Windows 7 komplett übernommen?

[Stephan_S 0]

Guten Tag erst mal...

 

auf einem Rechner in unserem Netzwerk habe ich das Phänomen, dass Windows 7 plötzlich als nicht legale Version angezeigt wird wenn man in die Systemsteuerung möchte. Dazu kommen merkwürdige Fehlermeldungen bei der Einrichtung des Remoteadmins bezüglich der Aktivierung der Windows Firewall (Symantec Endpoint Protection ist installiert). Da ich unser Netzwerk auf die AVG Internet Security Business Suite umstelle wollte ich den SEP Client deinstallieren, dabei kam die Fehlermeldung dass dazu eine 32Bit Installation nötig sei. Es scheint so als sei Windows nachträglich "fremdinstalliert" worden und es befänden sich zwei Betriebssysteme parallel in Betrieb. Die originale mit 64Bit und die "fremde" mit 32Bit. Die 32Bit variante schein allerdings die Systemsteuerung im Griff zu haben. 

 

Gibt es Hinweise auf einen Botnet, der in dieser Richtung vorgeht? Kann man da was unternehmen, ohne direkt neu zu installieren?

Bin gerade dabei mit dem Avira Rescue-System zu scannen.

 

Für Hinweise wäre ich sehr dankbar.

 

Herzliche Grüße

Stephan

[lefg 276]

Morn Stephan, Willkommen am Board :)

 

Bei solch unklaren Lagen suche ich nicht mehr, ich stufe den Rechner als verseucht ein, formatiere und installiere neu.

 

Selbst falls beim Scannen etwas gefunden, ich wuesste doch nicht, on und was nicht gefunden.

bearbeitet 6. April 2014 von lefg

[blub 115]

Wenn es sich um ein Netzwerk mit wichtigen Daten handelt, schalt den Rechner ab und hole dir einen Profi, der sich mit Security und Forensik auskennt, zu Hilfe!

Der kann herausfinden, ob weitere Rechner eures Netzes betroffen sind und der sollte Kontakte zum BSI und zu den großen Providern haben, die wiederum Inforamtionen zu den aktuellen Botnetzen haben.

Der Profi kann euch auch beraten, wie man solche Angriffe zumindest erschweren und früher erkennen kann. Das Beweisstück, also den evtl. betroffenen Rechner, solltest du natürlich vor einer Analyse nicht vernichten.

 

blub