Fernlogin?!? Wie gibts das?

    Mir ist gestern aufgefallen, dass sich die Internetverbindung vom Haupt-PC automatisch einwählt, auch wenn alle angeschlossenen Netzwerk PC ausgeschalten sind oder ihre Leistung deaktiviert sind. Jetzt hab ich geschaut:


    Da hat sich eine Adresse namens xirc.darkwarez.net versucht einzuloggen. Wie kann es sowas geben? Wenn ich dich die Internetverbindung nur fürs eigene Netzwerk freigebe, wie kann sich dann eine URL einschleichen und versuchen sich darüber einzuloggen?


    Das weitere Problem war, dass die Internetverbindung mehr Daten gesendet als empfangen hat, obwohl weder Trillian, Browser oder sonstwas offen wäre, was am lokalen PC einen Traffic verursacht hätte. Man muss dazu sagen, es wurden Daten mit ca. 4 kB/s geschickt, was mir schon ehrlich gesagt schleierhaft ist.


    Ich hab das jetzt so gelöst, dass ich den PC neu aufgesetzt habe und es darf sich nur mehr der PC ins Internet einwählen, der das Modem auch angehängt hat.


    Übrigens wie sperre ist die Ports für Sasser Blaster etc.?

    Erklär mal nochmal genauer welcher Rechner für die Verbindung zum Internt veranwortlich ist. ISt es der Hauptrechner selbst oder missbrauchst du einen anderen Rechner als Router?


    Zitat

    Original von Whitesnake
    Wenn ich dich die Internetverbindung nur fürs eigene Netzwerk freigebe, wie kann sich dann eine URL einschleichen und versuchen sich darüber einzuloggen?


    Erklär mir mal was genau da nun passiert ist? Die genannte Domain hat versucht sich über deine Internetverbindung auf deinen Rechner einzuwählen oder was? Mir ist im Moment noch unklar was überhaupt passiert ist.


    Zitat

    Ich hab das jetzt so gelöst, dass ich den PC neu aufgesetzt habe und es darf sich nur mehr der PC ins Internet einwählen, der das Modem auch angehängt hat.


    Also ich hätte nicht gleich den PC neu aufgesetzt sondern lieber Ursachenforschung betrieben, geschaut wo das herkam, nach Trojanern etc. gesucht. Würde ich dir auch nach dem Neuaufsetzen trotzdem mal raten alles gründlich durchzuchecken. ;)


    Zitat

    Übrigens wie sperre ist die Ports für Sasser Blaster etc.?


    Du hast keinen Router richtig? Was für eine Firewall hast du denn aktiv?

    Also der Rechner der am Modem hängt ist für die Verbindung zuständig und zwei weitere hängen via Netzwerkkabel an diesem einen Rechner. Es ist also der Hauptrechner selbst.


    Es kommt so ein Fenster wo steht: Die Adresse "schonobererwähnt" möchte sich mit folgender Verbindung einwählen. Dann hast ein Fenster wo halt die Internetverbindung drauf ist die du eben installiert hast.


    Ich hab das jetzt so ca. beschrieben weil ich das Fenster net gecaptured hab.


    Ich weiß nicht wer oder was sich versucht hab einzuwählen, aber auf jeden Fall hat irgendwer versucht meine Internetverbindung zu aktivieren, ohne dass ich es eingestellt hätte (weil ja die anderen beiden die das tun hätten können ausgeschalten waren).


    Ursachenforschung ist schwer, wenn kein Virenprogramm dass du probierst nichts findet.


    Hab keine Firewall, ich hab nur die Internetverbindung geschützt damit man nur übers Netzwerk auf sie zugreifen kann.

    Keine Firewall? Sehr leichtsinnig. Du solltest zumindest die XP Firewall aktivieren, besser noch Zonealarm oder eine andere Firewall installieren.


    Soweit ich weiß kann man mit der XP Firewall nur die Ports einzelner Dienste sperren, nicht gezielt einzelne Ports nur ist die Konfiguration recht umständlich. Das wird sich glaub ich mit dem SP2 aber ändern. ;)


    Ansonsten solltest du einfach mal gewisse Dienste auf deinem Rechner deaktivieren die so gerne von Trojanern und anderen Eindringlingen genutzt werden.


    Bezüglich der Virenscanner: Ohne aktuelle Signaturen ist das natürlich sinnlos. Einige Firmen bieten Lite Versionen auf Dos Basis mit aktuellen Signaturen zum kostenlosen Download an, ansonsten gibt es aber auch Online Scans die rein via Internet funktionieren (vorsicht Traffic).


    Für mich klingt das eigentlich schon nach einem Trojaner wobei mri schleierhaft ist was genau da vor sich geht. Also du hattest keine Internetverbindung aktiv richtig? Und dann kam besagte Meldung dass jemand sich einwählen möchte? Nun da der Zugriff aber scheinbar aus dem Internet erfolgte (externes Login) müsste die Verbindung ja aktiv sein oder? Wenn du jedoch nen Trojaner drauf hast bzw. hattest, ist auch klar dass der Zugriff auf deine Internetverbindung hat.

    Nein war nicht eingeloggt ins Internet, das müsste irgendwo in der Registry oder so am PC schon gespeichert sein, dass er automatisch sich einloggen will, sprich irgendwie isses beim Surfen auf dem PC gekommen und dann hat es sich scheinbar in der Registry eingenistet und so isses vermutlich weitergegangen. Die Frage ist halt was ich dagegen tun kann? Die Firewall von Windows ist schon aktiviert, natürlich.


    Bezüglich Zonealarm siehe diesen Link.


    Ich hab da mal gestern im Internet kurz recherchiert und da ist im Zusammenhang mit meinem Problem das Windows Programm rasautou.exe gebracht worden, dass im Windows/System 32/ Verzeichnis liegt (ist normal so).

    Nun ja die Windows Firewall ist natürlich nicht das Nonplus-Ultra. Die Konfiguaration lässt sehr zu wünschen übrig drum würde ich darauf nicht zu sehr vertrauen. Aber das soll aj mit SP2 angeblich besser werden. :rolleyes:


    Das von dir erwähne "rasautou.exe" bewirkt eine automatische Einwahl ins Internet gehört aber wohl soweit ich auf die Schnelle gelesen habe standartmäßig ja zu XP dazu und ist für das Autoupdate zuständig. Löschen lässt sich das wohl nicht so ohne Weiteres.

    Es lässt sich schon löschen, aber es ist dann wieder da. Wie oft ist eigentlich svchost.exe geöffnet?


    Übrigens passend zum Thema hätte ich folgendes gefunden: Link

    Zitat

    Original von Whitesnake
    Wie oft ist eigentlich svchost.exe geöffnet?


    Das kann definitv mehrfach der Fall sein und häängt davon ab wie genau dieser Dienst genutzt wird. In der Registry sind wohl mehrere Gruppen zu finden und dementsprechend viele Prozesse svchost wirst du im Taskmanager finden.


    Wie kommst du denn jetzt auf svchost? Hattest du damit schon Probleme? Abstürze oder ähnliches? Da gab es ja wohl mit Blaster Probleme.

    Vorgestern ist das Problem wieder aufgetreten, es wurden innerhalb kürzester Zeit 55 MB gesendet und nur 11 MB empfangen (bei einer Datenübertragung von ca. 11kB/s Uploadstream). Hab den PC wieder einmal neu aufgesetzt und ein Image von der Festplatte erstellt um schneller wieder recovern zu können.


    Mit Firewalls, speziell Zone Alert kenne ich mich wie gesagt zu wenig aus um es richtig konfiguriert zu haben. Ein eigener Thread nur zur Handhabung von Zone Alert hier im Board wär a Wahnsinn.

    Dazu habe ich im Moment leider zu wenig Zeit, aber Zone Alarm hat nach der Installation eine Guided Tour wo eigentlich alles ganz gut (auf Englisch) erklärt wird.


    Was hattest du denn für Sachen instsalliert / heruntergeladen, denn es erscheint mir schon seltsam dass ein relativ frisches System ein solches Verhalten zeigt falls es denn überhaupt Spyware oder ein Trojaner wäre.Aber bei dem Datenverhältniss ist das schon suspekt.

    Also gesurft wird mit Firefox (auf dem Internet-PC) und installiert ist Trillian und AntiVir. Was konkret online gemacht wird außer Trillian und Firefox ist Online spielen mit NBA Basketball 2004. Das wars dann schon.

    So das ganze geht in die nächste Runde. Habe Zonealarm mal installiert und habs mal zumindest zusammengebracht am PC der direkt am I-Net hängt das zu unterdrücken. Nur was ist jetzt? Die PCs die an diesem Stamm-PC hängen können nicht mehr auf die Internetverbindung vom Stamm-PC zugreifen. Gut denk ich mir, gibst du die IP Adressen frei. Okay, da geht nicht so einfach, weil sie vom DHCP zugewiesen werden. Okay, dann gibst du einen IP Bereich frei. Gesagt getan. Ergebnis: Geht nix.


    Wenn mir jemand sagen kann, wie man sowas richtig macht, dann wär ich euch sehr verbunden. Es hängen am Stamm-PC zwei PCs die überbrückt werden.

    Wie geht Dein Stamm-PC denn ins Netz?
    Beschreib mal etwas genauer den Aufbau des Netzwerkes...
    Hast Du den Stamm-PC als Gateway der beiden anderen Rechner eingetragen?


    Zonealarm würde ich als Firewall nicht empfehlen... eher Sygate Personal Firewall oder Outpost...
    Bei den beiden kann man auch ganz gezielt den Net-Bios Verkehr freigeben!

    Okay also der Stamm PC geht via USB Modem ins Internet.


    PC 1 und PC 2 hängen via LAN am Stamm PC (Stamm PC hat deswegen zwei Netzwerkkarten). Die Netzwerkverbindung wurde von Windows überbrückt, damit PC 1 und PC 2 gleichzeitig auf die Internetverbindung die der Stamm PC bereitstellt zugreifen können. Auf allen drei PCs wird gesurft.


    Das Problem bei der ganzen Firewall Geschichte ist, dass ich mich nicht auskenne und kA hab wie was wo eingestellt gehört. Weiters sollten Programme wie Trillian und Outlook funktionieren und das AntiVir Programm auch.

    Du sagtest, dass die 2 PC's ihre IP's via DHCP kriegen, also ist der Stamm-PC ein Server? (Linux, W2K Server)
    kannst Du von den 2 anderen PC's denn einen Ping auf den Stamm PC senden?

    Klar das geht weil der eine feste IP hab und es geht auch wenn die Firewall das Zugreifen auf die Internetverbindung verhindert. Pingen kann ich den Stamm-PC also.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden