Viele Browserfernster öffnen sich
 

Guten Tag,

ich habe ein Problem auf dem Rechner meiner Mutter, auf den ich wegen der großen Entfernung nur über VNC Zugriff habe. Ich selbst habe einen Mac und kenne mich mit Windows nur eingeschränkt aus.

Meine Mutter hat Windows XP.
Seit etwa zwei Wochen kann Sie das Internet kaum noch benutzen, da sich innerhalb kurzer Zeit immer wieder Browserfenster öffnen, mit dubiosen Werbeinhalten, Casinoseite, alberen Preisrätsel etc.
Das passiert sowohl beim IE als auch beim Firefox, den ich versuchsweise installiert habe. Allerdings scheint es so, als würde das Problem nur in einem Benutzerkonto auftreten.

Im Augenblick lasse ich ein frish installiertes Antivir laufen und es wurden schon 6 Trojaner gefunden. Bisher hatte ich kein Antivirenprogramm drauf, da ich für Ihr Emailkonto einen Virenschutz beim Provider verwende und der Ansicht war, das wäre ausreichend.

HJT habe ich auch schon laufen lassen. Es wurde nichts böses entdeckt.
Lediglich die IE Version wurde als "zu alt" erkannt.

Welche Maßnahmen könnt Ihr mir empfehlen.
Um eine Neusintallation möchte ich möglichst herumkommen, da ich ich meiner Mutter mit relativ viel Aufwand eine Arbeitsumgebung hergestellt habe, die sie unbedingt braucht. Außerdem geht das aus der Ferne natürlich nicht.

Danke im Voraus und Gruß
maceis

Oh...die Bereinigung wird sehr schwierig, da du das alles auch noch über VNC machen musst. Oder hast du physischen Zugriff auf die Kiste?
Poste erstmal die genauen Namen und Fundorte der Schädlinge, sowie auch das HJT-Logfile der Kiste.

Das ist absolut nicht ausreichend. Damit ist nur ein Bruchteil abgedeckt, abgesehen davon, dass der Virenschutz des Providers auch nicht alle Malware erkennt.

Vielen Dank schon mal.

Hier zunächst mal einen Auszug aus dem Report von Antivir:
Kann man hier schon was konkretes sehen/interpretieren?

Den Rest liefere ich nach.
Direkten Zugriff habe ich nur, wenn ich mal wieder hinfahre (sind rund 350km)

Jo. Das system ist astrein kompromittiert:

Die Kiste ist längst von anderen unter Kontrolle und wohl schon Teil eines Botnetzes. Wahrscheinlich kippt sie die Leitung dicht mit Spammails, wenn sie online ist.

Die Kiste muss neu aufgesetzt werden, da führt nichts dran vorbei. Um den Schaden gering wie möglich zu halten, sollte sie auch nicht mehr ins Internet bzw. interne LAN => Kabel ziehen, physikalische Trennung. Jedenfalls solange bis sie neu aufgesetzt und abgesichert ist.

Auch wenn das jetzt feststeht, das HJT-Logfile würde mich schn interessieren.:rolleyes:

ACK :daumenhoc
DIROTE.EXE (566,784 Bytes) - this file is a modified mIRC application which compromises the current system. E.g., It can transform the current system into a file server to enable remote users to connect to it.

Die Edith: Quelle vergessen

Wusst' ich's doch! :schmoll:

Vielen Dank für Eure Antworten.
Ein HJT Log kann ich derzeit nicht liefern, weil mir gerade das VNC hängengeblieben ist. Das passiert manchmal. Meine Mutter kann ich um diese Zeit auch nicht mehr anrufen, um den Rechner neu zu starten.

Aber mal 'ne Verständnisfrage.
Der Rechner befindet sich ja hinter einem Router. UPnP ist aus, es gibt keine Portweiterleitungen. Das VNC läuft über OpenVPN mit einer 1024Bit Verschlüsselung. Auch kann ich (zumindest jetzt im Augenblick) keine verdächtigen Netzwerkaktivitäten feststellen.
Ich würde gern verstehen, wie die "Kontrolle" der "anderen" technisch ausshen könnte.


Was mich auch noch interessieren würde.
Sind die aufgelisteten Trojaner irgendwie bekannt dafür, dass sie Browserfenster mit Werbeseiten öffnen? Das war ja das Problem, dass mich dazu veranlasst hatte, das System zu scannen.

Das bedeutet nur, dass sich über VNC wohl kein Unbefugter so einfach reinhacken kann geschweige den Traffic (dank verschlüsselung) mitsniffen kann. Ändert aber nichts an der Kompromittierung, der Router wird evtl. andere Zugriffe blocken, oder aber auch nicht? :rolleyes:
Und wenn nicht, spamt die Kiste dennoch in die Welt. Abgesehen davon, dass nun die Kiste vollends nicht mehr vertrauenswürdig ist, jede auf ihr verarbeitete Datei (zumindest ausführbar) kann irgendwas mitschleppen.
Mit diesem Zustand tust du deiner Mutti nichts Gutes...

Also die Browserfenster mit Werbeseiten sind absolut zweitrangig bei diesem Befall. :zzwhip:
Und selbst wenn's andere malware wäre, ändert das nichts an den Hintertüren im System.

Das versteh' ich schon. Ich frage nur, weil mir aufgefallen war, dass nachdem ich Antivir durchlaufen lassen hatte und bevor sich VNC verabschiedet hatte, zumindest keine Browserfenster mehr aufgegangen waren.

Dass das System nicht mehr vertrauenswürdig ist, ist mir bewusst.
Allerdings kann ich den Rechner frühestens in vier Wochen neu installieren und an's Netz muss er in dieser Zeit auch.

Ob der tatsächlich soviel spammt, kann man wohl nur durch längere Beobachtung des Netzwerkverkehrs feststellen. Im Augenblick (innerhalb der letzten dreiviertel Stunde) geht jedenfalls nichts raus.

Ihr habt da rüber absolut keine Kontrolle mehr was raus geht - es muss nicht nur Spam sein. Ihr tut euch damit keinen Gefallen, mit diesem System in diesem Zustand online zu gehen. Eure Zugangsdaten etc. konnten schon ausgespäht worden sein.

Was genau wird denn online benötigt? Notfalls tut es ein Knoppix um zu surfen und zu mailen, aber das kompromittierte Windows solltet ihr nicht mehr ins Internet lassen.

Das ist mir grundsätzlich bewusst. Allerdings kann ich das im Augenblick leider nicht ändern - so Leid mir das selbst tut.
Vielleicht lass ich mal ganztags einen Netzwerksniffer mitlaufen. Das Problem dabei ist natürlich die Menge der Daten ;(.
Guter Hinweis. Um die Internet Zugangsdaten mach ich mir eigentlich weniger Sorgen, da die nur auf dem Router liegen und den halte ich (zumindest im Augenblick) noch für sicher. Ist 'ne Fritzbox mit einer modifizierten Firmware (ein Linux System). Aber die Emailzugangsdaten sollte ich wohl ändern.

Ich stimme Dir grundsätzlich zu. Allerdings ist meine Mutter (67) da chancenlos. Meine Mutter hat ein kleines Gästehaus und muss die gesamte Buchungsabwicklung, Angebote, Freimeldungen etc. Online erledigen.

So Leid es mir tut, aber da bewegt sie sich nicht mehr im privaten Bereich. Für alles andere wird auch ein Techniker herbestellt (Klempner, Maler etc.) - warum keinen PC-Notdienst? :confused:

einfach das verseuchte System wissend weiterlaufen zu lassen ist absolut verantwortungslos... :pfui:

Hier das versprochene HJT Log (nach Virenscanner):Fällt da jemandem noch etwas bedenkliches auf?
Ich lass' jetzt nachts auch nocmal den Virenscanner durchlaufen.
Bisher ist jedenfalls nichts auffälliges mehr erkennbar, auch kein "seltsamer" Netzwerkverkehr.

Führe ein Java Update durch! Durch alte Java Versionen können Schädlinge auf Dein System gelangen. Dies gilt für jegliche Software!

Die Version Deines Acrobat Reader ist veraltet, aktualisiere Deine Version hier.

Das Hauptproblem ist aber: HJT listet derartige Einträge nicht. Ein IRC Bot schreibt sich zwar i.d.R. in den Autostart, allerdings kann der (AB)User mit der Dauer der Infektion das Wirtssytem beliebig modifizieren.

Hat auf einem gewerblich genutzen System nichts zu suchen, genau wie weitere Kommentare zu dem Zustand des Systems.
Unsere Meinung darüber hast DU gelesen, der Rest liegt bei Dir.
Auch wenn ich dazu keine Befugnis habe, würde ich hier ein EOD für angebracht halten.

Eins noch:
Wie würde es denn Deine Mutter finden, wenn jemand andere Ihre Buchhaltung, sprich Kontoführung übernimmt? Schon mal an diese Konsequenzen gedacht?
Da ist es billiger einen Techniker vor Ort zu konsultieren!:aplaus:

Vielen Dank erstmal für Deine Hinweise.

Ich möchte hier aber mal etwas klarstellen, dass anscheinend von mir missverständlich ausgedrückt wurde.

Es handelt sich nicht um eine gewerbliche Geschichte oder etwas ähnliches sondern um einen Kleinstbetrieb der privaten Zimmervermietung. Um genau zu sein sind es drei Gästezimmer, die saisonal vermietet werden.
Eine Buchhaltung wird auf dem Rechner ebensowenig durchgeführt wie eine Kontoführung. Mit "Buchungsabwicklung" war lediglich die Bestellung und Bestätigung von Zimmern per Email gemeint.

Ich verstehe natürlich die geäußerten Bedenken, bin aber andererseits der Ansicht, dass man die Kirche auch im Dorf lassen muss.
Die Einschaltung eines Technikers scheitert schon allein daran, dass es in unserem Kaff und der Umgebung so jemanden gar nicht gibt.
Der zweite Punkt ist der, dass ein Techniker zwar das System neu aufsetzten könnte, aber wohl kaum den Zustand wieder herstellen könnte, den meine Mutter benötigt, damit sie wie gewohnt arbeiten kann. Bei meiner Mutter ist es schon ein Problem, wenn eine Ordnericon nicht an der Stelle auf dem Schreibtisch liegt, wo es schon immer war - den Rest könnt Ihr Euch denken.

#########

Jetzt aber mal noch 'ne technische Frage:

Angenommen der Rechner wurde tatsächlich modifiziert. AntiVir hat alle erkannten Viren/Trojaner etc. entfernt. Der Rechner hängt nicht direkt im Internet, sondern hinter einem Router, an dem außer Port 22 TCP und Port 1149 UDP und die für VoIP erforderlichen Ports von außen zu sind. UPnP auf dem Router ist aus, Portweiterleitungen gibt es keine. Der Rechner ist jetzt 24h lang gelaufen, ohne dass verdächtige Netzwerkaktivitäten (Richtung Internet) festgestellt werden konnten.

Worin besteht denn jetzt konkret die Bedrohung?
Wie genau könnte eine unerkannte böse Software jetzt noch Schaden anrichten?
Und nachdem es bekanntlich eine absolute Sicherheit ohnehin nicht gibt, würde mich auch eine Abschätzung der Wahrscheinlichkeit interessieren?