Vor ein paar Tagen wechselten wir von Telekom zu Kabel. Prima.
Zunächst musste der Router weg, dann kam die USB-Verbindung, dann war der Rechner kurz amal etwas langsamer, lief aber den ganzen Tag und die ganze nachrt bestens. - Beim Hochfahren am nächsten Tag kam die blaue Scheibe mit der netten Aufforderung Windows zu installieren.
Ohne besondere Tricks zu kennen, konnte ich nur feststellen, dass ich nun Gast ohne Rechte in meinem Rechner war und ein neuer Admin als Admin_Rechnername eingerichtet war.
Also: 10 DVDs mit System-Backup hervorholen und das Ganze neu aufsetzen. Minimaler Datenverlust, da ich vor der Umstellung zum Glück ausreichend paranoid gewesen war…
Die Ereignisprotokolle (System und Firewalls) zeigten die Einrichtung des neuen Admins zwischen 09:28 und 09:44 an, weitere Spuren konnte ich keine finden. Offenbar hatte ich ohne zu denken auf Anfrage „Anwendung startet andere…“ bei meiner Firewall OK gedrückt.
Kann es sein, dass ein Memory Dump auch so etwas hervorruft?
Dass also der Rechner einen neuen Admin einrichtet, weil irgend etwas im System schief läuft?
Kann es sein, dass es tatsächlich ein Hacker war - und wie komme ich an Spuren, die seine TCP-IP Adresse verfolgen lassen?
Die Kabelgesellschaft hat mir nur zugestanden, den Router wieder einzubauen (und die entsprechende Schaltung gemacht), aber keine Auskunft zu ihrem Protokoll für die betreffende Zeit gegeben.
Hat jemand von Euch Ideen dazu, wie ich mehr herausfinden und entsprechend reagieren kann?
Zunächst musste der Router weg, dann kam die USB-Verbindung,
Ohne besondere Tricks zu kennen, konnte ich nur feststellen,
dass ich nun Gast ohne Rechte in meinem Rechner war und ein
neuer Admin als Admin_Rechnername eingerichtet war.
Wenn man per USB-Modem ins Internet geht, ist man sozusagen direkt mit dem Internet verbunden. Schädlinge und sonstiges Zeugs brauchen da meist nur ein paar Minuten um auf ein ungepatches Windows zu kommen.
Hast du alle Betriebssystemupdates drauf?
Ich würde, wie du schon geschrieben hast, nur über einen Router online gehen. Damit hast du nämlich immerhin schon einmal den Schutz vom NAT.
dass ich nun Gast ohne Rechte in meinem Rechner war und ein
neuer Admin als Admin_Rechnername eingerichtet war.
Wenn man per USB-Modem ins Internet geht, ist man sozusagen
direkt mit dem Internet verbunden. Schädlinge und sonstiges
Zeugs brauchen da meist nur ein paar Minuten um auf ein
ungepatches Windows zu kommen.
Hast du alle Betriebssystemupdates drauf?
Ja, auch die Hunderten von Microsoft.
Meine Frage war aber eigentlich, ob das Eintragen eines neuen ADMIN eher auf einen Hacker oder auf andere Fehler (z.B. hardware: RAM Speicherverlust) deutet.
Ich würde, wie du schon geschrieben hast, nur über einen
Router online gehen. Damit hast du nämlich immerhin schon
einmal den Schutz vom NAT.
Ja klar, das hab ich gleich getan. Der kabelbetreiber (in österreich Chello) sieht das aber nicht gerne und installiert mit der leitung default nur USB Anschluss. Da muss man über die Hotline erst um eine andere „Schaltung“ bitten, dauert 40 min, wenn sie endlich zustimmen.
Meine Frage war aber eigentlich, ob das Eintragen eines neuen
ADMIN eher auf einen Hacker oder auf andere Fehler (z.B.
hardware: RAM Speicherverlust) deutet.
Also bei einem Hardwarefehler wird sicher kein neuer Benutzer angelegt. So gesehen kommt mir das schon sehr komisch vor.
Was du machen kannst, ist einerseits versuchen diesen Benutzer zu löschen bzw. aus der Administratorengruppe zu nehmen. Dann würde ich das Einloggen von Benutzern mitloggen. Hier also schauen, ob es Logins (oder Versuche) gibt. Und weiters würde ich auch zumindest einmal Hijackthis über den Rechner laufen lassen.
Wenn du aber ganz sicher gehen willst, würde ich den Rechner neu aufsetzten!
lange Rede kurzer Sinn: Wenn Windows im selben Verzeichnis neu installiert wird und dabei identische Benutzer neu angelegt werden, dann erweitert Windows jedes Mal die Namen um wieder Eindeutigkeit herzustellen. Dabei wird dann aus User User.PC, dann User~.PC, … Ich tippe mal, dass dabei dann auch irgendwann mal der Unterstrich dran kommt.
Meine Frage war aber eigentlich, ob das Eintragen eines neuen
ADMIN eher auf einen Hacker oder auf andere Fehler (z.B.
hardware: RAM Speicherverlust) deutet.
Also bei einem Hardwarefehler wird sicher kein neuer Benutzer
angelegt. So gesehen kommt mir das schon sehr komisch vor.
Wenn du aber ganz sicher gehen willst, würde ich den Rechner
neu aufsetzten!
mfg
christoph
ja, das war auch nötig - und zwar mit bootable backup dvds.
dein vorschlag den neuen user raus zu nehmen, giobg nicht, weil das der neue administrator war und ich keine rechte mehr hatte.
leider hat mein provider keine daten zu einem evtl. angreifer zu dem zeitpunkt herausgerückt.
danke also!
habe mir seither auch einen router dazwischen geschaltet.