Wie stelle ich am besten fest, ob jemand Zugriff auf meinen Rechner hat?

[adalwolf]

Moin,

folgende Sachlage: Mein Rechner (windows7) sitzt hinter einem Fritz!Box-Router (der täglich eine neue Verbindung ins Internet aufbaut, somit nach aussen ständig wechselnde IPs hat). Aufgrund der Empfehlung hier und auch anderenorts habe ich darauf verzichtet eine Softwarefirewall zu installieren (es ist aber die windowseigene in Betrieb).
Nun stellte ich schon häufiger fest, dass mein Mauszeiger öfters springt oder auch mal nur extrem ruckelt. Da dachte ich an Fremdsteuerung, verwarf den Gedanken aber wieder. Da mein Rechner beim Ruhezustand abstürzt, wird er von mir meist Tag und Nacht angelassen (nur der Bildschirm abgedunkelt), direkten Zugriff (also ohne den Umweg hinter meinem Rücken über das Netz) hat jedoch keiner.
Jetzt kam ich heute morgen an den Rechner und sehe den Windows-Taschenrechner offen. Ich selbst nutze den nie...

Daher sind meine Warnlampen mal wieder angegangen und ich würde gerne soetwas wie eine IP-List mit IPs und Uhrzeit sehen, die auf meinen Rechner zugreifen. Wo muss ich suchen oder welches Log-Programm installieren?

Vielen Dank für die Hilfe

adalwolf

P.S.: Weiß nicht, ob das auch damit zusammenhängt, öfters gehen keine Mausklicks mehr, dann muss ich einmal kurz Strg-Alt-Entf drücken und in der Auswahl auf Abbrechen gehen, dann funzen auch die Mausklicks wieder...

[angerdan]

Moin adalwolf,

deiner Vermutung/Verdacht würde ich genau nachgehen.
Softwareseitig kannst du nichts überwachen, wenn dein Rechner schon infiltriert ist. Das kann bemerkt und manipuliert werden.
Am sichersten ist eine Neuinstallation von Windows, damit tust du gleich der Systemstabilität und Performance des PCs etwas gutes.

Sonst kommt eben das übliche dekonterminieren/entseuchen in Frage, in der aktuellen c't sind dazu einige gute Programme auf DVD dabei.
Hier meine Empfehlung: zuerst mit HijackThis analysieren, dann mit Spybot - Search & Destroy immunisieren, dann avast! Free Antivirus präventiv installieren.
Alle Programme sind ergänzend zur Windows-Firewall.

Hardwareseitig würdest du eine Hardware-Firewall benötigen, um an schwer manipulierbare Logfiles zu kommen. Habe ich noch eine über, D-Link ist im Bereich der dedizierten Firewalls unter 1k führend. Hat dein Router NAT? Das ist ein wichtes Merkmal für eine Grundmaß an Sicherheit.


Viel Erfolg!

Gruß
angerdan

[adalwolf]

Vielen Dank angerdan für die Hilfe!
HijackThis fand nichts außer der pdfforge-Toolbar, die ich nun deinstalliert habe. Free Antivirus brauche ich denke ich nicht, denn auf meinem System läuft die Premium-Version von Aviras Antivirus und ich bin mit der ganz zufrieden. Ein Unterschied wie Tag und Nacht zu deren kostenloser Version, die ich früher hatte und nur mehr schlecht als recht schützte (meist erst dann warnte, wenn der Schaden schon da war).
NAT und IP-Masquerading unterstützt meine Fritz!Box 7170. Da ich im Augenblick keine Hunderte von Euros in eine Hardwarelösung stecken möchte, werde ich es dabei erstmal belassen.

Danke nochmals

Gruß adalwolf

[catfan]

Hallo
liest sich etwas komisch die Story....
hast Du evtl. irgendwelche Tools neben der Uhr liegen, die es frueher nicht gab? Es gibt ja Teamsoftware, ueber die Du nach draussen kannst, bzw. Du Deinen PC fremdsteuern koenntest.
Was Du vllt auch mal im laufenden Betrieb nachsehen koenntest

oeffne eine Kommandozeile
c:\>netstat -a
hier wirst Du eine kryptische Ausgabe erhalten.....

irgendwo gibt es dann einen Abschnitt

TCP <DEINE IP>:49170 bos-p003a-rdr1:https HERGESTELLT
TCP <DEINE IP>:49180 111.221.77.165:40005 HERGESTELLT
TCP <DEINE IP>:49181 213.146.189.204:12350 HERGESTELLT
TCP <DEINE IP>:49196 188-138-192-228:34776 HERGESTELLT
TCP <DEINE IP>:49208 78.141.177.154:https SCHLIESSEN_WARTEN
TCP <DEINE IP>:49278 www-slb-11-02-ash3:http WARTEND
TCP <DEINE IP>:49300 mail:http SCHLIESSEN_WARTEN
TCP <DEINE IP>:49307 muc03s02-in-f6:http WARTEND
TCP <DEINE IP>:49308 62.146.98.15:http WARTEND
TCP <DEINE IP>:49309 muc03s02-in-f2:http HERGESTELLT
TCP <DEINE IP>:49311 107-252:3407 HERGESTELLT
TCP <DEINE IP>:49312 62.146.98.15:http WARTEND

und ein paar andere.. mit Hilfe von http://www.geektools.com/whois.php kannst du nachsehen, woher/wohin die Verbindungen gehen.

Win7 hat das Adminkonzept geaendert.. ist bei Dir diese "UAC" noch aktiviert? normal wird ja nach Adminrechten gefragt, wenn Du etwas installieren willst, oder etwas priviligiertes starten

Wo Du evtl. auch Anhaltspunkte findest...
Startmenue aufklappen... "Ereignisanzeige" eintippen und dort die System/Sicherheits/Anwendungsprotokolle durchsehen.. evtl. findest Du dort einen verdaechtigen Eintrag, der Dich weiter bringt. Dass die Scanner nicht anschlagen finde ich auch etwas komisch.. schau mal bei denen nach, ob evtl. eine Ausschlussliste fuer Dateien oder Ordner angelegt ist, die NICHT gescannt werden sollen.

Die Fritzbox ist eigentlich sicher.. weenn Du den PC nicht in die "DMZ" http://de.wikipedia.org/wiki/Demilitarized_Zone stellst.. sollte da kein Angriff erfolgen koenne,.. daher gehe ich von einem Angriff von innen aus.

viel Erfolg

[adalwolf]

Moin Catfan und danke für die Antwort,

also, Teamview hatte ich mal drauf, right, allerdings nur um einen anderen Rechner zu steuern, nicht um selbst gesteuert zu werden. Das PW von mir kennt keiner und ich erscheine auch nicht in den anwesenden oder online befindlichen Rechnern. Habe die Software aber dennoch vor einiger Zeit beendet - sicherheitshalber.

Der nat-Befehl ist genau das, was ich suchte. Perfekt. Die Überprüfung der vielen IPs würde aber dauern, daher mache ich das demnächst nochmal, wenn ich nicht meine ganzen Browserfenster offen habe (sind zwei Browser mit zusammen 78 Tabs^^).

Die UAC ist noch aktiv und ich bin auch nicht als Admin eingeloggt, sondern als Normaluser, um die Sicherheit zu erhöhen (und das von Anfang an bzw. nach den ganzen Erstinstallationen).

An die Ereignisanzeige hatte ich auch schon gedacht, dort aber meines Erachtens nichts Wichtiges gefunden: zwei Dinge tauchen bei den Anwendungen auf: einmal gupdate, was der Rechner nicht auf dem lokalen Rechner findet und den service stoppt und dann wird regelmäßig der VSS-Dienst aufgrund Leerlaufzeitlimits heruntergefahren. Im Sicherheitsbereich finden zwar laufend Anmeldungen auf meinem Konto statt, in der Nacht aber sehr wenige (heute bspw. nur um 1:14, nachdem ich gegen 0:30 Uhr den Rechner verlassen habe), gestern 3 Anmeldungen zwischen 0 Uhr und 0:10 Uhr während ich gegen 23 Uhr den Rechner verließ.... Ansonsten tagsüber recht viele Anmeldungen auf meinem Konto, aber das ist denke ich normal, oder?

Zu den Scannern: Da ist nichts in der Ausnahmeliste, mit Ausnahme des Browserschutzes, wo ich selbst vor einiger Zeit zwei Ausnahmen bewusst hinzugefügt habe.

So langsam fühle ich mich wieder sicherer *lach*. Hoffentlich berechtigt.

Danke und Gruß

adalwolf

[catfan]

78 Tabs? auweia.... da wuerde ich glatt mal einen Test vorschlagen:

3 Tage mit allen Tabs
3 Tage ohne

jeweilsa die Maus an einer bestimmten Position "parken" und dann den Rechner am naechsten Tag entweder mit Tastatur aus dem "monitorschlafmodus" holen... oder den Monitor gar nicht schlafen legen lassen, um zu sehen, ob sich die Maus bewegt

Was fuer "Anmeldungen" sind das? Ich kann mir nicht vorstellen wo Dumeinst.. welches Protokoll schaust Du da an?

sicher ist nichts im Leben

[adalwolf]

ohja, und den Standort der Maus fett mit nem nicht wasserlöslichen Edding markieren Nein, Scherz beiseite, gute Idee, mach ich.

Mit Anmeldungen meinte ich die Anmeldungen im Benutzerkonto, die in der Ereignisanzeige unter Windowsprotokolle/Sicherheit angezeigt werden.

[Musterfrau]

Hallo!

Beim Lesen deines Beitrags bin ich darauf gekommen, dass du vielleicht einen Virus auf deinem Rechner hast, bin mir aber nicht sicher.
Am besten mal überprüfen!

Ansonsten eben obige Tipps beachten!

Liebe Grüße.

[catfan]

ohja, und den Standort der Maus fett mit nem nicht wasserlöslichen Edding markieren Nein, Scherz beiseite, gute Idee, mach ich.

Mit Anmeldungen meinte ich die Anmeldungen im Benutzerkonto, die in der Ereignisanzeige unter Windowsprotokolle/Sicherheit angezeigt werden.

gibts was Neues, was evtl. fuer Einbruch/Viren/Trojaner steht?