Computer wird kontinuierlich gehackt
 

Moin moin,
Ich habe leider anscheinend eine sehr nervige "fangemeinde", welche in ihrer Freizeit nichts besseres zu tuen hat als meinen PC zu hacken.
Ich Hatte früher nie ernsthafte Probleme mit Trojanern bzw. wenn eines bei mir oder in meinem Bekanntenkreis bestand, konnte google mir ausreichend helfen (also nicht absoluter DAU).
Habe nun auch schon diverse Firewalls und Antivirusprogramme (Bitdefender Avast u.ä.) benutzt. Dies hat leider alles nichts geholfen (PC wurde inzwischen öfter als ich zählen kann formatiert nach kurzer Zeit jedoch wieder eindeutig Fremdgesteuert). Ein umstieg auf Linux schien das Problem gelöst zu haben, ich musste jedoch leider feststellen, dass ich auf diverse Programme für mein Studium angewiesen bin, die leider nur für Windows verfügbar sind somit musste ich wieder umsteigen und das Spiel ging von neuem los.

Meine Fragen wären nun:
1.
Wie man in so einem Fall am besten vorgeht. Windows wirklich sicher machen -geht das überhaupt? Soweit ich die Sache überblicke, hat Windows vom Ansatz her schon ein grundlegendes Sicherheitsproblem.
2. Gibt es vielleicht Tips für gute Hintergrundliteratur die am besten mit den Basics von TCP/IP Kommunikation anfängt? Ich werde nun auch rechtliche Schritte einleiten, aber da ich wahrscheinlcih zeit meines Lebens auf PCs angewiesen seien werde werde ich mich nun mit diesen Themen eingehend beschäftigen.

3. Pics or didn't happen (vielleicht hilft das ja einem von euch):

Hier netstat:
Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Alle Rechte vorbehalten.

C:\Windows\system32>netstat -a -b -o

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status PID
TCP 0.0.0.0:135 Edeltraut-PC:0 ABHÖREN 768
RpcSs
[svchost.exe]
TCP 0.0.0.0:445 Edeltraut-PC:0 ABHÖREN 4
Es konnten keine Besitzerinformationen abgerufen werden.
TCP 0.0.0.0:554 Edeltraut-PC:0 ABHÖREN 3056
[wmpnetwk.exe]
TCP 0.0.0.0:2869 Edeltraut-PC:0 ABHÖREN 4
Es konnten keine Besitzerinformationen abgerufen werden.
TCP 0.0.0.0:5357 Edeltraut-PC:0 ABHÖREN 4
Es konnten keine Besitzerinformationen abgerufen werden.
TCP 0.0.0.0:10243 Edeltraut-PC:0 ABHÖREN 4
Es konnten keine Besitzerinformationen abgerufen werden.
TCP 0.0.0.0:20706 Edeltraut-PC:0 ABHÖREN 1440
[mitsijm.exe]
TCP 0.0.0.0:49152 Edeltraut-PC:0 ABHÖREN 452
[wininit.exe]
TCP 0.0.0.0:49153 Edeltraut-PC:0 ABHÖREN 900
eventlog
[svchost.exe]
TCP 0.0.0.0:49154 Edeltraut-PC:0 ABHÖREN 1016
Schedule
[svchost.exe]
TCP 0.0.0.0:49155 Edeltraut-PC:0 ABHÖREN 536
[lsass.exe]
TCP 0.0.0.0:49156 Edeltraut-PC:0 ABHÖREN 512
[services.exe]
TCP 127.0.0.1:1120 Edeltraut-PC:55894 WARTEND 0
TCP 127.0.0.1:1120 Edeltraut-PC:55895 WARTEND 0
TCP 127.0.0.1:1120 Edeltraut-PC:55897 WARTEND 0
TCP 127.0.0.1:5357 Edeltraut-PC:55899 WARTEND 0
TCP 127.0.0.1:5357 Edeltraut-PC:55900 WARTEND 0
TCP 127.0.0.1:61895 Edeltraut-PC:61896 WARTEND 0
TCP 192.168.0.113:139 Edeltraut-PC:0 ABHÖREN 4
Es konnten keine Besitzerinformationen abgerufen werden.
TCP 192.168.0.113:55865 fa-in-f94:https HERGESTELLT 2944
[chrome.exe]
TCP 192.168.0.113:55872 ham02s11-in-f7:http HERGESTELLT 2944
[chrome.exe]
TCP 192.168.0.113:55891 ham02s11-in-f9:https HERGESTELLT 2944
[chrome.exe]
TCP 192.168.0.113:55892 qro01s11-in-f24:http WARTEND 0
TCP 192.168.0.113:55893 www:http WARTEND 0
TCP 192.168.0.113:55896 ham02s11-in-f1:http WARTEND 0
TCP 192.168.0.113:55898 iir:3724 WARTEND 0
TCP [::]:135 Edeltraut-PC:0 ABHÖREN 768
RpcSs
[svchost.exe]
TCP [::]:445 Edeltraut-PC:0 ABHÖREN 4
Es konnten keine Besitzerinformationen abgerufen werden.
TCP [::]:554 Edeltraut-PC:0 ABHÖREN 3056
[wmpnetwk.exe]
TCP [::]:2869 Edeltraut-PC:0 ABHÖREN 4
Es konnten keine Besitzerinformationen abgerufen werden.
TCP [::]:3587 Edeltraut-PC:0 ABHÖREN 3336
p2pimsvc
[svchost.exe]
TCP [::]:5357 Edeltraut-PC:0 ABHÖREN 4
Es konnten keine Besitzerinformationen abgerufen werden.
TCP [::]:10243 Edeltraut-PC:0 ABHÖREN 4
Es konnten keine Besitzerinformationen abgerufen werden.
TCP [::]:49152 Edeltraut-PC:0 ABHÖREN 452
[wininit.exe]
TCP [::]:49153 Edeltraut-PC:0 ABHÖREN 900
eventlog
[svchost.exe]
TCP [::]:49154 Edeltraut-PC:0 ABHÖREN 1016
Schedule
[svchost.exe]
TCP [::]:49155 Edeltraut-PC:0 ABHÖREN 536
[lsass.exe]
TCP [::]:49156 Edeltraut-PC:0 ABHÖREN 512
[services.exe]
UDP 0.0.0.0:427 *:* 2132
HPSLPSVC
[svchost.exe]
UDP 0.0.0.0:500 *:* 1016
IKEEXT
[svchost.exe]
UDP 0.0.0.0:3702 *:* 976
EventSystem
[svchost.exe]
UDP 0.0.0.0:3702 *:* 2500
FDResPub
[svchost.exe]
UDP 0.0.0.0:3702 *:* 976
EventSystem
[svchost.exe]
UDP 0.0.0.0:3702 *:* 2500
FDResPub
[svchost.exe]
UDP 0.0.0.0:4500 *:* 1016
IKEEXT
[svchost.exe]
UDP 0.0.0.0:5004 *:* 3056
[wmpnetwk.exe]
UDP 0.0.0.0:5005 *:* 3056
[wmpnetwk.exe]
UDP 0.0.0.0:5355 *:* 1064
Dnscache
[svchost.exe]
UDP 0.0.0.0:49642 *:* 2500
FDResPub
[svchost.exe]
UDP 0.0.0.0:49644 *:* 976
EventSystem
[svchost.exe]
UDP 0.0.0.0:61014 *:* 976
EventSystem
[svchost.exe]
UDP 127.0.0.1:1900 *:* 2500
SSDPSRV
[svchost.exe]
UDP 127.0.0.1:61880 *:* 2500
SSDPSRV
[svchost.exe]
UDP 192.168.0.113:137 *:* 4
Es konnten keine Besitzerinformationen abgerufen werden.
UDP 192.168.0.113:138 *:* 4
Es konnten keine Besitzerinformationen abgerufen werden.
UDP 192.168.0.113:427 *:* 2132
HPSLPSVC
[svchost.exe]
UDP 192.168.0.113:1900 *:* 2500
SSDPSRV
[svchost.exe]
UDP [::]:500 *:* 1016
IKEEXT
[svchost.exe]
UDP [::]:3540 *:* 3336
p2pimsvc
[svchost.exe]
UDP [::]:3702 *:* 976
EventSystem
[svchost.exe]
UDP [::]:3702 *:* 2500
FDResPub
[svchost.exe]
UDP [::]:3702 *:* 2500
FDResPub
[svchost.exe]
UDP [::]:3702 *:* 976
EventSystem
[svchost.exe]
UDP [::]:4500 *:* 1016
IKEEXT
[svchost.exe]
UDP [::]:5004 *:* 3056
[wmpnetwk.exe]
UDP [::]:5005 *:* 3056
[wmpnetwk.exe]
UDP [::]:5355 *:* 1064
Dnscache
[svchost.exe]
UDP [::]:49643 *:* 2500
FDResPub
[svchost.exe]
UDP [::]:49645 *:* 976
EventSystem
[svchost.exe]
UDP [::]:61015 *:* 976
EventSystem
[svchost.exe]
UDP [::1]:1900 *:* 2500
SSDPSRV
[svchost.exe]
UDP [::1]:61879 *:* 2500
SSDPSRV
[svchost.exe]
UDP [fe80::a8dd:539:4a35:2d9a%14]:1900 *:* 2500
SSDPSRV
[svchost.exe]

und der mit LaMA-Creation-Portscanner durhcgeführte Portscan:

LaMa-Creation Portscanner

Port 135 IP fe80::a8dd:539:4a35:2d9a%14 Port offenOPC with DCOM

Port 445 IP fe80::a8dd:539:4a35:2d9a%14 Port offenCIFS;SMB/CIFS over TCP

Port 554 IP fe80::a8dd:539:4a35:2d9a%14 Port offenkshell, Kerberos Remote shell;Real Time Streaming Protocol

Port 2869 IP fe80::a8dd:539:4a35:2d9a%14 Port offenUPnP (Universal Plug and Play)

Port 3587 IP fe80::a8dd:539:4a35:2d9a%14 Port offenp2pgroup (Peer to Peer Grouping)

Port 5357 IP fe80::a8dd:539:4a35:2d9a%14 Port offenWeb Services for Devices (WSDAPI)

Port 10243 IP fe80::a8dd:539:4a35:2d9a%14 Port offenUPnP connection to Windows Media Player Network Sharing Service

Port 49152 IP fe80::a8dd:539:4a35:2d9a%14 Port offenDCOM (Distributed Component Object Model)

Port 49153 IP fe80::a8dd:539:4a35:2d9a%14 Port offenDCOM (Distributed Component Object Model)

Port 49154 IP fe80::a8dd:539:4a35:2d9a%14 Port offenDCOM (Distributed Component Object Model)

Port 49155 IP fe80::a8dd:539:4a35:2d9a%14 Port offen

Port 49156 IP fe80::a8dd:539:4a35:2d9a%14 Port offenDCOM (Distributed Component Object Model);Azureus

Port 60492 IP fe80::a8dd:539:4a35:2d9a%14 Port offen

Port 64563 IP fe80::a8dd:539:4a35:2d9a%14 Port offen

Port 64564 IP fe80::a8dd:539:4a35:2d9a%14 Port offen

Port 64565 IP fe80::a8dd:539:4a35:2d9a%14 Port offen

Port 64566 IP fe80::a8dd:539:4a35:2d9a%14 Port offen



Ich hoffe ich habe das nun im richtigen Forum gepostet... wenn nicht tut es mir leid war keine Absicht jungs und mädels :)

So danke schonmal und ein schoenes Wochenende
Homer

Das glaub ich so nicht. Von außen ist dein PC, auch wenn er mit Windows und ohne Virenscanner läuft, fast unhackbar sofern nicht wirklich jede Grundsicherung über den Jordan geworfen worde.

Deine Fangemeinde muss ohne dein Zutun deinen Router und dann noch die Windows-Firewall überwinden? Nein das glaub ich nicht. Das wirst du kräftig mitgemacht haben, irgendwas leichtfertig installiert oder nen dämlichen Internet-Link angeklickt etc. pp.

Poste mal, wie du darauf kommst, dass dein PC ständig gehackt sei, wie die angebliche Fremdsteuerung denn nun im Detail aussah.

Nun ja:

Vor einger Zeit z.B. das Programm von InfoWatch Cryptostorage auf dem Computer gefunden. (Neben einer aktiven Remotedesktopverbindung und noch mehr unerwünschten und auch nie installierten Programmen)

Als ich wiedereinmal herausgefunden hatte das mein PC gehackt wurde (glaube dieses mal waren es mausbewegung und verbindungsprobleme) und es einem Bekannten über internet schrieb, wurde der PC sehr langsam, die Festplatte war komplett ausgelastet und auch erhöhter Prozessor aktivität. Der PC startete sich ohne jegliche Meldung neu. Die Fritzbox Verbindungsprotokolle wurden auch komplett gelöscht....

In meinem Internetdatenbanking erschien zum Beispiel ein um 90° gedrehtes Fenster zur optischen Tan erzeugung mit falschen Kontodaten und Beträgen.

Gestern abend wurde der PC wieder sehr langsam und hatte Verbindungsprobleme, habe dann mal wieder nach it sicherheitstehmen gesucht (Fefe's blog) und höre dann auf einmal den Windows "Abmeldesound" im Anschluss wurde einer der 2 Bildschirme kurz schwarz (etwa 1/2 Sekunde) und die Performanceprobleme und Internetverbindungsauslastung waren wundergeheilt.

Auch schön: Ehemalige Arbeitskolege spricht mich auf private e-mails an von denen er keine Kenntnis haben kann

Router in vorheriger Wohnung wurde eine Fritzbox verwendet, die ja bekanntermaßen ein Exploit besaß....

Treiber und Windows sind immer aktualisiert worden... Die Sympthome wurden auch an einem PC und einem Laptop beobachtet, also ist eine Defekte Hardware o.Ä. fast gänzlich auszuschließen.

Denke halt schon, dass die Leute wissen was sie tun und unhackbar ist ein PC bei 17 schon geöffneten Ports wohl eher nicht. Wobei ich natürlich nicht ausschließen kann, dass ich einen Fehler gemacht habe, es handelt sich ja hier um eine ganze Sicherheitskette.

Zwischenzeitlich habe ich auch sehr auf mein Internet-verhalten geachtet (lediglich Virenprogramm, Browser (Chrome) mit Flash für YouTube noch Erweiterungen wie noscript und Adobe Reader) und keine boesen seiten, leider gleiches Ergebnis.

Wenn du dir einen vorinstallierten Rechner kauft ist das kein Wundern wenn da Tonnen an Ballast von unnötiger Software drinsteckt. Weil du es nicht installiert hast, heißt das nicht, dass diese Software illegitim ist, wenn auch sie für dich irrelevant sein mag.

Und deswegen hat dein Arbeitskollege deinen Rechner auch gehackt?
Sry aber gerade bei Mails gibt es sehr viel mehr Möglichkeiten daran zu kommen. Oder glaubst du du kommst nur mit deinem Rechner an dein Mailaccount?

Naja, ein Exploit nutzt eine Schwachstelle aus und viele Router sind mit Schwachstellen aufgefallen. Natürlich muss man hin und wieder auf die Router-Firmware updaten, nicht nur das Betriebssystem und die darauf installierten Programme.

Von außen gibt es aber die Hürde Router und selbst wenn die geschafft ist immer noch die Windows-Firewall.


Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner, sind die mal fündig geworden?

Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs in CODE-Tags posten!
Relevant sind nur Logs der letzten 7 Tage bzw. seitdem das Problem besteht!



Zudem bitte auch ein Log mit Farbars Tool machen:

Scan mit Farbar's Recovery Scan Tool (FRST)

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hmm danke für deine Hilfe.... hast du vielleicht einen Tipp für ein gutes Buch zu diesem Thema?

Ein Buch? Was hat das mit meinem letzten Posting zu tun?

Entschuldige bitte, mit deinem Beitrag hat das nichts zu tun, aber mit meinen, im ersten Beitrag, ursprünglich gestellten Fragen. Vielleicht hätte ich das Thema besser wählen sollen....

Es ging mir nie um das ausführen von irgendwelchen Tools, auch wenn diese für die Diagnose und die Bekämpfung sicher hilfreich seien können und für die schnelle Ferndiagnose mit Sicherheit das Mittel der Wahl. Der Lerneffekt ist bei dieser Methode für mich allerdings fast gleich null und somit eine kurzfristig gedachte Lösung.

Mir ging es hauptsächlich darum, dass ich Tipps oder Quellen zum Selbststudium bekomme, um eine fundierte Wissensbasis aufbauen zu können, die mir dann langfristig hilft solchen Problemen in Zukunft aus dem Weg gehen zu können.

Und was hast du jetzt vor? Setz meine Intrukstionen mit FRST usw um oder lass es bleiben, wenn letzteres werden wir nicht die Chance haben zu erfahren was denn jetzt los war. Sofern dein System überhaupt gehackt wurde.

Nein danke wirklich nicht.... Ich finde nicht einmal den Quellcode zu dem Tool.
Um zu wissen, dass dieser PC ein Geisterleben führt brauche ich es sowieso nicht.

Und wenn du das Fritzbox Exploit von dem ich gesprochen habe, als ja man muss ja mal seine Firmware aktualisieren abtust, lässt mich das an deinem Fachwissen zweifeln.... Vielleicht willst du diese Lücke ja schließen:
so leicht ist die Fritz.Box zu hacken
Ist die erstbeste Seite die big G ausspuckt... und genau das ist mir alles passiert....

Des weiteren hatte ich ursprünglich zwei Fragen gestellt, die ich gerne beantwortet haben wollte... bzw. schon über Tips dankbar gewesen wäre.
Diese hast du aber einfach komplett ignoriert, selbst als ich dich freundlich darauf hingewiesen habe, hast du unbeirrt mit dem TB Schema F weitergemacht: lade das runter, führe das aus, poste das, an welchem ich NIE Interesse geäußert habe.

Dieses Forum scheint auf jeden Fall nicht das richtige für mich zu sein. Und wenn ihr euren Hilfesuchenden suggeriert, dass ein ausführen von 3-4 Tools alle Viren von einem Computer löscht, ist das für mich Fahrlässig.

oh direkte links sind wohl nicht erlaubt... aber google suche hilft

Ist jetzt nicht dein Ernst oder? :dummguck:
Wenn doch, dann schmeiß dein Windows weg, dann das ist closed source ;)

Und was wolltest du thematisieren? Es interessiert dich also die Ursache nicht, die wir mit unseren Tool herausfinden könnten?

Sry aber was ist das denn für ein substanzloses blabla? :wtf:

Joa, Bereinigung der Kiste hat Prio, Tausende von User haben kein Problem damit
Tiefgreifende Kenntnis in TCP/IP bringt dich so nicht direkt weiter, dann kannste zwar Netzwerke administrieren, wie mancher Schädling tickt weißt du aber immer noch nicht. Und Schädlinge mit netstat aufspüren kannste eh vergessen.

Wenn man keine Ahnung hat...naja, kennst ja den Spruch von Dieter Nuhr :D

Nun ja diese Tool postet schon hart viele Daten in den von euch geforderten logs und ich bin inzwischen vorsichtig was ich ausführe.... und ob ich diese Daten hier preisgeben möchte? Was weiß ich denn was da alles drinsteht und was im Hintergrund abläuft? Habe zu den meisten Themen nur gefährliches Halbwissen und das Internet ist voller Verrückter, hat dir deine Mama das nie gesagt :P?

Windows nicht benutzen geht leider nicht siehe oben.... würde liebend gerne auf Linux umsteigen, was wie gesagt, leider nicht geht da ich einfach auf manche Programme angewiesen bin... oder sind die VMs inzwischen benutzbar?

Das man mit Netstat nichts herrausfindet überrascht mich eher weniger, habe auch u.a. Wireshark benutzt, verstehe nur halt die ganzen Daten da nur so halb was ich halt gerne ändern würde (Stichwort TCP/IP -Kommunikation).

Die Quelle ist mir inzwischen ziemlich Wurst PC formatieren Bios neu aufsetzen (kill it with fire). Oder mache ich damit deiner Meinung nach einen Fehler?

Ich habe nie behauptet das ich Ahnung habe, sonst wäre ich ja nicht in diesem Forum als Hilfesuchender :D

Repelling the Wily Hacker scheint mir zum Beispiel ein guter Anfang zu sein... Wie gesagt ich hatte nie vor FRST o.Ä. auszuführen. Und wie ich schon erwähnte tut es mir leid wenn wir uns da missverstanden haben. Ich brauche halt ein Grundverständnis in Schadsoftware und wie man sie vermeiden kann, denn das Problem tritt regelmäßig auf, womit ich praktisch zum Dauergast hier werden würde.
Das macht, euch und mir, im Endeffekt glaube ich mehr Arbeit, als wenn ich mich ein bisschen schlau mache und da dachte ich halt Leute die bereits schlau sind könnten mir da helfen einen guten Einstieg zu finden.

Das Exploit, um sich hier noch einmal an Kleinigkeiten aufzuhalten, ist (Meiner Meinung nach) sehr übel gewesen und was daran sinnloses blabla seien soll, kann ich leider nicht nachvollziehen. Einen Vollzugriff auf alle, über das Netzwerk kommunizierten Daten, finde ich halt schon sehr sehr bedenklich. Vielleicht magst du es mir ja erklären wo du meine Denkfehler siehst?

Ich hatte wie gesagt nie ernste Probleme z.B. einen BKA Trojaner zu entfernen. Wenn das Problem so einfach wäre, würde ich nicht hier fragen. Es macht sich halt eine Gruppe von Leuten einen Spass daraus meinen PC zu hacken und nun muss ich mich leider doch eingehender mit Computern die unter Windows laufen beschäftigen.
Finde das Thema halt eher langweilig, man muss diesen Computern immer alles schritt für schritt vorkauen von alleine lernen die Biester ja nichts (ok stimmt vielleicht nicht ganz aber den Lernalgorithmus müsste ich ihm dann doch haarklein erklären)

Trotzdem danke für deine mühe :*

Da du hier nicht mit Fakten bzw Logs rüberkommen willst ist das hier einfach nur sinnloses blabla. Wie Logs anonymisiert werden steht in dem Thread für Hilfesuchende => http://www.trojaner-board.de/69886-a...-beachten.html

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

Logs sind unauffällig. Aber: Woher hast du diese ganze Autodesk-Software?

Hmm magst du mir dann vielleicht noch erklären warum FRST mir in Internet Whitelisted "Firefox" anzeigt?
Ach ja und warum hat meine 1TB Festplatte zwei Partitionen habe ich nicht so eingestellt....
Autodesk bietet Studenten von Ingneniueursstudiengängen kostenlose, aber leider auf 3 Jahre begrenzt gültige Versionen an.