Hallo,
ich vermute, weil sich ein PC eigenständig gemacht hat bei mir, der aber jetzt down ist, dass hier RDP-Hijacking stattfindet...

Könnt ihr mir Tipps geben wie ich finde, was ich suchen sollte?

FRST, RogueKiller, Malwarebyte Tools haben nichts gefunden - nicht unlogisch wenn RDP Hijacking...

Konnte bislang nicht von USB booten - das klammere ich mal aus.

Aber bis dahin:

Habt ihr einen Rat welche Tools hier was entdecken könnten was anormal ist?

LG!

Zitat:

Zitat von mnmnmn

ich vermute, weil sich ein PC eigenständig gemacht hat bei mir, der aber jetzt down ist, dass hier RDP-Hijacking stattfindet...

Das MRDP wird auf beruflich benutzten Systemen verwendet. Bei beruflich benutzen Systemen ist deine IT-Abteilung zuständig.
Private Geräte (Home) unterstützen dieses Protokoll nicht.

Zitat:

Zitat von mnmnmn

FRST, RogueKiller, Malwarebyte Tools haben nichts gefunden - nicht unlogisch wenn RDP Hijacking...

Wenn du im Auswerten von FRST-Logdateien Experte bist, dann können wir dir hier wohl mit den Logdateien nicht helfen.


Ich verschiebe nach Diskussion.
Evtl. mag sich cosinus hierzu noch äußern, er kennt sich in diesem Bereich wohl besser aus.

Zitat:

Zitat von M-K-D-B

Evtl. mag sich cosinus hierzu noch äußern, er kennt sich in diesem Bereich wohl besser aus.

Ich weiß nicht was der TO sich bei so einer Beschreibung denkt. Niemand kann mit so wenig Infos etwas anfangen. Erst vermutet er irgendwas, schreibt aber nicht warum, dazu sämtliche Logs angeblich ohne Funde.

Mit "FRST findet nichts" kann man auch nix anfangen, denn diese Aussage ist völlig unsinnig. Die Logfiles fehlen einfach.
Auch sowas wie "nicht unlogisch wenn RDP Hijacking..." ergibt für mich keinen Sinn.

Zitat:

Zitat von M-K-D-B

Danke für das Willkommen trotz meinem inhaltsfreien post.

Zitat:

Zitat von cosinus

Ich weiß nicht was der TO sich bei so einer Beschreibung denkt.

Bin seit 2015 bei Euch und semi-IT, der "IT-Fuzzi" im Büro. Kenne eure Regeln.

Meine Frage war aus Eurer Sicht schwachsinnig abgekürzt.

Ich sehe das genauso.

Ich installiere jetzt mal Wireshark und logge den traffic.

Ich bin da nicht vor ort und kann keine USB-Sticks reinstecken - andere sind nicht in der Lage.

Wenn das soweit ist...

komme ich zurück und frage hier nochmal - dann aber VERNÜNFTIG.

Bitte diesen GESAMTEN BEITRAG gerne auch einfach löschen.

Sry, not my year, not my month, not my week, not my day.

WAS ICH MIR ERTRÄUMT HATTE: "Ja Kollege, bei vermutetem RDP-Hijacking installier mal tool XY und oder XZ und protokollier mal was passiert." ... vielleicht hanebüchener Schwachsinn.

Statt sinnfreiem Gejammer hättest du ja einfach mal die FRST-Logs nachreichen und schreiben können warum du diese Vermutung hast.

Zitat:

Zitat von cosinus

Statt sinnfreiem Gejammer hättest du ja einfach mal die FRST-Logs nachreichen und schreiben können warum du diese Vermutung hast.

Ich hatte und habe keinen physischen Zugriff auf diesen PC. Ich hoffe heute jemanden dort zu haben, der in der Lage ist, einen USB Stick in einen PC zu stecken und FRST (etc.) zusätzlich in der Wiederherstellungsumgebung zu laden und nach Fernanweisung durchzuführen.

Dann bringe ich die logs.

Danke für Eure Geduld.

Was soll das heißen, du hast keinen Zugriff?
Da schildert dir irgendjemand anders das Verhalten und du machst dann deine eigene Nacherzählung und bringst die hier ins Forum? Oder wie sollen wir uns das jetzt vorstellen?

Warum formulierst du den ersten Beitrag so, als wenn du direkt vor Kiste sitzt?
Und was hindert dich jetzt daran, die paar Dinge mal genauer zu erklären?

Zitat:

Zitat von mnmnmn

Danke für das Willkommen trotz meinem inhaltsfreien post.

Dein Post war nicht inhaltsfrei, es waren nur viel zu wenig relevante Informationen vorhanden.
So war/ist eine Hilfe nicht möglich.

Zitat:

Zitat von mnmnmn

Bin seit 2015 bei Euch und semi-IT, der "IT-Fuzzi" im Büro. Kenne eure Regeln.

Bitte diesen GESAMTEN BEITRAG gerne auch einfach löschen.

Wenn du schon so lange bei uns mitliest, dann weißt du, dass wir gerne helfen, sofern die benötigten Informationen vorliegen. In diesem Fall ist das leider nicht möglich (ist nicht böse gemeint ).