kioto 10 Geschrieben 28. März 2010 Melden Teilen Geschrieben 28. März 2010 Hallo, Ich habe seit rund 6 Monaten Probleme mit Hackerangriffen. Ich habe zu Hause 4 PCs unter XP (lizensiert) an einem WLan Router. Gesichert durch Firewall (versuche unklare IPs zu sperren) und Windows Essential Virenschutz. Hatte auch schon diverse andere ausprobiert. Wlan ist unsichtbar geschaltet, mit WPa und langem Passwort. UDP und andere Services disabled. Was passiert: Windows accounts werden umbenannt (in Beschimpfungen) passworte geändert, Bios änderungen trotz Bios Passwort, die Einstellungen der Bildschirme verändert. Die PCs schalten sich manchmal selber ein und die Schubladen fahren raus. Es wurden auch schon Dateien gelöscht,vom Desktop oder auf der Platte, mannchmal werden dutzende von Programmen gestartet, manchmal das selbe vielfach. Ich habe logs geprüft, in Foren nachgefragt. Immer heißt es unmöglich, Du spinnst oder der Sohneman macht fez. Eingriffe von Innen kann ich aber definitiv ausschliessen. Da auch schon ein Linux zerstört wurde,schein es nicht auf Windows beschränkt. Es sieht für mich so aus, als wenn nach Hochfahren oder aus dem ruhezustand irgendwie Kommandosequenzen auf den PC geschickt werden, die dann mehr oder weniger zufälligen Schaden anrichten. Ausnahme die Beleidigungen in den Accountnahmen. Dieser Mist hat Neuinstallationen, neue Hardware und zig Virenprogramme überstanden. Ich bin mittlerweile vollkommen ratlos. Hat hier ev. jemand einen Tipp ausser Neu Aufsetzen, dass habe ich schon mehrfach gemacht). Kann das mit VPN gemacht werden, der Router zeigt in den Logs ab und zu VPN an, auch wenn ich es nicht nutze. mfg Werner Link zu diesem Kommentar
Windowsbetatest 10 Geschrieben 28. März 2010 Melden Teilen Geschrieben 28. März 2010 Hallo, auch wenn du es bestimmt von mehrfach gehört hast, ich gehe von einem Angriff von innen aus. Schau mal, ob du feststellen kannst, ob jemand an die Technik geht, z.B. Maus speziell positionieren und Foto machen. Ich würde einen PC, vom Netz getrennt mit XP SP3 neu isntallieren, ein sicheres Kennwort hinterlegen und keine gebrannten DVDs bzw. USB Sticks an diesem verwenden. Alles Updates installieren und VScanner aktuell halt. Nach möglichekit, den Rechner nicht im Netzwerk mit den anderen haben nd dann mal schauen was passiert. Wenn alle Rechner die selben Passwörter haben, reicht ein Kompromitierter Rechner, um alle anderen erneut zu befallen. mfg Link zu diesem Kommentar
kioto 10 Geschrieben 28. März 2010 Autor Melden Teilen Geschrieben 28. März 2010 Hallo, Interne Angriffe kann ich ziemlich sicher ausschliessen. zB das geänderte Datum heute im Bios. Habe das Bios passwortgeschützt. Und ich saß selber schon davor, als der Rechner anfing, wie wild neue Programme zu starten. Ich konnt die gar nicht so schnell beenden, wie die Neustarts kammen und musste den Rechner hart ausschalten. Manschmal war z.B die Ikons in der Schnellstartleiste vervielfacht, so dass der halbe Bildschirm von der Schnellstartleiste mit den selben Ikons voll war. Und einmal habe ich meinen PC eingeschaltet, da schaltete sich der 2. PC im Raum und am mein Laptop, der über WLAN betrieben wird, gleichzeitig an und die Schubladen fuhren raus. Und keine Viren- oder Trojanerscanner finded irgend etwas. Gruß Werner Link zu diesem Kommentar
LukasB 10 Geschrieben 28. März 2010 Melden Teilen Geschrieben 28. März 2010 Der einzige Weg einen infizierten Rechner zu säubern ist ihn neu aufzusetzen. Link zu diesem Kommentar
Windowsbetatest 10 Geschrieben 28. März 2010 Melden Teilen Geschrieben 28. März 2010 Hallo, vonabhängig vom Biospasswort, kann man sowas (mit etwas Ahnung) direkt unter Windows machen. Wenn nur ein Rechner infizirert ist, kann sich die Infektion ausbreiten. Hast du eine Möglichkeit, einen Rechner zu separieren und sauber neu zu machen? Richtig meint, keine LAN Verbindung und kein Datentransfer (z.B. Diskette/USB-Stick) zw. den Rechnern. mfg Link zu diesem Kommentar
blub 115 Geschrieben 28. März 2010 Melden Teilen Geschrieben 28. März 2010 (bearbeitet) Hallo, ...an einem WLan Router. Gesichert durch Firewall ... Welche Produkte verbergen sich dahinter genau? Ich habe logs geprüft, in Foren nachgefragt. Welche Logs? In welchen Foren hast du denn schon nachgefragt? Gib mal nen Link, dann müssen wir dir ja nicht das gleiche nochmal erzählen, wie die Kollegen dort cu blub bearbeitet 29. März 2010 von blub Link zu diesem Kommentar
Dukel 454 Geschrieben 28. März 2010 Melden Teilen Geschrieben 28. März 2010 Hast du ALLE Rechner neu installiert? Hilft ja nix, wenn sich die Rechner immer wieder gegenseitig anstecken. Link zu diesem Kommentar
olc 18 Geschrieben 28. März 2010 Melden Teilen Geschrieben 28. März 2010 ...und vor allen Dingen: Nachdem Du die internen Systeme neu installiert hast (das OS), woher bekommst Du dann die Programminstallationen für die Software auf den Rechnern? Du verwendest hoffentlich keine Installationssoftware, die Du von einem befallenen System kopiert hast? Kommt es auch zu Problemen, wenn kein Internetzugriff, sondern nur LAN Zugriff auf den Systemen genutzt wird? Ganz ehrlich: Es mutet etwas sehr merkwürdig an, was Du da schreibst. Viele Grüße olc Link zu diesem Kommentar
lordcrypto 35 Geschrieben 29. März 2010 Melden Teilen Geschrieben 29. März 2010 postse mal den firewall log plz. am besten input und output. Was für prozesse laufen wie dir? welche virentools hast du schon benutzt ? Softwarefirewall ? Hast du ICQ,MSN ? am laufen. Welchen Webbrowser nutzt du ? Wie oben schon gefrage - Hast du mal alle Rechner gleichzeitig vom netz genommen - installiert, "firewall"+"antivirus" an - wieder ans netzt - machst du regelmässig windows updates ? hast du nen freund dem du sowas zutruast :) oder der dir mal was zum installieren geschickt hat ? Hast du irgendwelche ports in dem Router "offen" ? Link zu diesem Kommentar
djmaker 95 Geschrieben 29. März 2010 Melden Teilen Geschrieben 29. März 2010 Da wird doch nicht wer remote den Router in Besitz genommen haben? Link zu diesem Kommentar
kioto 10 Geschrieben 29. März 2010 Autor Melden Teilen Geschrieben 29. März 2010 Hallo, Ich versuche mal die Fragen nacheinander zu beantworten. Ich habe eine DIR300 router und habe dort IP geblockt, die mir sonderbar vorkamen, z.b. solche aus Russland, Türkei etc. und was sonst so aufläuft. Scheint aber hoffnungslos zu sein, dauern sieht man neue. Den umgekehrten Weg, alles zu blokieren und gezielt freizugeben, habe ich nicht geschafft. Nachgefragt habe ich bei Trojaner Board, habe dort auch die üblichen Scans geschickt. Da ich aber zusätzlichzu einem Virensvanne auch Spybot und PC Doctor installiert hatte, in der Hoffnung, das einer von diesen Tools was findet, gabs nur den Kommentar, wieder ein schlechtes Beispiel für Softwareinstallation, alles neu machen und wiederkommen. Mein Versuch, mit Ubuntu ist auch gescheitert, weil nach ein paar Tagen der Grub Downloader so zerstört wurde, dass meine bescheidenen Unix Kenntnisse zur Reparatur nicht ausreichend. Das Ubuntu Forum konnte auch nicht helfen. Im Eingabefenster des GRUB konnte man aber den Mechanismus des Angriffs gut erkennen, Nachdem der Rechner hochgefahrenist, landeten in der Eingabe erst mal Sonderzeichen, danach Text mit den Beleidugungen. Natürlich wurde mir geantwortet, das kann nur von innen kommen, aber ausser meinem 13 Jahrigen Sohn kennt sich in der Familie niemand mit PC aus, geschweige mit Ubuntu, und ausserdem lassen sich manche der Zeichen gar nicht über die Tastatur erzeugen, wie z.B. das Karo-Symbol. Ich hönge mal ein Bild an. Sonst hat niemand Zugriff. Ausprobiert habe ich PC-Doctor, Antivir, Norton (90 Tage Vollversion kam mit Asus Board mit) Symantec Malware Byte Spybot und MS Essentials. Ausser ein paar tracking Cookies wurde nichts gefunden. Na ja, kann ja über Ostern noch mal alle PCs neu machen oder den Provider wechseln. Viel Hoffnung habe ich aber nicht. Gruß Werner Link zu diesem Kommentar
Sunny61 806 Geschrieben 29. März 2010 Melden Teilen Geschrieben 29. März 2010 Ich habe eine DIR300 router und habe dort IP geblockt, die mir sonderbar vorkamen, z.b. solche aus Russland, Türkei etc. und was sonst so aufläuft. Da würde ich evtl. beim Router anfangen. Besorg dir einen anderen und leg *bevor* Du ihn in dein Netz aufnimmst ein ordentliches Passwort dafür fest. Link zu diesem Kommentar
XP-Fan 217 Geschrieben 29. März 2010 Melden Teilen Geschrieben 29. März 2010 Hallo Werner, denke mal drüber nach da es alles in deutsch geschrieben ist amtliche Hilfe ins Boot zu holen. ;) Link zu diesem Kommentar
lordcrypto 35 Geschrieben 30. März 2010 Melden Teilen Geschrieben 30. März 2010 skript kiddy :) jo wie der mod schon sagte schalt mal "das amt" ein :D das ist eine straff tat. desweiteren schau mal ob du im router nen dyndns aktiv hast ? hast du ne feste IP im internet oder wechselt die alle 24std (bei jeder einwahl) wenn du das nicht weisst kannst du auf Wie ist meine IP-Adresse? nach schauen - merken - router vom strom nehemn wieder anstellen warten wieder nach schauen ;) Solltest du eine feste IP haben beantrag einfach bei deinem Provieder eine neue. Mach mal einen Router reset mit Werkseinstellungen so wie nen FirmwareUpdate. Guck ob dein Router den Punkt hat "nur vom internen netz administrierbar". Lad dir mal -> Proccessmonitor MS und schau mal was auf deinen XP maschienen so läuft google alles was du nicht kennst. und kill alle nicht benötigten tasks. GData 30Tage demo installier mal gdata security 2010 oder Kaspersky als ersten schritt würd ich jedoch die router sachen versuchen :) Link zu diesem Kommentar
Dukel 454 Geschrieben 30. März 2010 Melden Teilen Geschrieben 30. März 2010 Nochmals: Hast du mal alle 4 Rechner neu installiert (evtl. ohne LAN). Weil, wenn ein Rechner infiziert ist und den 2. nach der neuinstallation gleich infiziert hilft alles nix. Link zu diesem Kommentar
Empfohlene Beiträge