|
Plagegeister aller Art und deren Bekämpfung: Das Erlebnis: Fremdzugriff auf meinen PC !!!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
30.09.2003, 11:09 | #1 |
| Das Erlebnis: Fremdzugriff auf meinen PC !!! Moin zusammen. Gestern hatte ich ein Erlebnis, welches ich nicht so schnell vergessen werde: Hab eine Flat und ich war ausser Haus, komme nun wieder und da seh ich ein Programm "IPSCAN" welches munter den IP-Bereich 192.132.0.0 - 129.132.255.254 scannt (und er war schon bei Adresse 129.132.193.51 !!!!). Ich also in Panik erstmal Screenshot gemacht, Programm geschlossen und mich auf dem Rechner umgesehen. Folgendes mußte ich feststellen: 1. Das Programm lag im Root (C:\IPCSCAN_GUI.EXE) 2. Außerdem wurde wohl ein neues Verzeichnis angelegt: C:\WINNT\system32\mui\winvnc darin: 29.09.2003 16:12 580 DEFAULT.REG 29.09.2003 16:12 45.056 OMNITHREAD_RT.DLL 29.09.2003 16:12 501 SQLPASS.DIC 29.09.2003 16:13 32.768 VNCHOOKS.DLL 29.09.2003 16:13 233.472 VNCVIEWER.EXE 29.09.2003 16:13 88 WINVNC.BAT 29.09.2003 16:14 208.896 WINVNC.EXE 7 Datei(en) 521.361 Bytes WinVNC war als Dienst aktiv, die Datei WINVNC.BAT wurde wohl als erster ausgeführt und sieht so aus: regedit /s c:\winnt\system32\mui\winvnc\default.reg winvnc -install net start winvnc Mein SCHEI* Virenscanner (Norton AV mit dem neusten Def.-Stand ist wohl als erstes abgeschmiert. Im Ereignissprotokoll kann ich nur noch lesen: Virus festgestellt!Virusname: Hacktool in Datei: C:\WINNT\system32\mui\winvnc\IPCSCAN.EXE durch: Echtzeitschutz Prüfung. Aktion: Säubern fehlgeschlagen : Isolierung erfolgreich : Zugriff verweigert Das AV-Programm ist nun hin (kann .dll nicht mehr finden usw, - kann es nicht mal mehr deinstallieren). Außerdem war eine neue Netzverbindung angelegt mit Bindung an Ordner- und Dateifreigaben. Ich bin kein Typ Mensch, der blind und doof auf seine E-Mail Anhänge klickt. Eine Bindung von TCPIP an Datei/Ordnerfreigaben kann ich mich auch nicht erinnern. Und blöd irgendwelche Dateien downloaden und draufklickern tu ich auch nicht ! W2K war durch die letzten Updates auf dem letzten Stand, also was kann man da noch tun bzw. WIE KOMMT SOWAS ÜBERHAUPT zu stande (wie geht sowas überhaupt???). Bisher dachte ich echt das mir sowas nicht passieren könnte (das sich ein User gemütlich auf meinem Rechner breit macht) !!! Nun meine Frage(n): ??? Hat jemand von Euch SOWAS schon einmal erlebt ??? ??? Reicht als zukünftiger Schutz der KAV & Firewall ?? oder kann ich sowas demnächst wieder erwarten (habe bei meinem Provider leider eine feste IP) ..? (stehe wohl immer noch unter Schock, also sorry für den langen Text hier). |
30.09.2003, 11:34 | #2 |
Gast | Das Erlebnis: Fremdzugriff auf meinen PC !!! WinVNC ist eigentlich ein recht seriöses Remote Admin Programm. Es installiert sich auch nicht einfach so, zumal Du ja erwähnst, dass es sogar als Dienst lief. Jemand an Deinem Computer muss meines Erachtens nach dieses Programm angeklickt und installiert haben. WinVNC ist wie gesagt kein Hackertool, dass sich per Dropper aus einer HTML Seite einer angesurften Webpage automatisch installiert. Es ist ein Client/Server Programm, das ganz normal mit Installationsroutine daherkommt. Natürlich könnte eine Firewall die Verbindung zwischen Client und Server verbinden. Doch wie gesagt, taucht so ein Programm nicht einfach so aus dem Nichts auf.
__________________ |
30.09.2003, 11:35 | #3 |
| Das Erlebnis: Fremdzugriff auf meinen PC !!! moin DaAlfonx
__________________Willkommen an Board </font><blockquote>Zitat:</font><hr /> ...Hat jemand von Euch SOWAS schon einmal erlebt ??? </font>[/QUOTE]...ich persönlich nein.. </font><blockquote>Zitat:</font><hr /> ...Reicht als zukünftiger Schutz der KAV & Firewall ?? </font>[/QUOTE]..jain . KAV als Antivirus-Programm ist schon gut, eine Firewall kann IMO auch nicht stören, allerdings du kannst schon hier was anderes hören . Portsicherheit kann NUR mit dem Abschalten der nicht notwendigen Diensten gewährleistet werden. Checke dein PC mit www.pcfalnk.com und http://grc.com und http://bcheck.scanit.be/bcheck/... Überprüfe bitte die laufenden Dienste: brauchst du die wirklich alle?- und IE als Browser - lieber nicht benutzen (Firebird ist eine empfehlenswerte alternative).. |
30.09.2003, 11:37 | #4 |
Moderator, a.D. | Das Erlebnis: Fremdzugriff auf meinen PC !!! Welcome on board [img]smile.gif[/img] Kann Dir leider nicht im Detail weiterhelfen. Aber in dieser Newsgroup tauchte das Problem auch auf (englisch). Dort wird geraten, das System komplett neu aufzusetzen, da Du nicht weißt, was noch alles verändert wurde. Wie kam winvnc auf Deinen Rechner? Offene Ports? Dazu "Beenden von Diensten unter W2K". Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
30.09.2003, 11:44 | #5 |
| Das Erlebnis: Fremdzugriff auf meinen PC !!! @Bo Derek Hab mich seit dem Erlebnis gestern auch schlau gemacht über WINVNC, aber ich habs NICHT installiert. Die Dateien (IPSCAN, WINVNC) sind zur selben Zeit angelegt worden (Erstellungsdatum) und der IPSCAN lief dann ja auch vor sich hin, also muß das Programm von aussen auf meinen Rechner gepackt worden sein (ich saß ja nun nicht davor). Das macht mir ANGST !!! @Rene-gad Ja, danke-bin ja nun *leider* mit an Bord (könnte mir schönere Foren-Themen vorstellen ..). Werd die Links mal probieren. Bin nun sozusagen *wach* geworden betreff Viren/Trojaner.. |
30.09.2003, 11:49 | #6 |
| Das Erlebnis: Fremdzugriff auf meinen PC !!! @Yopie Yep. Werde mein System plattmachen. Allerdings hab ich das letzte Woche schon gemacht (wegen dem Blaster-Mist), da hab ich auch nur Mist erlebt: 1. W2k installier 2. NAV installiert *dachte ich war sicher ....* 3. W2k updates durchegührt --> während der Updates gabs dann hundertmal den Fehler mit svchost.exe!!! --> War mir fast gar nicht möglich überhaupt den BUGFIX von MS zu installieren Ausserdem hab ich bisher täglich Meldungen vom NAV über Randex.C - F gehabt. Weiss noch nicht genau wie ich das überhaupt angehe. Am besten 1. Platte platt machen 2. KAV drauf 3. ZoneAlarm (oder was andres???!) drauf 4. MS-Update ausführen.... und beten das da alles stabil bleibt ... ..? |
30.09.2003, 12:08 | #7 |
Gast | Das Erlebnis: Fremdzugriff auf meinen PC !!! </font><blockquote>Zitat:</font><hr />Original erstellt von DaAlfonx: Hab mich seit dem Erlebnis gestern auch schlau gemacht über WINVNC, aber ich habs NICHT installiert. Die Dateien (IPSCAN, WINVNC) sind zur selben Zeit angelegt worden (Erstellungsdatum) und der IPSCAN lief dann ja auch vor sich hin, also muß das Programm von aussen auf meinen Rechner gepackt worden sein (ich saß ja nun nicht davor). Das macht mir ANGST !!!</font>[/QUOTE]Kann ich verstehen. Allerdings ist Computertechnik vieles, nur eins nicht: Voodoo. Das Ereignisprotokoll gibt Dir doch sicher Aufschluss darüber, wann das Programm installiert wurde. Die darauf folgende Frage ist dann wohl: wer sass zu dieser Zeit am Computer? Selbst über eine Sicherheitslücke installiert man nicht so einfach vollständige Programme, startet Dienste usw.. |
30.09.2003, 12:15 | #8 |
Moderator, a.D. | Das Erlebnis: Fremdzugriff auf meinen PC !!! </font><blockquote>Zitat:</font><hr />Original erstellt von DaAlfonx: Ausserdem hab ich bisher täglich Meldungen vom NAV über Randex.C - F gehabt.</font>[/QUOTE]http://www.f-secure.com/v-descs/randex.shtml Wie sahen die Randex-Warungen aus? Warst Du infiziert? An die richtigen Experten: Könnte Winvnc mit Hilfe der Backdoor-Komponente von Randex auf den Rechner gelangt sein? </font><blockquote>Zitat:</font><hr />Original erstellt von DaAlfonx: 1. Platte platt machen 2. KAV drauf 3. ZoneAlarm (oder was andres???!) drauf 4. MS-Update ausführen.... und beten das da alles stabil bleibt ... ..? </font>[/QUOTE]Anstatt ZA zu installieren solltest Du unnötige Dienste beenden, Link s.o. Das sogar vor dem Installieren von KAV. Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
30.09.2003, 12:39 | #9 |
Gast | Das Erlebnis: Fremdzugriff auf meinen PC !!! Klar ist es möglich, über einen Backdoor WinVNC zu installieren. Es macht bloss nicht wirklich Sinn, denn die Funktionalität eines Backdoors ähnelt WinVNC doch zu stark, Remote Desktop Systeme sind lediglich komfortabler als über IRC gesteuerte backdoors. Es wäre jedoch neben PEBCAK die zweite Möglichkeit, wie WinVNC installiert werden konnte. Wie geschrieben, reicht eine Sicherheitslücke alleine dafür nicht aus. |
30.09.2003, 12:46 | #10 |
Moderator, a.D. | Das Erlebnis: Fremdzugriff auf meinen PC !!! Danke für die Erläuterung. [img]smile.gif[/img] Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
30.09.2003, 15:14 | #11 |
/// Helfer-Team | Das Erlebnis: Fremdzugriff auf meinen PC !!! Eine Frage, welches Windows ist das? Und war es schon installiert oder hast du es installiert? Und hat der Administratoraccount ein gesetztes PW? Bei manchen vorinstallierten PCs ist es so, das das Adminpw leer ist. Björn
__________________ Kein Support per PM! |
30.09.2003, 15:49 | #12 |
Gast | Das Erlebnis: Fremdzugriff auf meinen PC !!! Es muss Windows NT oder 2000 sein, denn sein Windows Verzeichnis nennt sich "Winnt". Bei XP, und da gibt es das von Dir beschriebene Phänomen mit dem Admin Account, nennt sich das Verzeichnis "Windows". |
30.09.2003, 15:56 | #13 |
Moderator, a.D. | Das Erlebnis: Fremdzugriff auf meinen PC !!! </font><blockquote>Zitat:</font><hr />Original erstellt von DaAlfonx: W2K war durch die letzten Updates auf dem letzten Stand, ...</font>[/QUOTE]Ich tippe mal auf Win 2000. Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
30.09.2003, 16:08 | #14 |
/// Helfer-Team | Das Erlebnis: Fremdzugriff auf meinen PC !!! Oh das mit 2k hatte ich überlesen. Björn
__________________ Kein Support per PM! |
30.09.2003, 16:15 | #15 |
| Das Erlebnis: Fremdzugriff auf meinen PC !!! Hallo, auch von mir ein Willkommen! </font><blockquote>Zitat:</font><hr />Original erstellt von DaAlfonx: Werde mein System plattmachen. Allerdings hab ich das letzte Woche schon gemacht (wegen dem Blaster-Mist), da hab ich auch nur Mist erlebt: 1. W2k installier 2. NAV installiert *dachte ich war sicher ....* 3. W2k updates durchegührt</font>[/QUOTE]Nein, reicht nicht. Um die Beeinträchtigungen durch Blaster zu beheben / verhindern, hätte es prinzipiell keiner Neuinstallation bedurft. Wichtig in dieser Hinsicht ist der Patch. </font><blockquote>Zitat:</font><hr />Ausserdem hab ich bisher täglich Meldungen vom NAV über Randex.C - F gehabt.</font>[/QUOTE]Das lässt eindeutig auf unnötig laufende Dienste schließen. Auf diesem Wege sind übrigens auch ohne Weitere "Zugriffe", wie von dir hier geschildert, auf dein System möglich. Somit heißt es für dich, unmittelbar nachdem du das System neu aufgesetzt hast, und noch bevor du ins Internet gehst, diese Anleitung durchgehen: http://kssysteme.de/s_content.php?id=fk2002-02-02-3414 |
Themen zu Das Erlebnis: Fremdzugriff auf meinen PC !!! |
aktiv, bli, blöd, datei, dateien, e-mail, festgestellt, firewall, folge, frage, hack, meinem, nicht, nicht mehr, norton, panik, programm, rechner, schutz, screenshot, start, system, system32, tcpip, updates, virenscanner, zugriff, zugriff verweigert |