Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Überwachung, Datenschutz und Spam (https://www.trojaner-board.de/uberwachung-datenschutz-spam/)
-   -   Fremdkontrolle über PC? (https://www.trojaner-board.de/183633-fremdkontrolle-pc.html)

hotrockin 22.12.2016 12:18
Fremdkontrolle über PC?
 
Hallo,
ich habe folgendes Problem bei einem PC:
Der PC (Windows 7 SP1 mit allen aktuellen Patches) kird als Kasse eingesetzt. Deshalb ist außer Windows nur das Kassenprogramm installiert. Als Antivirenprogramm läuft ein Symantec Endpoint-Protection Client. Acrobat Reader DC und Firefox sind die einzigen installierten Standardtools. Über ein Securepoint-VPN-Gateway wird eine VPN-Verbindung zur Zentrale zum Datenaustausch aufgebaut. Teamviewer 11 wurde mit dem Kassenprogramm installiert und als Dienst immer automatisch gestartet. Die Installation ist ca. 1 Woche alt, im Internet gesurft wird an dem PC nicht, es ist auch kein Mailprogramm eingerichtet.
Gestern bekam ich einen Anguf von den Verkäuferinnen, daß sich Firefox geöffnet hätte. Folgende Seiten waren offen:
whoer.net/de und 3x google mit den Suchbegriffen "Steam gift card", "Steam gift card netherlands" und "belden nl". Ich ließ den PC sofort ausschalten, weil vor kurzem etwas ähnliches geschah und anschließend ein Crypto-Virus auf dem PC war (deshalb die Neuinstallation). ca. 15 Minuten später ließ ich den PC einschalten und überprüfte per Mikogo auf den PC. Symantec fand im Komplett-Scan nur ein Tracking-Cookie, Anti-Malwarebytes fand garnichts, System-Explorer fand keine verdächtigen Prozesse. Im Ereignisprotokoll von Windows waren zur betroffenen Zeit keine Einträge zu finden, die Aufschluss geben könnten. Über Teamviewer war niemand auf dem PC (Nach Aussage des Teamviewer-Supports, denen ich das Log-File zukommen lies). Mikogo wird nur auf Anforderung von uns gestartet und war es zu dem Zeitpunkt nicht. Als Ports habe ich auf dem PC nur 445 geöffnet, damit der Datenaustausch funktioniert. Im Router sind zusätzlich die Ports 1433 und 1434 freigegeben (SQL). Wie könnte der Angreifer auf den PC gelangt sein?
Ich habe nun Firefox und Teamviewer deinstalliert, in der Internet-Optionen des IE ein Loopback als Proxy eingetragen, die DNS-Eintragung überprüft und die Möglichkeit de RDP-Zugriffs deaktiviert. Ein mulmiges Gefühl bleibt aber. Was kann ich sonst noch tun?

cosinus 22.12.2016 12:32
Zitat:
Zitat von hotrockin (Beitrag 1630418)
, im Internet gesurft wird an dem PC nicht
Das weiß du woher? Weil nicht gesurft werden soll oder weil es technisch verhindert wird?


Zitat:
Zitat von hotrockin (Beitrag 1630418)
Im Router sind zusätzlich die Ports 1433 und 1434 freigegeben (SQL)
Das glaub ich jetzt nicht! Jeder kann von außen aus dem INternet DIREKT die MSSQL-Server dieses Kassensystems ansprechen?! Echt jetzt?? :wtf: :balla: :wtf:


Zitat:
Zitat von hotrockin (Beitrag 1630418)
Als Ports habe ich auf dem PC nur 445 geöffnet
Auch zum Internet hin? :applaus:
Oder nur intern im LAN erreichbar?


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:47 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28