ComputerBase Menü
Aktuelles

Hat sich jemand Zugang zu meinem PC verschafft

E

ezze

Cadet 2nd Year
Registriert
Sep. 2005
Beiträge
24
Hi,

ich habe folgende Fragen, bzw Problem:

Mein PC (WinXP Prof. SP2) geht per Netzwerkkabel über meinen Router (T-Sinus 154 Basic [WLAN]) online. Als ich grade auf die Netzwerkverbindung im Systemtray geklickt habe, stellte ich fest dass die Anzahl der gesendeten Pakete extrem hoch war:

ca 4.300.000.000 (gesendet) und ca. 250.000 (empfangen)

Im Normalfall ist die Ratio von "gesendet":"empfangen" 1:1 bei mir.
Deshalb stellt sich jetzt die Frage woher die grosse Paketanzahl kommt?
Die genannten Paketzahlen sind in einem Zeitraum von 13 Stunden entstanden, davon habe ich den Rechner ca 4 Stunden aktiv genuzt. In dieser Zeit habe ich lediglich normal gesurft und nur einige kleinere Videos angeguckt. Ich habe keine Dateien oder ähnliches per eMail o.ä. hochgeladen, irgendein Filesharing Tool lief auch nicht. Nur Trillian lief als einziges Programm dass aufs Netz zugegriffen haben könnte.
Ich habe das Programm "Netlimiter" ebenfalls ständig laufen. Hier wird für die genannte Zeit ein Datenvolumen von 220MB (empfangen) und nur 10MB (gesendet) angezeigt.
Eine Netzwerkverbindung zu einem anderen Rechner im Netzwerk besteht auch nicht.
Das Netzwerk besteht aus einem Router, Repeater und 2 PCs (Welche nicht direkt aufeinander zugreifen können). Die Firewall im Router ist aktiviert und die Funkverbindungen sind über WEP-Verschlüsselung gesichert. Routerpasswort und WEP-Passwort sind verschieden und dürften nicht leicht zu erraten sein. Die Sicherheits-Log-Datei in der Routerverwaltung zeigt nichts auffälliges, bzw keine Versuche sich unberechtigt im Netzwerk anzumelden. Zusätzlich ist die WINXP Firewall noch aktiviert. Der Virenscanner ist ebenfalls aktiv und up-to-date.

Könnte sich evtl doch jemand Zugang zu meinem Rechner verschafft haben und so auf private sowie geschäftliche Daten zugegriffen, bzw übertragen haben?

Ich meine mich erinnern zu können dass ich einen ähnlichen Vorfall (auch extrem hohe Zahl gesendeter Pakete) vor einem halben Jahr bereits schonmal hatte. Daraufhin hatte ich vorsichtshalber alle Netzwerk-, sowie Betriebssystempasswörter geändert.

Wäre nett wenn ihr mir helfen könntet,

Danke

EzzE
 
Zuletzt bearbeitet:
über WEP-Verschlüsselung gesichert....

Du weißt schon, dass man diese Verschlüsselng in die Tonne drücken kann, oder ?
Den jeder mit ein bissel Ahnung und den nötigen Tools wie AirSnort und ähnlichem den Netzwerkverkehr sniffen kann und bei WEP dadurch den KEY generieren kann.
Ich kann dir nur raten einen andere Verschlüsselung zu nehmen (WPA).
Des weiteren SSID verstecken, MAC-Adressen Filterung, VPN Tunnel über die Verbindung, DHCP auschalten usw.
 
Ist schwierig von außen jetzt eine sichere Aussage zu machen. Aber die 220 MB könnten z.B. auch ein Windowsupdate sein (jedenfalls ein Teil). Vielleicht hast du ja keine Windowsupdates installiert, und das Automatische Windowsupdate hat das freundlicherweise für dich gemacht. Aber kommt da nicht eine Bestätigung?
Ist wirklich nur eine wage Vermutung...

Generell ist WLAN nie sicher, auch WPA kann man knacken, wenn man Zeit und Lust hat. WEP ist natürlich fast schon eine Einladung.:rolleyes: Ich hoffe das wenigstens dein Passwort sinnlos ist, also keine Wörter sondern einfach wild auf der Tastatur rumgeschlagen (weuihbfkwejfaerfof). Dann kann man es immerhin mit diesen Tools die einfach Wörterbücher durchgehen nicht knacken. Aber wie gesagt, generell ist es immer möglich.

Eigendlich sollte in der Router LOG doch was stehen, oder? Nicht "gehackt" aber wenigstens das sich um eine bestimmte Uhrzeit jemand normal eingeloggt hat, wo du sicher weißt da du es nicht warst.

---------

Ganz blöde andere Frage, wenn ihr zwei PCs habt, könnte dann nicht der Besitzer des zweiten PCs deinen für irgendwas gebraucht haben? Will nichts unterstellen, aber es wäre die einfachste Erklärung.

----

Denn wie gesagt, sonst wird es echt schwer mit dem Raten nach der Ursache.
 
Ich kann mich da nur onkelmaka anschließen. Nur was ist ein VPN Tunnel? Erklär mal bitte.
 
VPN ist ein Virtuelles privates Netzwek
Das bedeutet das du hier in deutschland ein Firmennetzwerk hast und eins in Canada und diese verbindest du übers Internet durch einen sogenannten VPN-Tunnel.
dadurch kannst auf jeden Rechner ob hier oder in Canada zugreifen als wenn er in deinem hiesigen Netzwerk wäre.

Das hat aber mit einem einzigen Heimnetzwerk nichts zu tun und wäre deshalb auch unnütz.
Es sei denn du kennst jemand der gerne sein Netzwerk mit deinem verbinden möchte damit ihr im quasi selben Netzwerk seit.
Njaja, wer´s braucht!?

WEP-Verschlüsselung ist fürn Popo
So braucht man für eine 64Bit-WEP-Verschlüsselung grade mal 4 Sekunden Rechenzeit.
(wie man in Screenshot sehen kann.)
Wobei wir 15 Minuten gebraucht haben um die Pakete, zu erzeugen und zu sniffen, die wir brauchten. (Wir haben unseren eigenen Router dafür missbraucht!!!)
WEP mit 128Bit braucht etwas länger und 265Bit nochmal was länger aber wir haben ja Zeit.

WPA ist zwar auch schon ganz nett aber das sicherste, im Moment erhältliche, ist WPA2.
Intel hat da schon was nettes ausgeklügelt das man mit 2 APs ein Areal festlegen kann in dem Man ein Benutzer ist und alles was nicht in diesem Areal ist kann zwar eine Verbindung haben bekommt aber keine Daten.

SSID verstecken ist auch fast sinnlos, hilft aber schonmal wenn da nur Noobs am Werk sind.
Und den Zugriff auf MAC-Adressen beschränken hält auch nur Kinder ab, ist aber grade deswegen nicht ganz sinnfrei.

Wardriven wird langsam zum Hobby für unterbelichtete Kiddys.

Deswegen steh ich voll auf Netzwerkkabel.!!!
 

Anhänge

  • 1.JPG
    1.JPG
    50,6 KB · Aufrufe: 292
Zuletzt bearbeitet:
VPN = virtuelle private Netzwerke

Du kannst so zum Beispiel auch eine Strecke über das Internet verschlüsselt tunneln.
Das Internet wird nur als Trägermedium benutzt; funkioniert nach der Einrichtung aber wie ein "normales" Netzwerk. (Freigaben, IP-Adressen aus dem Privaten IP-Bereich 192.x.x.x zb)
Nun kannst du auch eine VPN-Verbindung von deinem Client-PC aus zum Router herstellen.
Das Bedeutet, dass du über die eigentlich Verschlüsselung ( WPA ) die Packete nochmals mit VPN verschlüsselst.

Und ich möcht den sehen, der erst die VPN (IPSec) entschlüsselt und danach noch das WPA... viel Spaß.
 
Das mit dem VPN Tunnel ist ja geil. Habe ich das jetzt richtig verstanden wenn ich mich jetzt mit einem Kumpel vernetzten will über internet mache ich das über VPN Tunnel und der kann dann per Internet auf meine freigegeben Ordner und Daten zugreifen und umgekehrt? Wenn ja wie richtet man sowas ein?
 
catdog schrieb:
Das mit dem VPN Tunnel ist ja geil. Habe ich das jetzt richtig verstanden wenn ich mich jetzt mit einem Kumpel vernetzten will über internet mache ich das über VPN Tunnel und der kann dann per Internet auf meine freigegeben Ordner und Daten zugreifen und umgekehrt? Wenn ja wie richtet man sowas ein?
Zum Vergrößern anklicken....

RTFM
Read The Fuckin Manual !!

Lese die Gebrauchsanweisung.

Aber kurzum dazu braucht einer von beiden eine Statische IP sonnst macht das keinen richtigen sinn.!!

OnkelMaka schrieb:
VPN = virtuelle private Netzwerke
Und ich möcht den sehen, der erst die VPN (IPSec) entschlüsselt und danach noch das WPA... viel Spaß.
Zum Vergrößern anklicken....

Hier !!
4 Stunden hats gedauert

Man mus garnet das VPN knacken sondern den Router.!!
Ihr fangt das immer an der falschen Stelle an!
 
oh schuldigung :)
ich wollte da nun ned so ein Fass aufmachen.
Ich dachte VPN wäre ned mehr so ne neue Sache uns allseits bekannt.

Und wenn du den Router knackst ist des unfair.
 
Zuletzt bearbeitet:
Ich würde vermuten, dass dein Rechner aus irgenwelchen Gründen diese Zahl anzeigt.
4.300.000.000 Pakete wollen erstmal hochgeladen werden... Von daher glaub' ich nicht, dass es eine Attacke von außen war, zumal ich dann, wenn ich schon deinen Rechner knacke, mehr anstellen würde, als nur deinen Traffic hochzutreiben.
 
OnkelMaka schrieb:
oh schuldigung :)
ich wollte da nun ned so ein Fass aufmachen.
Ich dachte VPN wäre ned mehr so ne neue Sache uns allseits bekannt.

Und wenn du den Router knackst ist des unfair.
Zum Vergrößern anklicken....

alles locker, geht ja nur darum aufzuzeigen das man im WLAN nicht unbedingt sicher ist.

twisteeer schrieb:
Ich würde vermuten, dass dein Rechner aus irgenwelchen Gründen diese Zahl anzeigt.
4.300.000.000 Pakete wollen erstmal hochgeladen werden... Von daher glaub' ich nicht, dass es eine Attacke von außen war, zumal ich dann, wenn ich schon deinen Rechner knacke, mehr anstellen würde, als nur deinen Traffic hochzutreiben.
Zum Vergrößern anklicken....

Genau
wenn du soviel Upload gehabt hast solltest du wesentlich mehr Download haben als die par Paketchen.
Da hat sich Windows wohl ein bisschen verzählt.
oder du probierst grade nen anderen Rechner aufzuhängen dann kommt nämlich nichts zurück.
aber deine Trafficanzeige sollte das eigentlich mitbekommen.

Wenn jemand aktiv dein Netzwerk hackt bemerkst du das wenn die Verbindung im WLAN andauernd weg ist.

Passives Sniffen hingegen merkst du nicht.
bei einer WEP-Verschlüsselung würde ich alle 10GB Traffic den 256Bit Schlüssel tauschen.
arbei, Arbeit, ARBEIT.!!
dann wär es aber sicher gegen abhören/sniffen. Denn was man dann als Schlüssel rausrechnet wäre totaler Müll!
 
Zuletzt bearbeitet:
Für mich klingt's nach einem typischen Microsoft-Fehler.
Beobachte das Ganze einfach mal und melde dich wieder, wenn's erneut auftritt.
 
Hi, also erstmal danke für eure schnelle Hilfe.

Ich benutze zur Zeit eine WEP128 Verschlüsselung, die ich aber im laufe der Tage dann in eine angesprochene WPA2 umändern werde. SSID ist versteckt und MAC-Filter ist auch aktiv.

Die Frage ob die hohe Paketzahl durch einen netzwerkinternen Zugriff entstanden sein könnte, kann ich klar verneinen, denn der 2. Rechner war ausgeschaltet und zudem sind die beiden Rechner nicht so konfiguriert dass sie aufeinander zugreifen können.

In einem anderen Forum (welches aber nicht so kompetent wie das hier ist *schleim*) wurde ich gebeten ein HiJackThis-Log zu posten, vielleicht wollt ihrs auch noch sehen, obwohl ihr mir mit euren Antworten schon etwas die Sorge genommen habt.

=============================================================

Logfile of HijackThis v1.99.1
Scan saved at 14:58:49, on 28.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\programme\powerstrip\pstrip.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\NetLimiter\NetLimiter.exe
C:\Programme\Anti-Blaxx\Anti-Blaxx.exe
C:\Programme\AutoSizer\AutoSizer.exe
C:\Programme\Eraser\eraser.exe
C:\Programme\OnlineControl\ocontrol.exe
D:\Programme\Sony Ericsson\Mobile\audevicemgr.exe
C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
d:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE
d:\Programme\Intuwave Ltd\Shared\mRouterRunTime\mRouterRuntime.exe
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
D:\PROGRA~1\SONYER~1\MOBILE\MOBILE~1\EPMWOR~1.EXE
C:\Programme\Trillian\trillian.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\WinRAR\WinRAR.exe
D:\temp\Rar$EX00.875\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: FlpLauncher Class - {4401FDC3-7996-4774-8D2B-C1AE9CD6CC25} - C:\PROGRA~1\E-BOOK~1\FLIPVI~1\fplaunch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NetLimiter] C:\Programme\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Programme\Anti-Blaxx\Anti-Blaxx.exe
O4 - HKCU\..\Run: [AutoSizer] "C:\Programme\AutoSizer\AutoSizer.exe"
O4 - HKCU\..\Run: [GMX Upload-Manager] "C:\Programme\GMX\GMX Upload-Manager\GMXUploadManager.exe" HIDE
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O4 - Global Startup: Telefonverbindungsmonitor.lnk = ?
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {BA83FD38-CE14-4DA3-BEF5-96050D55F78A} (FViewerLoading Class) - http://www.flipviewer.com/exe/fv370dep.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A210572-C0B9-4E89-A11A-D3B0A503CF3B}: NameServer = 192.168.2.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McShield - Unknown owner - C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

===============================================================

So, ich danke euch schonmal im Vorraus, falls euch noch etwas einfällt,


MfG

EzzE
 
Hi, du kannst das Logfile mal bei www.hijackthis.de eingeben und auswerten lassen.

Da tauchen einige gelbe und rote Frage-/Ausrufezeichen auf. Das muss nicht gleich schlecht sein, kann aber.

Schau doch mal selbst, ob die Programme, die rot oder gelb markiert sind von dir benutzt werden.

Bei der Adresse h**p://www.flipviewer.com/ hat zumindest Antivir schon mal nen Virus gemeldet!
 
Hi,

Danke für den Tip. Habe es selber nochmal durchgecheckt. In meinen Augen ist das Log so ok. Der Flipviewer dürfte eigentlich nichts "krankes" sein oder mein Arbeitgeber wollte mir mit dem Programm etwas unterjubeln. :D
 
AntiVir... Des Programm hat sowas von gar keine Ahnung.
Es erkennt Viren, meldet dir auch noch, dass du einen Virus hast, bietet dir die Option den Virus zu entfernen. Rückmeldung beim Versuch den Virus zu entfernen? "Virus kann nicht entfernt werden." War bei mir 2 Mal der Fall. Musste mein System komplett neu aufsetzen.
Dann:
Umstieg auf McAfee, Meldung ohne mein Zutun von McAfee VirusScan: "McAfee hat folgenden ... Virus gefunden und entfernt." Damit war die Sache gegessen, aber nun zurück zum Thema.

Folgende Prozesse kenne ich nicht:
C:\programme\powerstrip\pstrip.exe
C:\Programme\Anti-Blaxx\Anti-Blaxx.exe
C:\Programme\AutoSizer\AutoSizer.exe
C:\Programme\Eraser\eraser.exe
C:\Programme\OnlineControl\ocontrol.exe

Beim NetLimiter hab ich auch so meine Zweifel, ob der nicht einiges an Müll überträgt...
 
C:\programme\powerstrip\pstrip.exe => Powerstrip (Graka-Tuning Tool)
C:\Programme\Anti-Blaxx\Anti-Blaxx.exe => So 'ne Safedisk4-Geschichte :evillol:
C:\Programme\AutoSizer\AutoSizer.exe => Prog zum maximieren aller IE und Outlook Fenster
C:\Programme\Eraser\eraser.exe => Delete-Tool zum sicheren Löschen
C:\Programme\OnlineControl\ocontrol.exe => Online Control (Telekom-Router-Tool)

Kommt alles von Quellen denen man bedenkenlos trauen kann
 
Ok, danke für die Info.

Damit bleiben für mich als Verursacher noch der NetLimiter oder ein Windows-Bug.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz