Computer-Schnüffelei auf die Spur kommen

[PB42]

Hallo,

da ich schon lange vermute, daß mein Computer von Leuten ausgeschnüffelt wird, mit denen ich regelmäßig zu tun habe, würde mich mal interessieren, ob es via Eigenprogrammierung Möglichkeiten gibt, solch kriminellen Machenschaften auf die Spur zu kommen. Da Scanner, Rootkit-Finder usw. nichts gebracht haben, was jedoch kein Beweis dafür ist, daß wirklich nichts ausgeschnüffelt wird, müßte doch zumindest eine Möglichkeit bestehen, auslesen zu können, welche Daten meinen Computer verlassen... Damit wäre zwar noch kein Täter im Visier, aber zumindest könnte vielleicht irgendwie der Beweis erbracht werden, daß tatsächlich auf jeden Fall z.B. mein Surfverhalten ausspioniert wird oder ein keylogger angestezt wird usw.... Dann nämlich könnte ich meinen Rechner zur Polizei bringen, denn die Polizei untersucht den Computer erst dann, wenn kriminelle Machenschaften nachgewiesen werden konnten. Danke für Tipps!

PB42

__________________________________________________
Thread verschoben
Anfänger>Offtopic
15.11.2013
RSBasic

[RSBasic]

In deinem Fall lohnt es sich nicht, extra Tools zu entwickeln, um erfahren zu können, was mit deinem PC passiert, weil Windows und auch andere Hersteller bereits Tools anbieten, die du nutzen kannst. Soll ich dein Thread nach Offtopic verschieben?

Überprüfe zuerst, was für Prozesse und Dienste bei dir laufen und ob eins davon eventuell schädlich sein kann.
Wenn du dich nicht auskennst und nicht weißt, was Prozess ABC macht, google einfach nach solchen Prozessnamen.
Mit den Diensten machst du ebenfalls so. Führe einfach "services.msc" aus, um die Liste aller Dienste anzuschauen.
Zusätzlich empfehle ich dir eine Anwendung von Microsoft und zwar: http://technet.microsoft.com/de-de/sysi ... 63902.aspx
Da kannst du alles sehen, was bei Windows gestartet wird, ob Anwendungen, Dienste, Treiber, Tasks, DLLs u.ä.
Was auch ganz wichtig ist, dass du im Tab "Image Hijacks" schaust, ob eventuell bei dir Programmumleitungen konfiguriert wurden, falls du es nicht selbst gemacht hast.

Außerdem kannst du im Task-Manager unter "Leistungen" das Hilfsprogramm "Ressourcenmonitor" nutzen, um u.a, auch die Netzwerk- und Internet-Aktivität (ein- und ausgehende Verbindungen) zu überprüfen.
Schließe vorher einfach alle Anwendungen, die du offen hast und schaue in der Netzwerkliste nach, welche Prozesse nach Hause telefonieren.

[ts-soft]

Je nach Windows-Version solltest Du unter Verwaltung sowas wie "Lokale Sicherheitseinstellungen" finden.
Lokale Richtlinien/Überwachungsrichtlinien/ entsprechende Richtlinie aktivieren und evtl. konfigurieren und
dann später in den Ereignissen das Protokoll ansehen (z.B. Prozessverfolgung überwachen).

Gruß
Thomas

[PB42]

Danke für die Tipps. Habe ich auch teilweise schon laufen lassen, bin aber in der Kürze der Zeit bisher auf nichts verdächtiges gestoßen. Leider gibt es an meinem Taskmanager (XP Home) keinen Reiter "Leistungen" oder die Möglichkeit, das Hilfsprogramm "Ressourcenmonitor" zu nutzen, um u.a. auch die Netzwerk- und Internet-Aktivität (ein- und ausgehende Verbindungen) überprüfen zu können. Überhaupt fällt mir auf, daß sich der Taskmanager nur noch durch Alt+F4 beenden läßt, weil die blaue Windowsleiste oben drüber fehlt. Vielleicht kann ich ein Tool downloaden, was dem "Ressourcenmonitor" entspricht, ich google mal. Falls jemand ein gutes Tool weiß, was detailliert anzeigt, was in den Computer reinkommt und was rausgeht, würde mich das natürlich auch freuen, Danke.

PB42

@RSBasic: Der Thread kann nach Offtopic verschoben werden.

[RSBasic]

Was für ein Antiviren-/Firewallprogramm verwendest du? Vielleicht hat deines ein Monitortool. Z.B. Kaspersky bietet sowas an, falls du sowas hast.
Ansonsten: http://www.windowspro.de/wolfgang-somme ... n-anzeigen

[auser]

"netstat -an" zeigt dir Verbindungen von deinem System an. Der Witz von 'nem Rootkit ist aber halt sich zu verstecken und dazu gehört auch das ersetzen von Standard-Tools. Also wenn du dich wirklich auf die Jagd nach Rootkits machst kannst du da weder dem Taskmanager noch 'nem Eventlog noch 'ner Desktop-Firewall trauen. Ob Virenscanner hier viel ausrichten ist ebenfalls fraglich. Sofern sie normale OS-Funktionen verwenden unterliegen sie auch selbst der Manipulation und tun sie das nicht so ist das ganze wohl ein Katz und Maus Spiel. Ist halt die Frage wie ausgefeilt die Software ist mit der ein System kompromitiert wurde (weil nicht nur Antiviren-Software-Entwickler wissen daß es Rootkits gibt sondern auch Rootkit-Entwickler wissen daß es Antiviren Software gibt... und Rootkits sind oft nicht so verbreitete "Stangenware" wie Viren). Besser ist auf jeden Fall ein getrenntes System. Also z.B. eine Live-CD starten und Prüfsummen (sha1, ...) von den Betriebsystem-files machen die man in der Regel mit einem Root-kit modifizieren müsste um sich selbst zu verstecken. Dann gäb's da Netzwerkseitig noch Wireshark daß sich bissl tiefer ins OS eingräbt. Ähnelt etwas tcpdump auf Linux. Problem ist aber auch hier wiederum daß ein Rootkit den Packet-Capture Mechanismus blockieren könnte und das (sofern es auf der selben Maschine läuft) manipuliert werden kann. In dem Fall wäre ein zweites System besser wo man quasi selbst den "Man in the middle" spielt und alle Packete die da rein und rausgehen (und das werden eine ganze Menge sein) zu prüfen ob diese an Adressen gehen die man kennt oder welche die einem suspekt sind. Das kann ein weiterer PC sein der dazwischen hängt oder aber z.B. 'ne eigenständige Firewall (sofern die ein brauchbares Log hergibt).

Ein Rootkit zu finden kann eine ziemlich harte Nuss sein. Andererseits machen Menschen halt auch Fehler (auch die pösen). Ich weiß aus eigener Erfahrung daß nicht wenige Systeme schlamping infiziert werden. Das heißt derart infiziert daß sie den User stören so daß dieser entweder selbst sucht oder jemanden anruft der das für ihn tut. Ein gutes Rootkit würde derartige User-verstörungen nicht machen und ein guter Eindringling würde sich auch besser verstecken (also geh ich mal davon aus daß es auch "glückliche infizierte User" gibt). Es ist aber nicht so daß man keine Chance hat. Es muss auch gar nicht immer ein Rootkit sein. Könnte auch einfach nur ein doofer Trojaner sein der ganz einfach als sichtbarer aber unscheinbarer Prozess läuft und Daten hin und her schickt. In dem Fall wirst du ihn in vielen Fällen mit den Standard-Windows-Tools finden können (oft ganz trivial schon beim Durchforsten von HKCU\Software\Microsoft\Windows\CurrentVersion\Run bzw selbiges in HKLM). Wobei Trojaner aber in der Regel von Anti-Virensoftware gefunden werden sollten (und eine Neu-installation zu viel Aufwand wäre). Manches kriegt man (so fern es nicht zu weit zurück liegt) auch mit dem Systemrollback wieder weg. Generell aber ist es besser nicht "nachher zu suchen" sondern "vorher zu vermeiden" insbesondere im Fall von Rootkits. In jedem Fall wo wir in den letzten Jahren Anrufe gekriegt und kompromitiere Systeme gefunden haben war der Rat am Ende der selbe: Neu installieren (weil diesem System kaum mehr jemand vertrauen wird, selbst wenn man sich manuell durchwurstelt - was in der Regel eh länger dauert als Neu installieren). Ob man das immer 100% vermeiden kann ist aber halt wieder eine andere Geschichte und ob weitere zusätzliche Betriebsysteme helfen die da jetzt noch zusätzlich mit eigenem Netzwerk-stack laufen können - was auch immer das für einen Sinn ergeben mag (und somit dein Windows umgehen) - ist fraglich (-> UEFI).

[Rebon]

So ein Tool wie z. B. PeerBlock ist bei so etwas ganz nützlich
http://www.peerblock.com/

Ein kleines Problem dabei ist allerdings zwischen den Zugriffen vom eigenem ISP und dem Rest zu unterscheiden.

[Thorium]

Wenn du den Verdacht hast, das dein System kompromitiert ist, solltest du umgehend das System neu aufsetzen und deine Passwörter für eMail, etc. ändern.

Ist das System einmal kompromitiert hast du schon verloren. Da was zu finden und zu entfernen kann schwierig werden. System neu aufsetzen ist einfacher. Die Polizei wird dir bei derart gut getarnter Software sowieso nicht weiterhelfen können.

[PB42]

Danke für alle weiteren Tipps. Leider bin ich erst jetzt wieder in diesem Forum, wiel es beruflich bei mir zur Zeit ziemlich dick ist. Die Firewall, die ich habe, ist Avira Antivirus-Suite. Betriebssystem neu aufsetzen habe ich noch nie gemacht, aber vielleicht wird es wirklich darauf hinauslaufen. Spannender würde ich allerdings finden, eine Kompromittierung aufspüren zu können.

[bobobo]

wegen des komischen taskmanagers
http://www.windowspower.de/wenn-der-tas ... t_885.html

Ansonsten holst Du Dir mal en paar tools von sysinternals (ist microsoft) und gibts bei google

procexplorer ist der besserre Taskmanager und
der procmon
schaut den Programmen ziemlich genau in den HIntern, was die so alles treiben.

Den Output muss man aber auch lesen können.