[Deeva]

Situation !!!!!


gestern abend hat sich irgendwie meine maus kurz selbst bewegt. ich hab mich nicht viel dabei gedacht. dann ging auch plötzlich meine MSN Messenger nicht mehr. wegen gesperrten ports. heute morgen hab ich festgestellt das ich nicht mehr auf meinen router drauf komme weil das passwort sich geändert hat !!! dann habe ich heute morgen meinen PC gescannt mit folgendem ergebnis:

gefunden: potentiell gefährliche Software not-a-virus:NetTool.Win32.PsKill
C:\WINDOWS\FlyakiteOSX\Tools\pskill.exe

gefunden: potentiell gefährliche Software not-a-virus:Monitor.Win32.Ardamax.f
C:\WINDOWS\system32\WinSecure.003

gefunden: potentiell gefährliche Software not-a-virus:Monitor.Win32.Ardamax.k
C:\WINDOWS\system32\WinSecure.004

gefunden: potentiell gefährliche Software not-a-virus:Monitor.Win32.Ardamax.24
C:\WINDOWS\system32\WinSecure.007





Routereinstellungen:
- MAC Adresse
- keine Firewall
- alle ports offen

PC Einstellungen:
- Windows XP SP2 mit allen Updates
- keine Firewall


Frage 1:
ich selber habe KEINE falschen objekte ausgeführt. kann es also sein das jemand aus meiner nachbarschaft die MAC-Adressen schutz überlistet hat und es dann hinbekommen hat auf meinem PC viren auszuführen obwohl ich gar keine im netzwerk freigegebene ordner habe?

Frage 2:
kann ich wenn ich viren haben herausfinden wer sie mir geschickt habe wenn ich das von trojaner programmierer auseinanderpfücken lasse? damit ich weiß wer es war zB an hand der email adresse im trojaner?

Frage 3:
was für viren hab ich mir da eingefangen? kennt ihr die?

Frage 4:
komm ich jetzt am komplett formatieren nicht vorbei oder kann ich meinen PC noch so desinfizieren?

Frage 5:
was würdet in an meiner stelle noch so unternehmen?

Frage 6:
das sieht so aus wie wenn jemand den trojaner direkt in diesem order versteckt hat... kann das sein?

Frage 7:
kann es wirklich sein das jemand MAC Adressen knackt hier im haus... bei mir... und auch noch den Login Passwortschutz des routers?

Frage 8:
kann ich irgendwie auf den router ohne auf werkseinstellungen zurück zu gehen um die IP von diesem Beep rauszufinden. ich würd ihn gerne anzeigen !!!!!

Frage 9:
falls ich mein system neu aufspiele... was für schutzmassnahmen sind ratsam aber nicht übertrieben? muss eine firewall sein oder reicht es seine Prozesse zu überwachen?



MICH KOTZT das an... !!!!


mit welchem programm kann man am besten prozesse überwachen? und sie vielleicht auch markerien zB als OK oder so ^^



[EDIT]

der router passwort wurde doch nicht geknackt !!!!! sorry... mein fehler... ich hab mich nur beim passwort vertippt

Dieser Beitrag wurde von Deeva bearbeitet: 18. Juni 2006 - 12:42

[bartii]

Zitat (asterx: 18.06.2006, 13:24)

Mit denen sollte man meiste weg bekommen.

Bei einem einmal infizierten System wird es empfohlen ,es neu aufzusetzen.

Würde dir auch raten die Firewall zu aktivieren...

Dieser Beitrag wurde von bartek2k bearbeitet: 18. Juni 2006 - 12:29

[BonanzaFraggle]

Zitat (Deeva: 18.06.2006, 13:01)

- alle ports offen

warum zum Henker denn das?

[Deeva]

@Bonanza

die Ports sind alle offen damit ich nicht ständig diese Beepe machen muß mit ports für programme frei geben

normalere modems haben doch auch keine ports und die leute mit normalen modems leben auch noch !!

@bartek2k

ne firewall... ok... aber nur auf dem PC im router will ich sie nicht so gern einschalten weil dann der halbe rotz auf dem PC nicht mehr ins internetverbinden kann

neu aufspielen heißt bei mir 9 stunden arbeit wenn nicht mehr xD

Dieser Beitrag wurde von Deeva bearbeitet: 18. Juni 2006 - 12:45

[bartii]

Zitat (Deeva: 18.06.2006, 13:40)

aber nur auf dem PC

statt firewall auf dem Pc zu installieren,lade dir lieber von www.dingens.org das Tool runter...

Das deaktiviert alle gefährlichen Dienste ...

Aber bitte keine Firewall bzw Paketfilter installieren,siehe Sicherheitsforum

[ShadowHunter]

Mit was gescannt?

Zitat

- keine Firewall
- alle ports offen

Wahnsinnig? Normal sollten erstmal alle Ports zu sein und die "Firewall" aufm Router auch!
Die Programme hats auch schnell eingerichtet für die du Ports weiterleiten musst.

Zitat

- Windows XP SP2 mit allen Updates
- keine Firewall

löblich, auch wenn eine PFW das wenn dann wäre also keine Firewall im richtigen Sinne ^^

Zitat

Frage 1:
ich selber habe KEINE falschen objekte ausgeführt. kann es also sein das jemand aus meiner nachbarschaft die MAC-Adressen schutz überlistet hat und es dann hinbekommen hat auf meinem PC viren auszuführen obwohl ich gar keine im netzwerk freigegebene ordner habe?

Du machst tor und tür auf....kein WUnder, dass da so einfach jemand reinkommt

Zitat

Frage 2:
kann ich wenn ich viren haben herausfinden wer sie mir geschickt habe wenn ich das von trojaner programmierer auseinanderpfücken lasse? damit ich weiß wer es war zB an hand der email adresse im trojaner?

Einfach bei der Email die dubios scheint, scannen per on demand mit einem vernünftigen Virenscanner

Zitat

Frage 4:
komm ich jetzt am komplett formatieren nicht vorbei oder kann ich meinen PC noch so desinfizieren?

Nein außer du hast ein Image deiner Platte

Zitat

Frage 5:
was würdet in an meiner stelle noch so unternehmen?

System neuaufsetzen, Image aufspielen, Router richtig konfigurieren, Sicherheitskonzept überdenken, Browser richtig einstellen, bestimmte Programme nicht mehr nutzen

Zitat

Frage 8:
kann ich irgendwie auf den router ohne auf werkseinstellungen zurück zu gehen um die IP von diesem Beep rauszufinden. ich würd ihn gerne anzeigen !!!!

Wird wohl schwer

Zitat

Frage 9:
falls ich mein system neu aufspiele... was für schutzmassnahmen sind ratsam aber nicht übertrieben? muss eine firewall sein oder reicht es seine Prozesse zu überwachen?

Schau doch im Sicherheitsforum ins Sticky da stehts
Nein einfach mit den Sysinternalprogrammen etwas schaun, eingeschränkter Benutzer, Dienste ausschlaten und net jeden Mist installieren, dann weisst du auch was für Prozesse laufen!

btw: hier passt der thread besser rein

edit:

Zitat

normalere modems haben doch auch keine ports und die leute mit normalen modems leben auch noch !!

Die haben am PC die Ports geschlossen?!?!

Zitat

ne firewall... ok... aber nur auf dem PC im router will ich sie nicht so gern einschalten weil dann der halbe rotz auf dem PC nicht mehr ins internetverbinden kann

Den rotz nicht nutzen, ansonsten einfach im Router übers Webinterface die Regeln festlegen

Zitat

neu aufspielen heißt bei mir 9 stunden arbeit wenn nicht mehr xD

Wieso denn das bitte?

Dieser Beitrag wurde von ShadowHunter bearbeitet: 18. Juni 2006 - 12:52

[Deeva]

was sind denn Sticky und Sysinternalprogrammen? wo soll ich reinschauen? welchen threat?


@bartek2k

ja. werd ich so machen. danke für den tip

[bartii]

Warum Ist Eine Pfw Schlecht

über Pfws


Sysinternals bietet viele Tools,einfach mal Googlen

[ShadowHunter]

http://www.winfuture...hp?showforum=34
hier die oberen Themen sind Sticky, die sind sozusagen gepint, festgesetzt wie auch immer.
Erklärungen & How To's
das solltest dir mal durchlesen

http://www.sysinternals.com/
Da gibts genug Programme, Process Explorer kannst Prozesse überwachen,
Autoruns erklärt sich von selbst, Filemon und Regmon helfen, Programme die unter einem eingeschränkten Benutzerkonto nicht laufen, zum laufen zu bringen durch Rechteerweiterung.

[Deeva]

gibts auch ein programm mit den man erst gar nicht erlaubt das neue autostarts sich einrichten? ... oder... das man vorher seine erlaubnis geben muß?



ist es empfehlenswert wenn ich vor dem backup gar nicht ins internet gehe?

blöd ist nur das ich alle treiber nie speichere sondern die bekomm ich halt aus dem internet xD



wie kann ich automatische updates bei XP ativieren? manuel oder automatisch?

[ShadowHunter]

Zitat

gibts auch ein programm mit den man erst gar nicht erlaubt das neue autostarts sich einrichten? ... oder... das man vorher seine erlaubnis geben muß?

Starte mal Autoruns und entzieh dem eingeschränkten Benutzerkonto da einfach die Rechte dann gehts nicht, und schau, dass nur noch in Startmenü - Autostarts gewollte drinstehen.
Ansonsten bestimmte Programme dann einfach meiden

Zitat

ist es empfehlenswert wenn ich vor dem backup gar nicht ins internet gehe?

Jo erst ins Netz wenn dein System richtig und sicher eingerichtet ist.
Am besten davor das SP2 laden wenn es net scho in einer XP CD hast, das winfuture update pack und ntsvcfg.de bzw. dingens.org sind ja im prinzip das gleiche!

Zitat

blöd ist nur das ich alle treiber nie speichere sondern die bekomm ich halt aus dem internet xD

Ladest halt von einem sauberen System herunter, anonsten z.b ne Knoppix Live CD nehmen!

[Rika]

So viel Aufwand wegen harmlosen PsKill und Ardamax?
Bestenfalls solltest du mal nachschauen, welche deiner Software Ardamax verwendet und den Autor mal anscheißen, daß er das so undeutlich gestaltet.

[ShadowHunter]

irgendwie hab ich das "not a virus" überlesen
Na dann musst net gleich formatieren aber an einige Dinge wie das mit dem Router etc. solltest dich schon halten!

[Internetkopfgeldjäger]

Hallo Deeva:

wegen Deiner Frage 2:

Du könntest mal versuchen,
mittels SpyBot Search & Destroy
( http://www.safer-net...home/index.html )
herauszufinden, ob eine Software, die Du installiert hast,
Dir das eingeschleppt hat und wenn ja, welche das war.

Dann könntest Du den Tipp von Rika befolgen,
dem Hersteller dieser Software den Marsch zu blasen.

Es gibt aber auch die Möglichkeit, das Du Dir sowas
über eine Webseite geholt hast,
kannst ja mal "Schädlingen auf der Spur"
( http://www.heise.de/...artikel/49687/0 )
lesen.

Achtung!
Ist ziemlich lang,
besteht aus 4 Teilen,
liest sich dafür aber wie ein Krimi.


Gruß, Internetkopfgeldjäger