Anschluß gehackt?

[Audioslave36]

Hallo,
folgendes Szenario:
Ich habe vor ein paar Tagen 4 PC´s in einem Internet-Cafe´ausgetauscht. auf die Computer kam ein neues XP drauf und danach wurde dann die Cafe Software aufgespielt.
derjenige der zuvor die PC´s installiert hatte, hatte wohl auch das Kennwort für die Verwaltungssoftware, jedenfalls kam mir seltsam vor, das er mich auf seinem PC sofort sehen konnte, obwohl ich weder Zugriffsrechte noch ein Netzwerk freigab.
Wie ist das möglich?
Auffallend ist auch, das seit Monaten täglich kein Zugriff aufs Internet für ca 2-3 Stunden ist, obwohl der router signalisiert das er mit dem Internet verbunden ist und die Telekom findet auch keinen Fehler. wie von Zauberhand verschwindet der fehler nach der Zeit dann wieder und alles funktioniert normal.
Mein verdacht nun ist, das der vorige techniker da einiges zu seinem Vorteil eingestellt hat.
Ist das so möglich und wie kann ich das am besten abstellen?

 

[Killermandarine]

Ich glaube, was du schreibst ergibt überhaupt keinen Sinn..

 

[Audioslave36]

Weshalb ergibt das keinen Sinn?
Also, ich habe mit dem telefoniert um das Kennwort abzufragen und währenddessen die Software aufgespielt. Da sagte er zu mir, ich kann Dich jetzt sehen und sagte mir wo ich was eingeben muß
Ich hab das getan, aber mich schon gewundert, wie er das auf seinem Bildschirm verfolgen konnte, obwohl ich ihn nicht dazu eingeladen habe.

 

[Fr34k8885]

eventuel vnc als service im hintergrund laufen

 

[sexychef]

Software oder Internes Netzwerk vermute ich

 

[Audioslave36]

Ich habe selbst XP neu aufgespielt und zuvor alles formatiert, im übrigen sind es auch alles neue Festplatten gewesen.
Es kann meiner Meinung nach nur über die Cafe Software laufen, allerdings ist der Betreiber der Besitzer der Software und nicht nur Mieter. Also dürfte das doch nicht sein, oder. Zumal sowas doch selbst dann nur mit meiner Erlaubnis gehen sollte.
Wie mache ich das am besten zu?

 

[Drakonomikon]

Das ergibt in der Tat keinen Sinn. Ich verstehe nicht so recht was da abläuft.

Du hast PCs ausgetauscht und Win XP installiert? Was heißt ausgetauscht? Wem gehören die alten Rechner und die Neuen? Und wo stehen die denn, bei dir zu Hause?

 

[Scheinweltname]

Ist das ein lokales Netzwerk (Kabel)? Oder über einen WLan-Router? Windows, ungeachtet der Version, baut immer das zeroconfig-Netzwerk auf (IP-Adresse beginnt mit 169.254.), sobald ein Kabel, das mit einem anderen aktiven Gerät verbunden ist, in der Netzwerkkarte steckt. Wenn die Netzwerkerkennung nicht abgeschaltet ist, können sich alle so verbundenen Geräte gegenseitig sehen; da braucht es keine spezielle Software zu (über so ein Netzwerk können Heimnetzwerke oder Verbindungen zu Netzwerkdruckern usf. ohne Router bewerkstelligt werden).

Falls du dem ehemaligen Techniker wirklich kriminelle Energie unterstellen willst, dann ließe sich vermuten, dass er vielleicht per VPN oder so auf den Router zugreifen und so auch die angeschlossenen Rechner sehen kann . Überprüf mal die Einstellungen des Routers, änder das Passwort, stell eine MAC-Adressen-Whitelist ein (nur die MAC-Adressen der Rechner im Cafe), statische IP-Adressen usf. usw.

EDIT: Die Beschreibung, dass er deinen Desktop verfolgen kann, klingt sehr nach aktiviertem Remote-Desktop. Systemsteuerung --> System --> erweiterte Systemeinstellungen --> Remote --> Remote Verbindungen verbieten/ nicht zulassen ... obwohl das bei einem frisch installierten XP eigentlich nicht standardmäßig aktiv sein sollte. Ich würde auch unter Systemsteuerung --> Verwaltung --> Dienste alle Remote-Dienste (Remotedesktopdienste und Remoteregistrierung deaktivieren, Remoteprozeduraufruf muss aktiv bleiben) abschalten (falls du sie nicht selbst brauchst, um von zuhause aus das Netzwerk zu verwalten. Dann solltest du die Anmeldeinformationen bzw. Sicherheitseinstellungen ändern).

EDIT 2: Ist eine Firewall installiert? Eine Remote-Verbindung ist eine unaufgefordert eingehende Verbindung; jede Firewall müsste das blockieren, wenn es nicht explizit zugelassen ist!

 

[Audioslave36]

Danke für die wirklich sehr ausführliche Antwort, gibt eben doch noch Leute die ein Problem ernsthaft verfolgen:-)
Also, was ich noch erwähnen sollte ist, das der Router ebenfalls gewechselt wurde und somit auch der Zugriff über das von ihm installierte Passwort nicht mehr funzt. Aber da er wohl alles installiert hat kann man davon ausgehen, das er alle relevanten Daten besitzt.
Ich werde mal heute so vorgehen wie von Dir beschrieben und dann noch alle Passwörter ändern. Wie mache ich das am besten, ohne das dies zu verfolgen ist? Man hört ja immer von Keyloggern die die Tastenanschläge aufzeichnen. Die virtuelle von XP oder gibt es eine andere Möglichkeit? Ich möchte das gerne so durchführen können, das es wirklich gewährleistet ist, das nur ich die entsprechenden Daten habe. Ich gebe sie natürlich an den Besitzer, aber nur so kann Gewährleistet werden, das unterwegs nicht wieder was kopiert wird.

 

[Scheinweltname]

Wie mache ich das am besten, ohne das dies zu verfolgen ist?

Am besten: Netzwerk abschalten, d.h. "offline" die Einstellungen ändern (Netzwerkkabel entfernen, Router nicht mit dem Provider verbinden); vielleicht im Abgesicherten Modus mit Netzwerktreibern. Gegen Keylogger helfen virtuelle Tastaturen.

Übrigens: Besteht das Netzwerk nur aus Rechnern, die einzeln stehen sollen, oder sollen die auch auf gemeinsame Ressourcen (NAS, Drucker u.ä.) zugreifen können? Wenn keine gemeinsamen Ressourcen vorhanden sind, dann würde ich auch alle Clients in den Netzwerkkarten-Einstellungen deinstallieren (Microsoft Netzwerke, Datei- und Druckerfreigabe, QoS usf); meines Wissens braucht man nur IPv4.

Was für eine Anti-Virensoftware ist auf den Rechnern drauf? Eigentlich sollten alle Vernünftigen Keylogger proaktiv erkennen (z.B. die Security Essentials. Haben auch den Vorteil, dass man ohne Admin-Rechte quasi keine Einstellungen daran ändern kann). Außerdem: Unbedingt die WinXP-Firewall (die Router-Firewall schützt nur gegen Angriffe von außen/ WAN, aber nicht von innerhalb des Netzwerks/ LAN) einschalten, alle Standard-Ausnahmen deaktivieren und "Keine Ausnahmen zulassen" einschalten (falls die Rechner keine Serverfunktionalitäten übernehmen sollen; wovon ich mal nicht ausgehe).

EDIT: Warum eigentlich um Himmels Willen XP? Das ist doch eigentlich nur für masochistisch veranlagte Admins (Win7 und Vista sind viel leichter zu verwalten)

 

[Audioslave36]

Weil er dafür nur Lizenzen hat, aber ich werd mal mit ihm reden.
Ich glaube einen Zugriff auf einen Drucker soll es in naher Zukunft geben, aber bis das soweit ist, schalte ich mal alles ab. Wenn erstmal alles dicht ist dann wird das in Zukunft schon aufhören, wobei ich immer noch die Cafe-Software in Verdacht habe.
Aber danke für die hilfreiche Beschreibung, wird mir in jedem Fall helfen.
Gruß

 

[Enigma]

Man sieht "neue" Rechner auch im DHCP oder im ARP-Cache auf dem Router.