[Userproblem]

Liebe Leser,

mir ist etws ganz merkwürdiges passiert!

Auf meinem PC wurden Dateien und Zugriffe auf andere Systeme festgestellt.

So. zB. \\rechnername\c$Documents and Settings\username\Desktop

Und das in mehreren Fällen zu verschiedenen Zeiten.

Mir sind diese Zugriffe ein Rätsel, rein von den Rechten her könnte ich so etwas machen da ich mich innerhalb einer Domäne befinde und in der Gruppe der Lokalen Administratoren eingetragen bin.

Ist es möglich die Einträge auch von anderen PC’s aus auf meinem System zu editier oder gar mit reg

(Console Registry Tool for Windows - version 3.0
Copyright © Microsoft Corp. 1981-2001. All rights reserved

REG Operation [Parameter List]

Operation [ QUERY | ADD | DELETE | COPY |
SAVE | LOAD | UNLOAD | RESTORE |
COMPARE | EXPORT | IMPORT ]

Return Code: (Except of REG COMPARE)

0 - Succussful
1 - Failed

For help on a specific operation type:

REG Operation /?

Examples:

REG QUERY /?
REG ADD /?
REG DELETE /?
REG COPY /?
REG SAVE /?
REG RESTORE /?
REG LOAD /?
REG UNLOAD /?
REG COMPARE /?
REG EXPORT /?
REG IMPORT /? )

zu verändern ohne spuren zu hinterlassen?

Oder könnte mir jemand einen Link auf eine Batch in die Autostart gelegt haben das dies mit meinen Userrechten geschehen sein kann?

Sind eventuell noch mehr nicht nachweisbare möglichkeiten offen an die ich nicht denke denn es stellt sich für mich dar wie ein Maulwurf, der aus einer lücke auftaucht und sofort wieder verschwunden ist.

Jetzt habe ich mein System nahezu abgeschottet, ist die möglich mit den Domänadin Rechten wieder zu öffnen?

Ich habe zur Zeit keine Antworten, aber recht viel ärger an der Backe und soll nun dieses begründen was mir schier unmöglich erscheint.

Userproblem

[Graumagier]

Poste mal dein HijackThis-Log, vielleicht hast du dir einen Schädling eingefangen, der für die Zugriffe verantwortlich ist.

Aber was du mit den Registry-Änderungen gemeint hast, habe ich nicht ganz verstanden...

Dieser Beitrag wurde von Graumagier bearbeitet: 21. Januar 2005 - 14:40

[pSyCHo_SolDiEr]

Ich denke mal dass er meinte ob jemand von außen auf den agegriffenen Rechner die Reg so verändern könnte dass dort von ihm die Zugriffe stehen um ihn so rein zu reiten.

Ist rein theoretisch möglich, jedoch müsste der Rechner schon ziemlich offen sein.

Denke eher du hast dir Maleware, wie z.B. nen Trojaner eingefangen, also wie Graumagier schon gesagt hat Hijackthis log.

[pSyCHo_SolDiEr]

Zitat (I Luv Money: 21.01.2005, 14:44)

hijack ist nich für alles die universal lösung, das müsste schon nen komisches zeug sein das auf den desktop anderer leute will über unc pfade ^^
<{POST_SNAPBACK}>

Wieso. Einfach ein Trojaner und ein anderer Mitarbeiter will ihn reinreiten und greift auf den anderen Rechner zu.

[Userproblem]

Vielen Dank für die vielen Antworten, ich versuche alles zusammenzufassen!

Der rechner war immer per Bildschirmschoner gesperrt! (Kann jemand diesen mit lokal adminrechten über das Netz abschießen?)

In dem lokal Administrator ist eine Gruppe mit lokalen Administratoren eingetragen als auch die Domänenadministratoren.

Grund hierfür kann sein das mich jemand aus der Fa. haben möchte was er offensichtlich schaffen kann. (Ich bin zur Zeit beurlaubt)

Es wurden Daten wie Gehälter auf meinem Rechner gefunden als auch Zugriffe zu dem Vorgesetzten meines Chefs.

Die offensichtliche installation von einem Programm LC4 (Häckerprogramm) und eben diese UN Phate in den LHC Dateien.

Für Kontrucktive Tipps wie ich dies entkräftigen könnte währe ich sehr Dankbar.

Mein Anwald scheint die Fahne zu hissen und weis auch nicht weiter.

Auf den Rechner kann ich zur Zeit nicht Zugreifen, ich bekomme aber einen Tag die Möglichkeit dies zu entkräftigen.

MfG
Userproblem

Danke an alle die sich mit diesem Problem beschäftigen.

[DK2000]

Zitat

Der rechner war immer per Bildschirmschoner gesperrt! (Kann jemand diesen mit lokal adminrechten über das Netz abschießen?)

Das Sperrt nur die Tastatur und den Bildschirm. Der Rechner ist nach wie vor über das Netz erreichbar und manupulierbar, wenn man das nicht unterbindet.

Zitat

In dem lokal Administrator ist eine Gruppe mit lokalen Administratoren eingetragen als auch die Domänenadministratoren.

Böse Falle. Damit ist der Lokale Administrator auch Domänenadministrator. Sowas sollte man nicht machen, da man dann mit deinem Rechner auch die Domäne manipulieren kann. Der Domänenadministrator sollte sich nur am Server selbst anmelden können und nicht lokal vorhanden sein.

Zitat

Die offensichtliche installation von einem Programm LC4 (Häckerprogramm) und eben diese UN Phate in den LHC Dateien.

Wenn man weiss wie und es das Netzwerk erlaubt kann man so ziemlich alles auf einen Rechner installieren, auch wenn man nicht vor den Rechner sitzt. Das geht auch von anderen Rechnern aus.

Zitat

Grund hierfür kann sein das mich jemand aus der Fa. haben möchte was er offensichtlich schaffen kann. (Ich bin zur Zeit beurlaubt)

Wer hat das Netzt so unsicher eingerichtet?

Als was bist Du da eigentlich angemeldet an dem Rechner? Als normaler Benutzer oder als Administrator? Als normaler Nutzer könntest Du soetwas eigentlich garnicht machen.

Aber selbst wenn Du nur als Nutzer angemeldet bist, kann jemand der die Administratorpasswörter kennt, Deinen Rechner manipulieren, auch von einem anderen Rechner aus, ohne dass Du das mitekommst. Der könnte Dich auch zum Admin befördert haben.

Alles in Allem klingt das Netzwerk nicht gerade vertrauenswürdig wenn solche Sachen da passieren. Ist zwar technisch möglich, kann man aber auch abstellen, so dass nur ein local angemeldeter Administrator sowas machen kann und nicht über andere Rechner aus.

Ist natürlich die Frage jetzt. In einem gut eingerichteten Netzwerg würde man das an den Logs ekennen, wer wann wo was installiert hat und wer auf welchen Rechner wan Zugriff genommen hat. Aber da solche Logs manipulierbar sind, hängt es letztendlich am Netzwerkadministrator, wie vertrauenswürdig er ist.

Dieser Beitrag wurde von DK2000 bearbeitet: 22. Januar 2005 - 15:36

[Userproblem]

Danke für die Info und die Liebe Unterstützung,

jedoch suche ich nacher der teschnischen Lößung womit ich diese Unterstellungen wiederlegen kann.

1.) werde ich versuchen logs vom Server mit meinem User zu bekommen, wo ich nachweisen kann das ich nicht an der Domäne war. zB Urlaub, Abwesenheit und Schulung, damit ich gegebenenfalls ein verwenden meiner ID nachweisen kann.

2.) Könnten die HCL dateien (Reg.) ausgelesen und wieder zurückgespielt werden über einen Link in der Autostart (Batch oder UNC) damit ich mir Dateien selbst auf den Computer Kopiert habe ohne dies zu merken.

3.) Könnte jemand Manipulationen vornehmen wenn ich nicht am Platz war, z.B. Bilschirmschoner abschießen und Remote zugreifen über VNC

4.) dirktes editieren der HCL ohne Spuren zu hinterlassen?

5.) Existieren hierzu Musterbeispiele das es anderen auch so erging?

Vielen Dank für detalierte Antworten, auch gerne per Mail um ein veröffentlichen zu vermeiden.

Dies sollte aber bitte fundiert und keine Vermutung sein.

Userproblem

[Userproblem]

Schde, daß mir offensichtlich keiner weiterhelfen kann.

Ich habe bislang herausgefunden wie man die Reg im DOS über das Netz auslesen kann. Das importieren über klick ist auch möglich, jedoch kommen da zwei mal o.K. abfragen. Jetzt suche ich noch die Möglichkeit diese Meldungen zu unterdrücken. Kennt jemand de Syntax oder Schalter?

Für mein Verständnis ist es möglich den Bilschirmschonerprozess abzuschießen kennt jemand diese Vorgehensweise?

Vielen Dank
Userproblem