragVerfasst am: 11. Jan 2006 09:18    Titel: Antworten mit Zitat

Hallo, danke für eure Feedback!

Euren (guten) Rat werde ich befolgen.
Gibt es irgendwo eine verständliche Anleitung, wie ich den PC selbst platt machen kann oder sollte ich hier besser einen Spezialisten kommen lassen? Empfehlt ihr das Umsteigen auf firefox oder mozilla? Und: welche Firewall ist derzeit die Sicherste?

Dem C:\ Datenträger war von Anfang an viel zu wenig Speicherplatz zugeordnet und er kann deshalb nicht defragmentiert werden oder neue Programme aufnehmen. So kann ich bei der Gelegenheit dieses Problem gleich mitbeheben (lassen).

Dennoch habe ich noch eine abschließende Bitte um Bewertung der Vorgänge. Ich möchte euch nicht über Gebühr beanspruchen, aber für mich ist es sehr wichtig, wenigstens ungefähr eine Vorstellung davon zu haben, wie der Zugriff erfolgt, damit ich mich in Zukunft neben Firewall etc. auch gezielt schützen kann.


Hier die Details bzw. Fragen:

Gestern Vormittag hat sich während ich im Netz war vor meinen Augen die VPN Verbindung wieder aus dem Netzwerkordner entfernt. Ich nehme an, dass die Ziel-IP (192.168.0.1), die ich mir zuvor aus den Eigenschaften notiert hatte, eher etwas mit der Verbindung selbst zu tun hat und nicht Rückschlüsse auf den Angreifer zulässt (?). Ist letzteres eigentlich möglich?

Wieso wird das VPN ständig eingerichtet bzw. wieder entfernt, denn wenn das möglich ist, ist doch der Eindringling schon drin? Kann er über die DBG-Dateien reinkommen?

Online hat Kapersky gestern „msblast.VIR“ (in D:\Programme 2\INFECTED) als Virenkorpus erkannt, AntiVir bei der Einzelprüfung ebenfalls. Beim generellen AntiVir Scan wurde allerdings nie ein Virus angezeigt.

Das gestrige HijackThis-Log (viele Programme musste ich auf D:\ installieren):

Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\Programme 2\AVGUARD.EXE
D:\Programme 2\AVWUPSRV.EXE
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\wanmpsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
D:\Programme\WF_Scheduler.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Adaptec Shared\CreateCD\CreateCD50.exe
D:\Programme 1\Adaptec\DirectCD\DirectCD.exe
C:\WINNT\system32\wuauclt.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
D:\PR1B63~1\NOKIAP~1\TRAYAP~1.EXE
D:\PROGRA~1\POP-UP~1\PSFree.exe
C:\Programme\AOL 8.0\aoltray.exe
C:\Programme\Telekom\Eumex 704PC LAN\Capictrl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Telekom\Eumex 704PC LAN\HNetCtrl.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\System32\msdtc.exe
D:\Programme 1\hijackthis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/email/index.jsp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Wise-FTP Scheduler] D:\Programme\WF_Scheduler.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [WorksFUD] D:\Programme 1\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] D:\Programme 1\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [CreateCD50] "C:\Programme\Gemeinsame Dateien\Adaptec Shared\CreateCD\CreateCD50.exe" -r
O4 - HKLM\..\Run: [AdaptecDirectCD] "D:\Programme 1\Adaptec\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\PR1B63~1\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme 2\AVGNT.EXE /min
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "D:\PROGRA~1\POP-UP~1\PSFree.exe"
O4 - Startup: taskmgr.lnk = C:\WINNT\system32\TASKMGR.EXE
O4 - Global Startup: AOL Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: CAPIControl.lnk = C:\Programme\Telekom\Eumex 704PC LAN\Capictrl.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Global Startup: HomeNet Control.lnk = C:\Programme\Telekom\Eumex 704PC LAN\HNetCtrl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme 1\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme 2\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme 2\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: ptssvc - Unknown owner - D:\Programme 4 shredder\Kodak EasyShare software\bin\ptssvc.exe (file missing)
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINNT\wanmpsvc.exe
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
TMSearcher



Anmeldungsdatum: 19.05.2005
Beiträge: 270
Wohnort: Bremen

BeitragVerfasst am: 11. Jan 2006 11:56    Titel: Antworten mit Zitat

Hi,
Also die Adresse 192.168.0.1 ist keine öffentliche IP-Adr. sondern sie fällt in den IP Bereich der Intern verwendet werden kann. Welche IP hat dein Rechner? Einfach mal auf Start, ausführen, dann CMD eingeben ->ein schwarzes Fenster erscheint und jetzt ipconfig /all eingeben, dann bekommst du alle Informationen. Vielleicht kommt der Angriff ja von innen und nicht von außen.

Zwei Dateien sind mir in deinem Protokoll aufgefallen
1. MSTask.exe – es gibt eine mstask.dll, aber eine Exe ist mir neu
2. mspmspsv.exe - ????
Such die Dateien doch mal und schau dir unter Eigenschaften mal die Versionsinformationen an. Wenn die leer sind und kein Hersteller angegeben ist, sind es mit Sicherheit Dropper oder Backdoorprgs. Kannst ja mal versuchen die Tasks zu beenden, wenn die immer wieder neu gestartet werden, ist unter umständen noch so ein Mistding irgendwo aktiv.
Wenn etwas drinsteht, kannst mir mal die Info geben von wem die sind.

Zitat:
Gibt es irgendwo eine verständliche Anleitung, wie ich den PC selbst platt machen kann oder sollte ich hier besser einen Spezialisten kommen lassen?


Das kannst du selber machen, wenn du weißt wie man Treiber nachinstalliert - wenn nicht, dann lass es besser machen.

Erstmal so long...
TMS
Wink

PS.: Die Dateien "dbgDatFile27, dbgDatFile33, dbgDatFile53 " könnten so eine Art Baukasten sein, aus dem der Dropper immer wieder sein Backdoorprg. zusammen bauen kann. Anhand des Names kann man das so aber nicht erkennen. Müsste man sich ansehen.

_________________
Intelligent life is so very rare,
the rarest thing in creation
and the most precious
This is Earth Calling..
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
Mia



Anmeldungsdatum: 09.01.2006
Beiträge: 6

BeitragVerfasst am: 11. Jan 2006 20:44    Titel: Antworten mit Zitat

Hi TMS,

...so eine schnelle Antwort, das ist toll! Tut mir leid, dass ich erst jetzt antworten kann...

Nach Eingabe von „ipconfig /all“ steht unter „Ethernetadapter „LAN-Verbindung2“ “ dieselbe IP-Adresse 192.168.0.1.
Was ist in dem Zusammenhang mit „ein Angriff von innen“ gemeint?
Und wie konnte dann meine Website manipuliert werden?

Dass die letzte VPN Verbindung den Namen „The Internet (2)“ trug bedeutet doch, dass hier jemand ganz bewusst diesen Namen eingegeben hat...?

„MSTask.exe“ hab ich gleich 3x gefunden:

2x als
Dateiversion: 4.71.2195.6704
Beschreibung: Taskplaner-Engine
Copyright: Copyright (C) Microsoft Corp. 1997

1x als
Dateiversion: 4.71.2195.1
Beschreibung: Taskplaner-Engine
Copyright: Copyright (C) Microsoft Corp. 1997

mspmspsv.exe:

Dateiversion: 7.1.0.3055
Beschreibung: WMDM PMSP Service
Copyright: Copyright (C) Microsoft Corp. 1981-2000

Mir ist aufgefallen, dass das Erstellungsdatum nach dem Änderungsdatum angegeben ist, aber vielleicht ist das nicht unüblich...(?).


An dieser Stelle ein dickes THANK YOU, dass ich als Laie hier so freundliche Auskunft bekomme!!!

Mia
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
kurellajunior
Administrator


Anmeldungsdatum: 14.02.2005
Beiträge: 214
Wohnort: Berlin-Pankow

BeitragVerfasst am: 13. Jan 2006 11:49    Titel: Antworten mit Zitat

Es gibt hier im forum eine Anleitung zum Rechner sauber aufsetzen ich such gleich mal den Link. Aber Ahnung von Installation soltlest Du schon haben...

Jan

link

_________________
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
Beiträge der letzten Zeit anzeigen:   
Dieses Forum ist gesperrt, du kannst keine Beiträge editieren, schreiben oder beantworten.   Dieses Thema ist gesperrt, du kannst keine Beiträge editieren oder beantworten.    Informatikerboard.de Foren-Übersicht -> Off-Topic Alle Zeiten sind GMT + 1 Stunde
Gehe zu Seite 1, 2  Weiter
Seite 1 von 2

 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
Du kannst Dateien in diesem Forum nicht posten
Du kannst Dateien in diesem Forum nicht herunterladen