ComputerBase Menü
Aktuelles

Mysteriöse Hackerangriffe - oder doch nicht?

Cin-Hoo

Cin-Hoo

Lieutenant
🎅Rätsel-Elite ’24
Registriert
Feb. 2011
Beiträge
649
Hallo!

Ein Bekannter von uns meint seit einiger Zeit Opfer von Hackerangriffen zu sein, die ziemlich mysteriöse Nebenwirkungen und Vorgeschichten haben. Beide Notebooks fahren plötzlich hoch, obwohl sie angeblich komplett ausgeschaltet waren. Die "Spritztour" endet bei dem einen dann auf dem Lockscreen und es folgen Neustarts. Das andere Notebook besaß zu dem Zeitpunkt noch ein Adminkonto mit einem ziemlich unsicheren Passwort, sodass der/die Angreifer/in sich Zutritt verschaffen konnte und den Firefox mit der Google-Website startete und irgendwelche hochfrequenten Töne im Hintergrund spielten (Fürs Passwörterknacken?!) (ich habe es leider weder gehört noch gesehen, deshalb die etwas ungenaue Beschreibung).

Auf dem Notebook, das beim Lockscreen stehenblieb, war diverse unseriöse Software installiert. Mein c't-Desinfec't-Stick fand im Java-Deployment-Cache diverse Exploits, die wahrscheinlich der etwas veralteten Version 7 Update 17 geschuldet waren. :evillol: Installiert waren die Inbox.com Toolbar, die File Converter 1.3 Toolbar (im Firefox war als Standardsuche WiseConvert 1.3 Customized Web Search aktiviert; gehört dazu?), die FantasticTV Toolbar und eine Software namens "Yontoo", die laut Trojanerboard reine Adware ist. Der Besitzer des Notebooks behauptet strikt diese ganzen Dinge nicht selbst installiert zu haben. Sind die Toolbars und die Software rein unseriös oder ist das noch kein Alarmsignal? Des weiteren erscheint im Infobereich ewig das Symbol von Automatische Updates, das downloaden möchte, obwohl laut Protokoll gerade erst Updates installiert wurden. Es verschwindet nach ein paar Sekunden, ist aber unter "Anpassen..." noch mit Prozentzahl aufgelistet. Wie kann das sein?

Außerdem habe ich mal die Partitionierung unter die Lupe genommen. Neben der Systempartition gibt es noch eine Partition mit über 100 GB Größe und dem Namen DATA (nur rund 26 GB davon sind belegt), auf der eine mit dem Windows Sie7en-eigenen Backup-Tool angelegte Sicherung liegt, die anscheinend von einem anderen Bekannten stammt und nichts mit der Werks-Recovery-Partition zu tun hat. Der andere Laptop besitzt diese DATA-Partition auch, nur ist sie dort leer. Komischerweise liegt vor der Systempartition eine 25 GB große Partition ohne Dateisystem und ohne Laufwerksbuchstaben, die bei Windows Sie7en-Installationen übliche 200 MB große Zusatzpartition gibt es stattdessen nicht. Diese Partitionierungsweise findet man auf beiden genannten Notebooks. Es handelt sich bei beiden um Geräte aus der ASUS X73E-Serie. Partitioniert ASUS wirklich so unlogisch?

Da wir vermuteten, dass der Angreifer dem Router (FRITZ!Box 7330) eine feste Adresse gegeben hat, über die er/sie Zugriff erlangt, haben wir ihn einem Werksreset unterzogen. Gibt es eigentlich auch die Möglichkeit, sich aus irgendwelchen dunklen Foren/Websites modifizierte Firmwares zu laden, die einem noch einfacheren Zugriff zu einem damit infizierten Router ermöglichen oder kommt die Möglichkeit nicht in Betracht?

Gruß von Cin-Hoo
 
Zuletzt bearbeitet: (Formatierung)
Formatiere doch mal bitte den Text, die Wand kann doch kein Mensch angenehm lesen.
 
Formatieren ist das richtige Stichwort.
Aber nicht nur deinen Text, sondern die Betreffenden Geräte.
Würde sich mein Rechner so verhalten, würde ich ihm den Stecker ziehen, um nicht Opfer eines geheimnisvollen Anschlags zu werden.
 
Ganz erhrlich: Für mich klingt das nach viel Aufregung um nichts.

Die beiden Notebooks sollten einfach neu formatiert werden und dann Windows neuinstallieren. Bei den Programm-Installationen aufpassen, dass man jegliche Toolbars, etc. abwählt. - Und gut ist.

---------------

Oder eben andernfalls mal mit zwei unabhängigen Boot-CD's (Notfall-CD mit Virenscanner)den Rechner scannen und alles gefundene löschen lassen.
 
Also ehrlich: dazu fällt mir nur ein: mache denen beide Notebooks platt nachdem du mit einer Linux Live CD jeweils eine persönliche Datensicherung durchgeführt hast(diese mit einem Virenscanner prüfen bevor die auf die Neuinstallationen kommen)und dann auf den frischen Systemen neue, sichere Passwörter verwenden und auch bei der Frtzbox das Routerpasswort ändern wenn das machbar ist. Ist alles gemacht und die Systeme neu eingerichtet, fangt damit an regelmässig Systembackups der Notebooks zu machen und zeige den Bekannten auf wie man Software(vor allem Freeware)benutzerdefiniert installiert ohne dabei ungewollte Toolbars und Co. mitzuinstallieren.
@Freak-X
Du warst etwas schneller;)aber bist der gleichen Meinung wie ich:)
 
"Hackerangriffe" sind auszuschließen, die Geräte sind einfach völlig mit "unseriöser" Software zugemüllt.

Alles schonmal gesehen ... wie immer: Das Problem sitzt meistens vor dem Gerät.
Formatier beide Kisten, dann hat sich das wieder.
 
Und neben dem bisher geschriebenen würde ich der FritzBox auch mal ein neues Passwort geben wollen ... falls dem wirklich so gewesen sein sollte, dass sich da jemand Zugang/ Zugriff drauf verschafft haben sollte.
 
Leider bin ich nicht Herr der beiden Notebooks, sonst wäre die Windows-Neuinstallation schon längst erfolgt. :freak:

Entschuldigung, Textformatierung folgt!

Gruß von Cin-Hoo
 
Cin-Hoo schrieb:
Da wir vermuteten, dass der Angreifer dem Router (FRITZ!Box 7330) eine feste Adresse gegeben hat, über die er/sie Zugriff erlangt,
Zum Vergrößern anklicken....
Du meinst eine DDNS. Ist nicht nötig, da sich der Computer sowieso bei Angreifer meldet und nicht der Angreifer beim Opfer. So werden sämtliche Firewalls umgangen.

Cin-Hoo schrieb:
haben wir ihn einem Werksreset unterzogen.
Zum Vergrößern anklicken....
Bei einen Werksreset einer Fritz!Box werden nur die Einstellungen zurück gesetzt nicht aber die Firmware. Wenn wirklich etwas manipuliert wurde müsste man ein Recovery machen.

Cin-Hoo schrieb:
Gibt es eigentlich auch die Möglichkeit, sich aus irgendwelchen dunklen Foren/Websites modifizierte Firmwares zu laden, die einem noch einfacheren Zugriff zu einem damit infizierten Router ermöglichen
Zum Vergrößern anklicken....
Wenn es jemand programmiert und online stellt, dann gibt es selbstverständlich auch die Möglichkeit solch eine Software zu laden.
 
Cin-Hoo schrieb:
Da wir vermuteten, dass der Angreifer dem Router (FRITZ!Box 7330) eine feste Adresse gegeben hat, über die er/sie Zugriff erlangt, haben wir ihn einem Werksreset unterzogen. Gibt es eigentlich auch die Möglichkeit, sich aus irgendwelchen dunklen Foren/Websites modifizierte Firmwares zu laden, die einem noch einfacheren Zugriff zu einem damit infizierten Router ermöglichen oder kommt die Möglichkeit nicht in Betracht?
Gruß von Cin-Hoo
Zum Vergrößern anklicken....

Feste Adresse für einen Router vergibt aber nicht ein anderer USER sondern sowas kommt vom Provider ... und je nach Provider wechselt die Adresse jeden Tag .

Möglich ist halt ein Dyndns Eintrag ... nur der wäre ja dann nachvollziehbarer ... sicher meldet sich einfach einer der Trojaner einfach wenn der PC an ist und sagt dem CHEF wo er ist .
 
Leider bin ich nicht Herr der beiden Notebooks, sonst wäre die Windows-Neuinstallation schon längst erfolgt.
Zum Vergrößern anklicken....
Wenn du keinen Zugang zu den Notebooks erhälst, dann gebe ich dir einen Tipp: entweder man gibt dir die Notebooks damit du beide formatieren und neu machen kannst, oder aber du schickst die Besitzer der Notebooks in einen PC-Laden deines Vertrauens und es soll da gemacht werden. Hören die Besitzer der Notebooks aber vom PC Laden Besitzer da das schnell mal 80-100 Euro über die Ladentheke gehen kann pro Gerät, wirst du sehen wie schnell du die "Aufträge" bekommst :D
 
Zuletzt bearbeitet:
Neuinstallation kommt für ihn nicht in Frage, da es sich um ein kommerziell genutztes Notebook handelt und er dieses nicht missen möchte. Explizit interessieren würde mich noch einmal, ob die genannten Toolbars und diese "Yontoo"-Software richtig gefährlich werden können, was ihr von der seltsamen Partitionierung mit der 25 GB großen komplett leeren Partition ohne Dateisystem und Laufwerksbuchstaben haltet und ob die ewigen automatischen Updates ein schlechtes Zeichen sein können.

eigs schrieb:
Bei einen Werksreset einer Fritz!Box werden nur die Einstellungen zurück gesetzt nicht aber die Firmware. Wenn wirklich etwas manipuliert wurde müsste man ein Recovery machen.
Zum Vergrößern anklicken....
Was meinst du mit Recovery?

Auf die Problematik mit der unnötigen Zusatzsoftware, wie Toolbars, in Freeware-Software (Setups mit OpenCandy etc.) habe ich ihn bereits aufmerksam gemacht, aber er behauptet trotzdem strikt, das er sie nicht selbst installiert hat.

Gruß von Cin-Hoo
 
Solche Toolbars und/ oder OpenCandy kommen oft mit irgendwelcher Freeware durch die sich Progger meinen ein wenig Geld in die Kasse spülen zu können.

Klickt man bei solcher Art von Software immer weiter, weiter, weiter, etc. ohne zu lesen was da so steht bzw. ggfs. mal das ein oder andere gesetzte Häkchen zu entfernen, dann installiert sich solch ein Crap 'automatisch'.

Und mit der Recovery der FritzBox ist gemeint, dass man die FritzBox mit der Recovery-Firmware flashen soll(te) damit die ggfs. z.Zt. verseuchte Firmware durch eine saubere Firmware ersetzt wird. Download der Recovery für die FritzBox unter http://download.avm.de/fritz.box/ und dort fritzbox 7330 oder fritzbox 7330_sl (je nach Modell und dort im Unterverzeichnis x-misc\deutsch die Recover runterladen und auf die FritzBox flashen
 
Neuinstallation kommt für ihn nicht in Frage, da es sich um ein kommerziell genutztes Notebook handelt und er dieses nicht missen möchte.
Zum Vergrößern anklicken....
Umso schlimmer und verantwortungsloser ist dein Bekannter wohl. Ich empfehle euch: bringt das Notebook in einen PC Laden zur Bereinigung oder aber probiere du ob du die Toolbars mit Avast Browser Cleaner: http://www.chip.de/downloads/Avast-Browser-Cleanup_60753592.html und AdwCleaner: http://www.chip.de/downloads/AdwCleaner_58118522.html gelöscht /bereinigt bekommst.
 
AdoK schrieb:
Solche Toolbars und/ oder OpenCandy kommen oft mit irgendwelcher Freeware durch die sich Progger meinen ein wenig Geld in die Kasse spülen zu können.

Klickt man bei solcher Art von Software immer weiter, weiter, weiter, etc. ohne zu lesen was da so steht bzw. ggfs. mal das ein oder andere gesetzte Häkchen zu entfernen, dann installiert sich solch ein Crap 'automatisch'.
Zum Vergrößern anklicken....
Das weiß ich durchaus, aber er glaubt es trotzdem nicht wirklich. :freak:

@purzelbär
Dessen bin ich mir vollkommen bewusst, aber wenn er es nicht möchte... :rolleyes: Die Toolbars und Yontoo habe ich schon, so gut wie es ging, deinstalliert und die Überreste aus seinen Browsern manuell entfernt.

Gruß von Cin-Hoo
 
Das was da dein Bekannter macht ist verantwortungslos ... vor allem wenn das eine dienstlich/ beruflich genutzte Kiste ist. Nicht nur dass er selber für sich eine Gefahr ist, sondern auch für andere - in Abhängigkeit was sich da sonst noch so auf seinem PC so tummelt ... so manch Kram kann sich über den ein oder anderen Kanal weiterverbreiten ...

Schick ihn mal hier ins Forum ... wir werden ihn schon noch weichgekocht bekommen ... :D ;) ;)
 
Da er sich nicht die Bohne für IT interessiert, wird das wohl keinen Zweck haben. ;) :D

mir selbst schrieb:
Explizit interessieren würde mich noch einmal, ob die genannten Toolbars und diese "Yontoo"-Software richtig gefährlich werden können, was ihr von der seltsamen Partitionierung mit der 25 GB großen komplett leeren Partition ohne Dateisystem und Laufwerksbuchstaben haltet und ob die ewigen automatischen Updates ein schlechtes Zeichen sein können.
Zum Vergrößern anklicken....
Kann mir das niemand genauer beantworten? :confused_alt:

Gruß von Cin-Hoo
 
Cin-Hoo schrieb:
Das weiß ich durchaus, aber er glaubt es trotzdem nicht wirklich. :freak:
Zum Vergrößern anklicken....
Dann installiere doch mal mit ihm zusammen ein Programm, welches automatisch eine Toolbar mitinstalliert (mir fallen sponton CCleaner oder Daeomon Tools ein);)

Das er automatisch hochfährt, könnte evtl auch mit den Windows Updates zu tun haben
 
Cin-Hoo schrieb:
Das weiß ich durchaus, aber er glaubt es trotzdem nicht wirklich. :freak:
Zum Vergrößern anklicken....

In dem Fall würde ich ihm keine weitere Unterstützung geben. Wenn ein Mitarbeiter wissentlich mit einem kompromittierten Gerät ins Firmennetz geht, wäre das bei uns (zurecht!) schon mindestens ein Abmahngrund.

Klar, er braucht die Geräte zur Arbeit. Aber richtig lustig wird es erst, wenn das Firmenkonto leergeräumt und der Datenserver gelöscht wurde. Lass mich raten: Backups hat er auch keine, kosten ja Geld.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Frank
News Hackerangriffe: Sicherheitslücke in Exim-E-Mail-Server wird ausgenutzt
2
Antworten
25
Aufrufe
6.604
Klikidiklik
Klikidiklik
M
Es wurden (x) Hackerangriffe ... - echt oder fake?
2
Antworten
22
Aufrufe
2.796
cruse
cruse
Andy
News Bundestag: Hackerangriff auf hochrangige deutsche Politiker
2 3 4
Antworten
77
Aufrufe
10.309
Nickfox
N
M
Hackerangriffe auf PayPal + GMX
2
Antworten
30
Aufrufe
5.329
M@rsupil@mi
M
n00blesupp
Mysteriöse hängender Mauszeiger/Lag + Ton
Antworten
16
Aufrufe
2.180
n00blesupp
n00blesupp
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz