Mein PC ist gehackt worden: Was kann genau passiert sein?

AquaClassic

Hallo, liebe Trojaner-Board-Community,

ich habe Dienstag ein für mich persönlich enorm beängstigendes Erlebnis gehabt, mit dem ich bis heute nicht wirklich gut klarkomme: Während ich für die Uni an einem kleinen Multiplayer-Spiel programmiert habe, wurde mir die Kontrolle über meine Maus entrissen. Mehr dazu gleich, zunächst einmal mein Anliegen: Ich würde gern wissen, was genau passiert sein kann. Ich benötige keine Hilfe zum Entfernen etwaiger Malware, da ich den PC zunächst nicht mehr benutzen und in meinen Semesterferien neu aufsetzen werde und vorher aufgund diverser Projekte ohnehin keine Zeit habe, mich intensiv darum zu kümmern. Für meinen momentanen emotionalen Zustand wäre es aber sehr wichtig, eine ungefähre Idee davon zu haben, was wahrscheinlich geschehen ist, zurzeit fühle ich mich nämlich so, als wäre bei mir eingebrochen worden (natürlich nur in der Light-Version).

Jetzt also erst einmal zur Schilderung der Situation: Wie gesagt, ich habe gerade an meinem Spiel gearbeitet (auf Windows 7, Administratorenkonto, mittlerweile weiß ich, dass das dumm ist). Dafür habe ich in Java mithilfe von ServerSockets einen Server aufgesetzt, auf localhost mit dem Port 9001. Der lief während des Tages immer mal wieder beim Testen, aber immer nur für 10-20 Sekunden. Exakt in dem Moment, in dem besagte Situation eingetreten ist, lief er auch wieder. Ich wollte gerade den Client starten, als mein Bildschirm plötzlich kurz flackerte, dann hatte ich keine Kontrolle mehr über meine Maus. Sie bewegte sich von selbst, steuerte auf die Tastkleiste zu und klickte auf ein paar Programmsymbole (Windows Snipping Tool und Skype). Ich bekam Panik, drückte auf Strg+Alt+Entf, der Bildschirm wurde kurz dunkel und der Bildschirm, in dem man den Task-Manager aufrufen kann, öffnete sich. Immer noch in Panik und deshalb nicht wirklich rational handelnd öffnete ich den Task-Manager, hatte dann aber natürlich wieder keine Kontrolle über die Maus, die das Startmenü öffnen wollte - und in dem Moment hab ich dann den PC ausgeschaltet (über den Power-Knopf). Mir ist leider nicht eingefallen, erstmal das LAN-Kabel zu ziehen, um zu überprüfen, ob die Geschichte dann aufhört.

Einen Hardware-Defekt kann ich so gut wie ausschließen. Das ist danach und davor nicht aufgetaucht, die Bewegungen waren sehr menschlich und die Maus hat ein wenig gelaggt, ist also nicht so smooth über den Bildschirm gewandert wie normalerweise - das Ganze sah exakt so aus wie Remote Desktop.

Eine halbe Stunde später habe ich den PC wieder gestartet, ohne Internet, da war dann natürlich nichts mehr. Ich habe dann erst einmal mein AV-Programm (avast) durchlaufen lassen, das erwartungsgemäß nichts gefunden hat. Danach habe ich Spybot, Malwarebytes Anti-Malware und die Malwarebytes Anti-Rootkit-Beta durchlaufen lassen, aber ohne irgendwelche Funde (abgesehen von zwei Logfiles von AZLyrics im Chrome-Ordner, das wird allerdings kaum in irgendeiner Art und Weise problematisch sein). Seitdem habe ich den PC nicht mehr angeschaltet und habe das wie gesagt eine ganze Weile lang auch nicht vor.

Ich habe dann gestern mit meinem Programmierungs-Prof gesprochen, der, denke ich, recht kompetent ist. Er hat mir zunächst versichert, dass mein Server mit der Geschichte nichts zu tun haben, mich also niemand gehackt haben kann, weil der Server bei mir lief. Seiner Meinung nach habe ich, wahrscheinlich schon seit längerem dann, ein Rootkit drauf - das sei die einzige Möglichkeit, dass jemand einfach so Remote-Zugriff auf meinen PC haben kann. Das erscheint mir so an sich erstmal logisch, zumal ich ja keine Malware auf meinem PC finden konnte, das aber im Falle eines Rootkits auch nicht weiter unwahrscheinlich ist (ich werde mir nächste Woche wahrscheinlich eine Linux-Live-CD brennen und die Programme von dort aus starten, habe gelesen, dass sich Rootkits dadurch leichter entdecken lassen, weil sie nicht gestartet sind; außerdem werde ich überprüfen, ob in meinem UEFI Secure-Boot eingeschaltet ist, um zumindest auszuschließen, dass sich was im BIOS eingenistet hat). Das hat mir, zugegebenermaßen, Angst gemacht, insbesondere, weil ich nicht genau weiß, wo ich mir das eingefangen haben sollte. Höchstwahrscheinlich über eine Website, vielleicht einen Werbebanner oder ein JS-Script. Ich surfe zwar eigentlich immer mit Adblock, aber das muss im Endeffekt ja nichts heißen. Ich gebe auch zu, dass ich in der Vergangenheit für zwei bestimmte Programme Cracks benutzt habe - das tue ich allerdings nicht mehr, seit ich mich aus moralischen Gründen von derartigen Aktivitäten komplett verabschiedet habe.

Jetzt kommt allerdings der Teil, den ich nicht verstehe: Warum hat, wer auch immer Zugriff auf meinen PC hatte, auf sich aufmerksam gemacht, indem er die Steuerung über meine Maus übernommen hat? Wenn ich ein Rootkit habe und beispielsweise Teil eines Botnetzes bin, dürfte es doch eigentlich im Interesse der Verursacher der Infektion sein, möglichst unerkannt zu bleiben, oder nicht? Derjenige muss doch damit rechnen, dass ich meinen PC plattmachen werde, sobald ich mitbekomme, dass da irgendwas nicht stimmt?
Mein Prof meinte, dass den Verantwortlichen vielleicht aufgefallen ist, dass ich einen Server laufen habe und nachschauen wollten, ob ich damit vielleicht ihr Netz angreifen will oder sonst eine unnormale Aktivität stattfindet. Das halte ich aber für enorm unwahrscheinlich, denn das könnten sie doch auch, ohne meine Maus zu steuern, oder nicht? Zumindest, wenn ein Rootkit der Verursacher ist?

Meine Fragen jetzt also:

- Was kann die Ursache für die beschriebene Situation sein? Ist ein Rootkit wahrscheinlich? Kann es doch sein, dass mein Server in irgendeiner Art dafür verantwortlich ist? Gibt es noch eine andere Möglihckeit?
- Ist es wahrscheinlich, dass der/die Angreifer beispielsweise Betreiber eines Botnetzes sind oder hätten sie sich dann nicht bemerkbar gemacht? War es vielleicht doch eher ein einzelner Angreifer, der es zufällig auf mich abgesehen hat?
- Ich surfe auf meinem Laptop, von dem ich gerade schreibe, natürlich mehr oder weniger dieselben Seiten an wie von meinem PC - ist es wahrscheinlich, dass der auch infiziert ist?
- Wie gesagt werde ich meinen PC, sobald ich dafür Zeit habe, runderneuern. Ich bin gerade durch diese Geschehnisse etwas paranoid und habe zurzeit sogar vor sämtlichen Word-Dokumenten auf meiner externen Festplatte Angst. Übertreibe ich da?

Ich bin für jede Antwort dankbar, meine Nerven liegen grad ein wenig blank. Ich habe bisher weder merkwürdige Kontoaktivitäten festgestellt, noch wurde in irgendeinem Dienst, den ich zurzeit benutze, das Passwort ohne mein Zutun geändert. Das habe ich natürlich direkt nach der Situation getan, allerdings über meinen Laptop - und wie gesagt, zu 100 % vertraue ich dem auch nicht, bin aber auf ihn angewiesen, weil ich damit arbeiten muss.