wtf-systemisrunning
Goto Top

Netzwerk - Fremdzugriffe am StandaloneNotebook

Hallo allerseits,
Geht um mein Notebook. Nach Umzug: Vermehrte Virenanfall, Fremdzugriff/Fernsteuerrung und aufgesetzten webclients.
Bin mit meinem bescheidenen latein am Ende (vermutlich fehlt mir die logische schnittstelle zum thema face-smile ).
Für Hilfe wäre ich dankbar.

Bin recht neu hier... also, Hallo allerseits face-smile

Die Fakten:
Geht um ein privat XP-Notebook, mit dem ich erst seit einem Lokationswechsel Schwierigkeiten habe (schon länger her)
Fernsehkabel-DSL 8000 mit DSL Modem und Zyxel- Router (per LAN)
Software zur Sicherheit: Antivir Guard, Outpost Firewall 2009, WireShark
Remote-Dienste - alle deaktivier (soweit ich das einsehe)


Anfangs sind mir nur Verändungen an den Einstellungen aufgefllen, wie neue Protokolle oder Remotedienste wieder aktiv.
Später wurden meine erstellten Dokumente verändert (Mit meinem Profil, glaub ich). Dort fand ich dann Userbeschreibungen für ein AmerikanischesNetzwerk und später auch Tipps für MS Netzwerke (manchmal MS Text).
Später ist mir aufgefallen, dass Dateizweige entstanden, Browserverläufe ersichtlich (Plugins,Import/Export von Favoriten,Sites usw.) und Anmeldungen am PC enstanden sind, die unrealistisch und für mich unmöglich sind.
Hatte wärend der Zeit verschiedenste Viren auf dem PC gefunden - GATOR, TR/Crypt.XPACK.Gen (und weitere TR/Crypt....), RADMIN, QHOST usw. Manche ließen sich nicht entfernen -> Neuinstallation mit WinXP-CD (X-mal)

Habe IE, Firefox, Opera getstet. Beim Firefox waren die Einflüsse verhältnissmäßig höher (auch ein schnelleres intervall für websiteaufrufe)

Problem hält an... Nach manchen Neuinstallationen scheint mir auch eine ganz andere Version installiert zu werden, als meine CD enthält. Sieht nach einer RDP-Verbindung oder so aus (Standardsymbole sind anders, teilweise zeitvrzug bei maus). Auf dieser Ebene scheint es auch weniger Einflüsse zu geben, aber das ist doch auch nicht normal oder?

Meine Idee: Es gibt ja die System Volume Information. Kann der Bereich angepasst werden, sodass hier hinterlegte scripts/systeme ausgeführt werden, sobald man windows XP neu instlliert wird? Sprich, amn kriegt ne installation vorgegaukelt und erhält 'n snapshot?

Hab ab einem gewissen zeitpunkt versucht LOGs zu speichern, nur mit mäßigem erfolg. tcp (RDP und UDP)- verbindungen sind teilweise schon auffällig. Anmeldezeiten meines Notebooks von mir zu vielen zeiten garnicht möglich gewesen.

Fragen:
Kann man auf einen Client zugreifen, ohne das man das mitbekommt (Alle sonstigen Daten vorhanden, eigene GeräteIDs)?
Sind Doppelnmeldungen mit dem sellben Profil auch möglich (scrips)?
Kann ein Laptop mithilfe von Scripts automartisch booten und anmelden (zeitschaltung)?
Können Rechner in Netzwerke eingegliedert werden, um als Plattform für irgendwas zu dienen... Beispielsweise Dateiablageplatz oder als Nutzclient für Leute, die Anonym serven wollen... irgend soetwas? hab nämlich das Gefühl, dass verschiedene Benutzer einflüsse haben, wegen der vorgehensweise bei den logs.

Ich weiß, viel Text... glaub aber, so wird das komplettbild etwas verständlicher.
Rückfragen? immer her damit
Lösungsvorschläge? bitte...
hab schon vieles probiert, kenn mich auch mittlerweile ganz gut aus, aber anscheinend fehlt mir ein logisches Prinzip, dass ich nicht nachvollziehen kann. problem besteht ca. 3 Jahre - mal mehr, mal weniger.

Danke schonmal im voraus für geistige Eingebungen.

Mit freundlichen Grüßen

Content-ID: 140942

Url: https://administrator.de/contentid/140942

Ausgedruckt am: 22.11.2024 um 20:11 Uhr

adminst
adminst 19.04.2010 um 12:23:45 Uhr
Goto Top
ganz einfach. Die Maschine musst du komplett platt machen. Du weisst, dass du backdoors hast...
das ist die einzige Lösung plus ne Firewall vor den laptop, den softfwalls sind so ne sache....

Gruss
adminst
fisi-pjm
fisi-pjm 19.04.2010 um 12:46:23 Uhr
Goto Top
Hi,

bin adminst Meinung. Bis auf den Firewall Schwachsinn. EIne Hardwarefirewall ist genau so eine Softwarefirewall wie alle anderen auch, nur das sie auf Hardware läuft die Speziel und nur dafür vorgesehen ist.
CD einlegen, Booten, Partition komplett löschen und neu anlegen.
Ich nehm mal an du hast auch Daten die du irgendwo gesichert hast. Ich würde mir 2 mal überlegen welche davon ich wieder auf die Platte lasse und welche davon lieber nicht.
cardisch
cardisch 19.04.2010 um 12:53:42 Uhr
Goto Top
Hallo WTF..

Wenn noch irgendwelche Nutzdaten vorhanden sind, würde ich (auch aus polizeitechnischen Gründen) zuerst ein Image offline erstellen.
Ansonsten:
Rechner mit ner Bootdisk-/CD Low-Level-Formatieren und neu aufsetzen.
Zu deinen Fragen:

Kann man auf einen Client zugreifen, ohne das man das mitbekommt (Alle sonstigen Daten vorhanden, eigene GeräteIDs)?

- Ja, man kann sich einloggen, ohne das du das direkt mitbekommst.

Sind Doppelnmeldungen mit dem sellben Profil auch möglich (scrips)?

- Da verstehe ich nicht ganz, was du damit meinst..

Gruß

Carsten

Kann ein Laptop mithilfe von Scripts automartisch booten und anmelden (zeitschaltung)?

- Neu starten und evt. auch einloggen wäre möglich, ich vermute aber du meinst eine Art "Netzwerkstart", so dass ein PC ein Kommando dazu gibt und das Laptop aufwacht ?!?
Wenn ja, wäre es verdammt schwer, da ein Angreifer zuerst die Hardwarfirewall (und wenn es nur der Router ist) überwinden muss...

Können Rechner in Netzwerke eingegliedert werden, um als Plattform für irgendwas zu dienen... Beispielsweise Dateiablageplatz oder als Nutzclient für Leute, die Anonym serven wollen

- Ich bin zwar kein Hacker und weiss nicht genau, was man alles machen kann, aber wenn man PC´s zu Serverattacken mistrauchen kann, dann kann man auch Dateien auf fremden PC´s ablegen und ähnliche Dinge machen.
WTF-SystemIsRunning
WTF-SystemIsRunning 19.04.2010 um 12:58:19 Uhr
Goto Top
Danke Ihr zwei für die schnelle antwort... wurde aber schon tausendmal gemacht.
Ablauf... Ich sichere nichts, fahre runter ...
starte den abgesicherten modus, melde mich als admin an...
gehe in den laufwerken c: + d: in die "System Volume Information" (wo dateien und snapshots liegen und seeehr interessante logs face-smile ) lösche alles...
lege cd ein und starte neu....
formatierung aller festplatten - NTFS - iO
Erstelle zwei neue Partitionen (fabrikneu)
installationsroutine von windows... erfolgreich
(die frage: kann dieser installationsroutineprozess dargestellt werden, in wahrheit läuft aber ne datenverorgung über ne wan-verbindung?)

oder reicht der formatierungsprozess von XP nicht aus. gibt es da ne bessere variante? DiskettenLW hab ich nich dran face-smile
maretz
maretz 19.04.2010 um 13:00:20 Uhr
Goto Top
Moin,

normalerweise würde ich dich jetzt beglückwünschen. Whow - er kennt den Unterschied zwischen SW & HW. Leider muss ich dir sagen das man im allgemeinen trotzdem von einer HW-Firewall redet.

Der Unterschied zwischen einer HW und einer SW-FW liegt nunmal nicht darin das beides prinzipiell Software ist. Gut - der Steuerchip meines Rasierapperates ist auch mit einer Software gefüllt - und trotzdem glaube ich nicht das mein Rasierapperat jemals unter "Software" im Elektroladen zu finden sein wird. Und selbst nen Glückwunschkarte wäre dann "Software" soweit die diese "lustige" Musik beim öffnen spielt.

Der unterschied ist dadurch gegeben das du bei einer HW-Firewall idR. kein komplexes OS zu sehen bekommst und hier auch idR. entsprechend "gehärtete" OS-Versionen vorhanden sind. Da kannst du dann keine zusätzlichen Dienste drauf packen oder sonstwas machen -> und je nach Typ hast du auch keinen Wechseldatenträger sondern schreibst direkt in den Chip rein.

Natürlich gibt es jetzt leute die den klug###-modus auf dauer-1 gestellt haben. Dann wäre die einzige HW-Firewall sowas wie damals die Telefondame am Amt -> die ein Kabel von A nach B steckt. Die gute Frau würde mir aber leid tun wenn die das ganze für nen Router machen muss und dabei Kabel für die Ports stecken darf... Und solang wir hier keine Genetische Kreutzung "Frau / 1000-Füßler" (und auch der hat keine 1000 Füße, daran arbeiten wir dann später...) hinbekommen würde ich davon ausgehen das man eine HW-FW auch weiterhin einfach unterscheidet...

Achso - und wenn du schon hier die Feinheiten erzählst: Eine HW-FW läuft auf Hardware die nur dafür vorgesehen ist? Falsch -> die Hardware wird auch nicht genau dafür vorgesehen sein. Weder der Kondensator als richtige Hardware (dem is es zimlich egal ob er nun in deinem Radio, Rasierer oder in ner Firewall steckt) noch der Chip (dies sind idR. auch ganz normale 08/15-CPUs und Chips ohne speziellen Befehlssatz....). Und selbst der Netzwerk-Port ist nicht nur für ne Firewall vorgesehen -> der Port würde (als mech. Bauteil betrachtet) genauso auf ner 08/15-Netzwerkkarte funktionieren... Und auch deine HW-Firewall hat ein OS - und meistens eines welches eben _NICHT_ nur für die FW geschrieben wurde. Egal ob du hier Cisco (IOS) nimmst, ob du verschiedene Linux-basierende Firewalls nimmst o.ä. -> du findest die Software auch in vielen anderen Produkten... Und trotzdem spricht man bei ner Cisco-FW ebenfalls von einer Hardware-FW... Also WENN du es schon so genau nimmst -> dann bitte auch richtig... Und da wirst du wenig richtige HW-Firewalls finden - mir persönlich wäre nicht eine bekannt die nur und explizit für den Zweck geschrieben wurde (u.a. weil es deutlich zu teuer wäre wenn man ein ganzes OS inkl. aller Treiber usw. für ein Produkt schreibt...)
maretz
maretz 19.04.2010 um 13:02:33 Uhr
Goto Top
Moin,

sorry für die direkte Frage: Aber handelt es sich um eine original WIN-CD oder hast du die Original-CD mal verloren und dir irgendwo eine inoffizielle Sicherungskopie gezogen? Weil dann kann da natürlich schon jeder Trojaner usw. im Image der CD enthalten sein... Dasselbe gilt natürlich auch für alle danach installierten Programme -> hast du zu jedem die Original-CD? Ansonsten würde ich die dezentralen Sicherungskopien mal weglassen und probieren ob es dann immernoch auftritt...
WTF-SystemIsRunning
WTF-SystemIsRunning 19.04.2010 um 13:08:27 Uhr
Goto Top
Hallo Carsten,

schöne antwort. Den Polizeilichen Gang habe ich bisher nicht angestrebt - wollte das eigentlich auch möglichst vermeiden und da keinen großen hehl draus zu machen. mal schauen

die formatierung mit der XP CD scheint hier entweder:
nicht zu helfen, da das problem rasch wieder erkennbar ist (evtl. auch auch von anderen Rechner bezogen?) gibts denn unterschiede bei formatierungen (fdisk, xp-cd,partition magic?)

oder

die formatierung hilft, aber mein notebook erhält direkt im Anschluss Daten von einem anderen Gerät z.B.: drahtlose verbindungen... kann darüber ein remotezugriff statt finden? Habe den dienst deaktiviert - Problem bestand weiter face-sad
WTF-SystemIsRunning
WTF-SystemIsRunning 19.04.2010 um 13:13:55 Uhr
Goto Top
gute idee... es ist eine original cd. allerdings habe ich noch keine andere ausprobiert. habe noch eine, aber ohne entsprechenden Key, der is wech.
WTF-SystemIsRunning
WTF-SystemIsRunning 19.04.2010 um 13:53:49 Uhr
Goto Top
Ich weiß, ist viel Text geworden, Danke schonmal an die bisherigen Kollegen.
ChrFriedel
ChrFriedel 19.04.2010 um 14:01:39 Uhr
Goto Top
Also ich würde vielleicht erstmal den Laptop erneut komplett neu installieren ihm aber keine egal wie geartete Kommunikation (LAN, WWW usw) ermöglich.
Soll heißen nur Software und Treiber aus absolut sicheren Quellen und am besten auch nicht von deinen typischen USB-Sticks, USB-Platten (falls diese infiziert sind)


Damit du erstmal erkennst ob der Laptop nach der Neuinstallation die Viren/Trojaner bereits hat oder ob er sich nur sofort wieder ansteckt.

grüße und vorallem viel Erfolg!
WTF-SystemIsRunning
WTF-SystemIsRunning 19.04.2010 um 14:06:36 Uhr
Goto Top
Danke auch dir für die Antwort.
ich glaube, das habe ich schon gemacht.
Ich bin ja der Meinung, dass sich der laptop entweder wärend der Windowsinstallation (aber nur wenn die möglichkeit besteht, daten nicht von cd zu beziehen, die is orignal) oder anschließend ansteckt. Treiber CD ist auch original.
ChrFriedel
ChrFriedel 19.04.2010 um 14:24:18 Uhr
Goto Top
seltsam... hast du denn mal eine andere Festplatte versucht? Irgendwie kann ich mir nicht so richtig vorstellen wo das Schadprogramm sich sonst noch verstecken soll... Wirst dir doch keinen Hardwarevirus eingefangen haben ;)
WTF-SystemIsRunning
WTF-SystemIsRunning 19.04.2010 um 14:26:20 Uhr
Goto Top
Hab es zwar noch nie gesehen, aber kann man die GUID Tabelle verändern um sie für solche zwecke zu missbrachen?
naja, ich probie nochmal ne installation mit ner anderen CD

meld mich dann nochmal
fisi-pjm
fisi-pjm 19.04.2010 um 15:00:50 Uhr
Goto Top
Hey is ja okay, jeder muss mal Dampf ablassen!

Der unterschied ist dadurch gegeben das du bei einer HW-Firewall idR. kein komplexes OS zu sehen bekommst und hier auch idR.
entsprechend "gehärtete" OS-Versionen vorhanden sind. Da kannst du dann keine zusätzlichen Dienste drauf
packen oder sonstwas machen -> und je nach Typ hast du auch keinen Wechseldatenträger sondern schreibst direkt in den Chip
rein.

Hab ich je was anderes behauptet?

Natürlich gibt es jetzt leute die den klug###-modus auf dauer-1 gestellt haben. Dann wäre die einzige HW-Firewall
sowas wie damals die Telefondame am Amt -> die ein Kabel von A nach B steckt. Die gute Frau würde mir aber leid tun wenn
die das ganze für nen Router machen muss und dabei Kabel für die Ports stecken darf... Und solang wir hier keine
Genetische Kreutzung "Frau / 1000-Füßler" (und auch der hat keine 1000 Füße, daran arbeiten wir
dann später...) hinbekommen würde ich davon ausgehen das man eine HW-FW auch weiterhin einfach unterscheidet...

Wenn ich dich kurz Korrigieren darf, mit der Dame wär es ja keine Hardware mehr face-wink *Klug###-modus disabled*


Achso - und wenn du schon hier die Feinheiten erzählst: Eine HW-FW läuft auf Hardware die nur dafür vorgesehen ist?
Falsch -> die Hardware wird auch nicht genau dafür vorgesehen sein. Weder der Kondensator als richtige Hardware (dem is es
zimlich egal ob er nun in deinem Radio, Rasierer oder in ner Firewall steckt) noch der Chip (dies sind idR. auch ganz normale
08/15-CPUs und Chips ohne speziellen Befehlssatz....). Und selbst der Netzwerk-Port ist nicht nur für ne Firewall vorgesehen
-> der Port würde (als mech. Bauteil betrachtet) genauso auf ner 08/15-Netzwerkkarte funktionieren... Und auch deine
HW-Firewall hat ein OS - und meistens eines welches eben _NICHT_ nur für die FW geschrieben wurde. Egal ob du hier Cisco
(IOS) nimmst, ob du verschiedene Linux-basierende Firewalls nimmst o.ä. -> du findest die Software auch in vielen anderen
Produkten... Und trotzdem spricht man bei ner Cisco-FW ebenfalls von einer Hardware-FW... Also WENN du es schon so genau >nimmst

Wenn du meinen Satz so auslegst tut es mir leid das ich mich missverständlich ausgedrückt habe. Mit dem Satzt, "nur das sie auf Hardware läuft die Speziel und nur dafür vorgesehen ist.", meinte ich das eben Software oder dein abgespecktes OS, nenns wie du möchtest, auf dieser Hardware läuft und die Hardware für den Zweck genutzt wird man das OS aber auch genau so gut wo anders nutzen könnte und man deshalb keine Unterscheidung zwischen HW-FW und SW-FW machen sollte.


-> dann bitte auch richtig... Und da wirst du wenig richtige HW-Firewalls finden - mir persönlich wäre nicht eine
bekannt die nur und explizit für den Zweck geschrieben wurde (u.a. weil es deutlich zu teuer wäre wenn man ein ganzes OS
inkl. aller Treiber usw. für ein Produkt schreibt...)

Mir auch nicht, hab ich allerdings auch nie behauptet.

Gruß PJM
nEmEsIs
nEmEsIs 19.04.2010 um 15:37:27 Uhr
Goto Top
Hi

Na frage, wie darf ich das oben in deinem ersten Post werten
"Fernsehkabel-DSL 8000 mit DSL Modem und Zyxel- Router (per LAN)"
Also hängt dein Laptop am Lan ???
Hat der Router W-Lan??? Schon mal nachgeschaut ob das W-Lan offen ist und du vll ungebetene Gäste (Nachbars Kind etc.) drinnen hast ???
Schon mal an deinem Router nachgesehen ob da irgendwelche Ports offen sind ???
Schonmal deine Treiber und Windows CD von deinem Laptop bei nem Bekannten auf Viren untersucht ??? Vll. hat deine Laptop Hersteller ausversehen nen Trojaner mit draufgepackt ... hatte ich mal von Zusatzhardware von Freecom ...


Mfg Nemesis
arndttob
arndttob 19.04.2010 um 16:16:38 Uhr
Goto Top
Hey WTF,

mach deinen Rechner platt, genau so wie du es schon getan hast.
hol dir (über einen sicheren Rechner vllt. vom Kumpel) eine BootCD mit integriertem Virenscanner und USB/NTFS-Unterstützung. Schließ alle USB-Speichergeräte hintereinander an und scann sie durch.
Gehe alle Sicherheitseinstellungen von deinem Router durch. WLAN, upnp etc etc.

Irgendwo muss das Ding ja herkommen.
cardisch
cardisch 20.04.2010 um 08:11:55 Uhr
Goto Top
Hallo WTF..

Ein LowLevel-Format beschreibt eine gesamte Festplatte mit 0en, evt auf der Platte befindliche Schadsoftware wir definitiv der garaus gemacht.
Dies dauert aber durchaus einen ganzen Tag (ich nehme immer die Programme der Festplattenhersteller, z.B Hitachi DriveFitnessTest, Maxtor Powermax...)
Danach würde ich (ich gehe davon aus, dass du eine Privatperson bist) entweder von Avira die RescueDisk runterladen (die kann ihre Signaturen übers Intternet akualisieren) oder du versucht an die CD "Desinfec´t" (nannte sich bisher Knoppicillin) der Zeitschrift C´t zu ergattern.
Da sind drei Virenscanner gleichzeitig unter einem bootfähigen Linux vereint. (Kaspersky, Bitdefender und Avira Antivir).

Mit den CD´s könntest du jetzt schon einmal überprüfen, was sich auf deinem Rechner befindet, da die offline vom Windows mit einem Linux arbeiten.
Selbst wenn du keine hnung von Linux haben solltest brauchst du nicht verzweifeln, da läuft alles selbsterklärend mit Mausbedienung ab.

Gruß

Carsten
WTF-SystemIsRunning
WTF-SystemIsRunning 24.04.2010 um 01:35:55 Uhr
Goto Top
Sooooo... Liebe Leute!!! :o)

Ich danke für eure Anteilname.

@cardisch
-> DANKE. Das ist die Antwort, welche ich von Anfang an brauchte! es gibt also unterschiedliche arten einer formatierung.
Were mich um die Tools bemühen

@arndttob & @nEmEsIs
-> DANKE. Sehr gute Ratschläge


Wen die Lösung intressiert: ICH HABE FOLGENDES GEMACHT =>
- WinXP CD (A) => Löschen aller Partition, Erstellen einer großen Partition (Formatierung)
- WinXP CD (B) => Löschen der Gesamtpartition, erstellung meiner gewünschten - Win XP install
- Treiber installed, Systemwiederherstelllungspunkt erstellt
- NETZWERKFÄHIGKEIT ERST JETZT AKTIVIERT
- Secfoftware wireshark (für protokolle), firewall und Routerkonfiguriert

Problem scheint behoeben. Sollte es sich wieder auftun, melde ich mich natürlich
Glaube die Lösung lag bei der Doppelt und dreifachen Formatierung mit unterschiedlichen CDs. Denke damit wurde geschützte Speicher nicht mehr verschont...

Thx @ all

bis denne
WTF-SystemIsRunning