[DK2000]

Seit ein paar Tagen habe ich in der Ereignisanzeige solche Einträge:

Event Type:		   Failure Audit
Event Source:		 Security
Event Category:	   Account Logon 
Event ID:			 680
Date:				 14.12.2006
Time:				 18:07:42
User:				 NT AUTHORITY\SYSTEM
Computer:			 WKS
Description:
Logon attempt by:	 MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon account:		administrator
Source Workstation:   MANDY-7PB9THJAJ
Error Code:		   0xC0000064

Event Type:	 Failure Audit
Event Source:   Security
Event Category: Logon/Logoff 
Event ID:	   529
Date:		   14.12.2006
Time:		   18:07:42
User:		   NT AUTHORITY\SYSTEM
Computer:	   WKS
Description:
Logon Failure:
 	Reason:				 Unknown user name or bad password
 	User Name:			  administrator
 	Domain:				 MANDY-7PB9THJAJ
 	Logon Type:			 3
 	Logon Process:		  NtLmSsp 
 	Authentication Package: NTLM
 	Workstation Name:	   MANDY-7PB9THJAJ
 	Caller User Name:	   -
 	Caller Domain:		  -
 	Caller Logon ID:		-
 	Caller Process ID:	  -
 	Transited Services:	 -
 	Source Network Address: 84.134.xxx.xxx
 	Source Port:			0

Event Type:	 Success Audit
Event Source:   Security
Event Category: Logon/Logoff 
Event ID:	   540
Date:		   14.12.2006
Time:		   18:26:07
User:		   NT AUTHORITY\ANONYMOUS LOGON
Computer:	   WKS
Description:
Successful Network Logon:
 	User Name:	
 	Domain:		
 	Logon ID:			   (0x0,0x113F1E1)
 	Logon Type:			 3
 	Logon Process:		  NtLmSsp 
 	Authentication Package: NTLM
 	Workstation Name:	   MANDY-7PB9THJAJ
 	Logon GUID:			 -
 	Caller User Name:	   -
 	Caller Domain:		  -
 	Caller Logon ID:		-
 	Caller Process ID:	  -
 	Transited Services:	 -
 	Source Network Address: 84.134.xxx.xxx
 	Source Port:			0

Irgendwie ist es mir überhaupt nicht klar, wie diese Einträge zu Stande kommen. Rechnername (MANDY-7PB9THJAJ) und IP (84.134.xxx.xxx) sind mir da unbekannt.

Ich habe mal diverse Online-Port-Scanner getestet, und die sagen alle, dass alle relevanten eingehenden Ports nicht erreichbar/vorhanden sind. Die Einträge sagen mir jedoch, dass sie offen sein müssten und eingehende Verbindungen akzeptieren (zum. zu den angegebenen Zeiten).

Hijackthis habe ich zwar auch mal ausgeführt, nur ist die Ausgabe sehr unvollständig, da das Programm nicht ganz mit einem 64bit Windows zurecht kommt.

Falls mir da irgendjemand auf die Sprünge helfen könnte, was ich da übersehe, wäre ich da sehr dankbar.

Axo, mein Rechner hängt über LAN am Router, nicht über WLAN. Letzeres besitze ich gar nicht.

Dieser Beitrag wurde von DK2000 bearbeitet: 14. Dezember 2006 - 19:06

[flo]

Hi DK


Google hast du sicherlich schon befragt, die Antworten brauche ich ja nicht nenen.

Da du die IP und den Hostnamen nicht kennst würde ich ganz klar sagen, das sich jemand zugang zu deinem rechner verschaffen will.

Hast du auch mal mit nmap von einem anderen Rechner im LAN gescannt? da die Online Scanner ja nur bis zum Router kommen.

Dieser Beitrag wurde von Flo bearbeitet: 14. Dezember 2006 - 19:25

[DK2000]

Mit nmap kann ich da derzeit nicht scannen, da mir nur ein Rechner zur Verfügung steht. Ich könnte es höchstens mal aus vmware herraus versuchen, aber ob das was bringt? Gemacht habe ich das in vmware noch nie.

Zitat

Da du die IP und den Hostnamen nicht kennst würde ich ganz klar sagen, das sich jemand zugang zu deinem rechner verschaffen will.

Ja, davon gehe ich auch aus. Lt. den Logs sind es 14 verschiedene Hostnamen von nur 8 verschiedenen IPs. Hatte als Beispiel nur die aktuellsten Einträge im Log genommen.

Zitat

da die Online Scanner ja nur bis zum Router kommen.

Ja, und das ist ja das, was mich wundert. Wenn die Onlinescanner nur bis zum Router kommen, wie kann dann jemand anderes durch den Router hindurch bis zu meinem Rechner gelangen. Die Schwachstelle muss doch dann der Router sein oder irgendetwas, was den Router untergräbt.

Was mich auch wundert, warum das nie unter Windows XP (32bit) und Windows Vista der Fall war, obwohl ich dort die selben Policen zu Überwachung aktiviert habe und an der Konfiguration des Routers nichts geändert habe. Das muss doch was sau blödes sein, was ich hier übersehe.

Dieser Beitrag wurde von DK2000 bearbeitet: 14. Dezember 2006 - 19:54

[flo]

Zitat

. Ich könnte es höchstens mal aus vmware herraus versuchen, aber ob das was bringt?

Nein das bringt nix.

Mit einem 2 Rechner sollte man es schon machen.

Zitat

Ja, und das ist ja das, was mich wundert. Wenn die Onlinescanner nur bis zum Router kommen, wie kann dann jemand anderes durch den Router hindurch bis zu meinem Rechner gelangen. Die Schwachstelle muss doch dann der Router sein oder irgendetwas, was den Router untergräbt.

Nun ja , der Router macht ja NAT, somit sollte es von der Theorie her nicht möglich sein deinen Rechner Direkt anzusprechen, allerdings existiert wohl eine Schwachstelle, bzw ein verfahren das NAT untergräbt.

Zitat

Was mich auch wundert, warum das nie unter Windows XP (32bit) und Windows Vista der Fall war, obwohl ich dort die selben Policen zu Überwachung aktiviert habe und an der Konfiguration des Routers nichts geändert habe. Das muss doch was sau blödes sein, was ich hier übersehe.

Hm dazu kann ich dir leider nix sagen da ich Win 64 nicht kenne.

Einen malwarebefall deines Rechners kannst du außschließen?

Dieser Beitrag wurde von Flo bearbeitet: 14. Dezember 2006 - 20:02

[DK2000]

Da ich seltsame Einträge im Sicherheitslog habe, kann ich da Malwarebefall im Moment nicht ausschließen, auch wenn ich erst einmal nichts ungewöhnliches finde. Hijackthis läuft ja leider nur teilweise, aber das, was es gefunden hat, sieht eigentlich normal aus (s. Anhang).

Ich habe jetzt erst einmal das laufende System gesichert und ein Backup vom 9.12. aufgespielt. Da die ersten Einträge am 11.12. auftraten, davor gab es keine, gehe ich mal davon aus, dass was auch immer dafür verantwortlich ist, am 11.12. zu mir kam.

Ich werde das ganze mal weiter beobachten. Momentan ist jedenfalls Ruhe.

EDIT 1: Jetzt läuft der Rechner seit fast 24h und immer noch ist Ruhe. Muss wohl doch irgend ein Befall der Grund dafür gewesen sein.

EDIT 2: Nun läuft das System seit gut 3 Tagen ohne Vorkommnisse. Ist jetzt natürlich die Frage, was ich mir da eingefangen haben könnte. Die infizierte Installation habe ich mir nochmal angeschaut, aber irgendwie kann ich da nichts suspektes ausmachen. Eventuell war das ganze auch nur ein Zufall....

Angehängte Datei(en)

•  hijackthis.txt (5,49K)
  Anzahl der Downloads: 478

Dieser Beitrag wurde von DK2000 bearbeitet: 17. Dezember 2006 - 23:01