Fremder greift über Internet auf den PC zu

[Svenko]

Hallo Community,
ich habe ein (großes) Problem. Seit 3 Tagen wurde mein PC gehackt, und zwar bereits 2 mal. Dies äußert sich darin, dass jemand Fremdes Die Kontrolle über meinen Desktop übernimmt, und dann in dem "Programme/Datein durchsuchen" Feld von Windows (ich benutze Win 7 x64 Pro) irgendeinen Kauderwelsch schreibt. Danach Meinen Browser öffnet und dann dort irgendetwas schreibt. Nachdem ich die WLAN Verbindung dann kappe, hört es auf. Ich habe bereits Avast einen kompletten Scan durchführen lassen, einen Virus kann ich ausschließen. Ich bin auch nicht ein unerfahrener Computer/Inet Nutzer, der irgendeine heruntergelade Datei ausführt, von der er sich nicht sicher ist, was sie bewirkt.
Ich teste gerade noch mit Spybot auf Trojaner/Malware, mal gucken was herauskommt.
Das Wlan ist mit WPA2 gesichert, ich glaube nicht, dass jemand mein Wlan hackt, aber sicher bin ich mir auch nicht.
Irgendeine Idee? Bin dankbar für alles.
Sven

 

[knubbel74]

Mein Rat lautet: Geh zur Polizei!

 

[reload0815]

Sind mehrere Rechner in deinem Netzwerk installiert? Vielleicht hat dir ja jemand VLC oder sowas installiert^^

 

[Martin.H]

schalt mal die Remotedesktopverbindungen aus....
In der Verwaltung solltest du in der Ereignisanzeige auch sehen, ob und wer sich angemeldet hat!
Falls es das nicht ist: extra Konto mit eingeschränkte Rechten einrichten.

 

[derChemnitzer]

ändere mal deine PWs und benutze eine Firewall

schaue mal ob Teamviewer oder eine andere Remote SW drauf ist und verwende eine Router oder wie gehst du ins Internet

 

[iLike7Up]

WLAN Passwort ändern, Kabel verwenden.
Wireshark aufsetzen und Netzwerktraffic mitschneiden. Analysieren wer das ganze macht. Woher kommen die Pakete?
Hijackthis log hier mal posten. während der übernahme alle laufenden prozesse ausgeben (Batch datei mit dem code: tasklist >C:\out.txt)

dann in der datei nachschauen was los mit prozessen ist.

Allgemein klingt das nach Rootkit oder irgend einem bösartigen script.

 

[weissnichalles1]

Als erstes wuerde ich sofort das Router Passwort aendern, dabei WLAN aus und mit Netzwerkkabel auf den Router zugreifen, danach WLAN Passwort aendern.
Unter dem Verdacht das jemand dein WLAN mitbenutzt. Desweiteren wie schon oben geschrieben Remote Desktopverbindung deaktivieren. Hast Du eventuell Teamviewer oder eine andere Software installiert

 

[tco95ttocs]

also ich würd erstmal den WPA2 Code sowie SSID von deinem WLan ändern, damit der andere es nicht gleich wieder findet. Ebenso würd ich nur Rechner im Wlan zulassen, die du kennst (Mac-Filter), einer muss dir ja unbekannt vorkommen. Achja vll. noch die IPs deines Netzwerkes ändern.

 

[B52er]

und evtl. die WLAN Leistung reduzieren (Antenne abschirmen) sodass du gerade noch selber Empfang hast, um zu sehen ob es bereits ein Programm auf deinem PC ist oder sich tatsächlich jemand über's WLAN einloggt, in dem Fall kann man der "Täterkreis" örtlich einschränken. Ansonsten würde ich dir MS Security Essential empfehlen und damit mal deinen PC scannen.

 

[proud2b]

Ich vermute hier mal stark einen Trojaner oder ähnliches.. da nützt es auch nix Passwörter zu ändern.

 

[impressive]

und was hat wlan mit zugriff auf seinen rechner zu tun? rischdisch - rein gar nichts!

@ te

es läuft irgendein tool auf deinem rechner das dem "angreifer" den zugriff gewährt.
ob das ein "legales" remote-tool oder ein illegales ist kann man so ohne weiteres nicht sagen.

 

[core2005]

Hier stand Kacke.

 

[Merle]

Da spielt dir bestimmt ein "Freund" einen Streich. Wie schon geschrieben wurde:
Start => Rechtsklick auf Computer => Eigenschaften => Links auf Erweiterte Systemeinstellungen => Remote => "Remoteunterstützungsverbindungen mit diesem Computer zulassen" deaktivieren.
Danach in den Explorer gehen, und nach Teamviewer suchen (auch oben die Leiste anklicken, dass man alles durchsuchen will, obwohl es langsam ist). Dann nach VNC suchen wie auch nach Teamviewer.
Schreib mal ob da was da ist.

 

[Svenko]

Danke für die vielen Antworten erstmal.
Ich muss sagen, dass ich für VLC sowie foobar die HTTP Steuerung aktiviert habe, da ich ein Smartphone
besitze mit Android und mit foomote bzw. VLC - remote sich die player komfortabel über die Couch aus steuern lassen. Ich habe jetzt die HTTP Steuerung in beiden Programmen deaktiviert, mein WLAN PW geändert und hoffe, dass das Problem jetzt behoben ist. Mal gucken wie sich der PC verhält die nächsten Tage.
Vielen Dank für die hilfreichen Beiträge!

 

[b00nz]

Jop, ich wette da hat dir ein kumpel teamviewer installiert und ärgert dich nun.
Wenn nicht, pc neu machen.

 

[doll-by-doll]

Welche Box ist angeschlossen?
Ein Beispiel aber für die Fritz box!
Box vom Internet trennen Kabel von der Box zu Spliter raus!
Wenn die Fritz box geänderte Software drauf hat kann man dieses meistens sehen, nach dem einloggen bei der Fritz box steht oben links die „Firmware-Version“, ob die Firmware Aktuell ist und darunter wenn die Software geändert wurde „vom Hersteller nicht unterstützte Änderungen:“
Die Firmware von der AVM Seite runterladen nicht von deinem DSL Anschluss! Frag einen Bekannten ob er mal eben dir die Datei auf einen USB Stick geben kann. Firmware neu aufspielen.

Danach testen ob bei der Box Telnet aktiviert ist. Über das Telefon
#96*7* Telnet ein
#96*8* Telnet aus
wählen, wichtig ist das Telnet aus ist! Sonst kann da jeder der dein Passwort hat mal eben die Box umstellen!
Sicheres Passwort setzen, Einstellung für den Internetzugang vornehmen, Box wieder mit dem Internet verbinden und testen.

Bei deinem Portscanbericht fehlen einige Ports gerade die, die wichtig sind im diesem Falle Port 22 + 23 Telnet + SSH. Wer dein Passwort hat kann über Telnet eine Verbindung zum Reuter aufbauen, an deinem Router mal eben einige Änderungen vornehmen und schon haste einen Router mit einer VPN Verbindung zum Angreifer und der routet dich ins Internet, dabei schneidet er fast alles mit. Jetzt machst du einen Port scann, schön nur wo wird dieser landen? Na beim Internetanschluss vom Angreifer! Also bringt dir dieser Portscan übers Internet auch nix. Wie kommst du den jetzt auf die schliche? Na einfach mal ein Päckchen verfolgen.

Im der Kommandokonsole von Windows einfach mal tracert google.de eingeben. Die Angaben sagten dir wo die Pakete lang gehen, das erste wird deine Fritz Box sein danach eine Zeitüberschreitung da die Fritz box auf Antwort wartet, als 3 wahrscheinlich die IP Adresse deines Internet Anbieters. die Testen bei http://www.tele-tommi.de/Service/ipsuche.htm

Diese sagen dir welcher Internet Anbieter die Adresse vergeben hat. Ist es dein Internet Anbieter kannste davon ausgehen das es der DNS Server von deinem Anschluss ist, ist es eine Adresse im Ausland na ja dann weiste ja wo deine Daten landen, die nächsten Ausgaben sind backbone und noch einige IPs bis zum ziel www.google.de.

Die IP von ihm ist eine aus dem Privaten IP bereich Klasse A, also keine Internet (WAN) Adresse! Sondern eine LAN Adresse somit sage ich mal das er Deine Box über eine VPN Verbindung ansteuert! Wenn Deine Box jetzt darüber ins Netz geht und er dich weiter leitet muss, seine WAN Adresse(Internet IP) auftauchen mit Glück haste eine IP mit der du was anfangen kannst.

Ich hab schon so ne Vorstellung wie der das angestellt hat… du hast eine .exe Datei ausgeführt. Diese hat wahrscheinlich deine Netzwerkverbindung abgefragt, deine Fritz box gesehen und einfach mal eine Attacke von innen ausgeführt. Standard Passwörter abfragen, sollte eins passen werden einige kleine Einstellungen vorgenommen und der Angreifer hat Zugang zum Router von außen.

Also Router Passwort immer ändern! Und keine Sachen wie vorgegebenes Passwort, geheim, 12345 da lachen sich die Angreifer tot… na ja auch ne möglichkeit einen Angriff abzuwehren.
Mfg doll