Probleme mit Systemsicherheit bei Windows XP!

#1 Halle Leute,

ich bemühe mich zwar immer, mein System so gut wie möglich zu schützen,
aber trotzdem habe ich den Verdacht, daß es von außen okkupiert worden ist.

Tatsache ist:
Gestern war mir bei T.Online das einloggen nicht mehr möglich.
Fehlermeldung: Falsche Anmeldedaten.

Soweit noch nicht ungewöhnlich, passiert halt bei denen mal ab und zu, trotz hoher Preise. Der Zugang ist dann für einen Tag gesperrt.

Meine Recherche hat heute ergeben, nach erneutem vergeblichen Einloggversuch, daß in den Internet-Einstellungen der DFÜ-Verbindung falsche Daten enthalten waren und die Verbindung daher garnicht funktioneren konnte.

Die Daten habe ich aber niemals geändert. Zu meinem PC habe nur ich direkten Zugriff.

Wenn ich im Internet surfe, dann nur mit eingeschränkten Benutzerrechten.
Ich verwende eine Firewall mit von mir selbst erstellten sehr restriktiven Einstellungen, alles ist überwacht. Ein Virusscanner läuft ebenfalls. Allerdings beides Norton (NIS 2005).

Es hat jetzt auch sehr lange Zeit keinerlei Probleme gegeben.
War mit NIS 2002 bis 2004 damals nicht so, da gab's laufend Probleme.
Erst mit NIS2005 war erstmals einigermaßen Ruhe.

Als Ursache kommen für mich nun zwei Möglichkeiten in Betracht:
1.) Jemand hat es geschafft mein System von außen zu manipulieren
2.) Probleme mit der Festplatte
3.) Jemand hat es geschafft ein Programm einzuschleusen, daß Dateien auf System-Level manipuliert. Somit finden dann keine eigentlichen Programmzugriffe statt, die durch das System verhindert würden, sondern die Daten werden direkt auf der Festplatte manipuliert.

Zu Punkt 3 muss ich anmerken, daß in letzter Zeit beim Systemstart die Festplattenüberprüfung automatisch anläuft und daß eine Fehlerkorrektur gemeldet wird. Das System läuft danach ohne weitere Probleme.

Hat vielleicht jemand von Euch eine Idee was man dagegen machen könnte, oder ähnliche Erfahrungen ?

Bisher behelfe ich mir so, daß ich das letzte Systembackup zurück spiele, sobald mir etwas spanisch vorkommt, mit anschließendem Update von NIS und Windows. Kostet halt jedesmal ca. eine halbe Stunde, bis das System wieder sicher läuft. Eine Überwachung mit Ethereal hat bisher nichts Verdächtiges ergeben.

Außerdem verwende ich Norton System Works. Da habe ich den Verdacht, daß bei der Überprüfung der Festplatten lediglich die internen Windows-Programme aufgerufen werden. Mit Norton scheint mir die Festplattenprüfung schlichtweg unmöglich, sie wird einfach nicht ausgeführt, selbst wenn man es in den Einstellungen so angibt, daß die Überprüfung beim Systemstart stattfinden soll.
Norton geht offensichtlich von einer Standardkonfiguration aus, mit Laufwerk C: als Systemlaufwerk, auf dem sich das Windows befindet.

Es gibt zwar Laufwerk C: mit einem Windows, aber das ist nur ein minimales Notfallsystem.

Gruß
Cascade
__________
Der Pessimist sagt: "Schlimmer, als es jetzt ist, kann es nicht kommen." Der Optimist sagt: "Doch, es kann ..."
Ich bin sehr optimistisch, was die Zukunft angeht ...

#2 OK, geb' ich zu ...

im Sinne von Asdrubals sehr guter Anleitung zur Erstellung eines guten Threads

http://board.protecus.de/t17768.htm

ist der Anfang hier etwas daneben geraten ...

Also:
- Betriebssystem Windows XP
- Firewall NIS2005
- Administrator-Konto nur für PC-Verwaltung
- Eingeschränktes Konto für Internet
- diverse SW+HW zur Systemwiederherstellung bei Verdacht auf Malware, Viren, etc.
- diverse SW zur Erkennung von Trojanern, Viren, Rootkits, etc.

Aber trotz allen Vorkehrungen ...
Jetzt habe ich ein etwas älteres Backup zurück gespielt, die XP-Firewall aktiviert, ein Update von Windows und NIS2005 durchgeführt, XP-Firewall wieder deaktiviert ... nun ist erst einmal wieder Ruhe im Karton.

Allerdings war etwas sehr seltsam:
Nachdem ich das Backup zurück gespielt und das Windows- und Firewall-Update durchgeführt hatte, klingelte ein paar Minuten später das Telefon. Die Rufnummer des Anrufers wurde nicht angezeigt. Es klingelte bis zum Abnehmen des Hörers. Mit der Abnahme des Hörers war die Verbindung weg.
Einen Tag danach, etwa um die gleiche Uhrzeit, als ich weitere Internet-Einstellungen am PC vorgenommen hatte, das gleiche Spiel.

Verdacht: Überprüfung ob jemand zuhause ist, z.B weil Verbindung zum PC wegen des Backups nicht mehr möglich ist.

Ich habe mich bei der Telekom nach der Rückverfolgbarkeit solcher Anrufe erkundigt. Eine Fangschaltung ist lt. Telekom kein Problem, auch wenn die Gegenstelle den Kontakt sofort unterbricht. Kostet 40€ für 2 Wochen, ist also noch bezahlbar, selbst wenn es über längere Zeit laufen müsste. Sollte so etwas also jetzt öfter vorkommen werde ich das mal beauftragen.

Äußerst seltsame Geschichte das .... vielleicht bin ich aber auch nur ein bisschen paranoid.

Vielleicht ist es doch nur ein Problem mit der Festplatte und alles Andere nur Zufall.
Trotzdem ... Vorsicht ist die Mutter der Pozellankiste ....

Ich habe alle hier in den diversen Foren gefundenen Möglichkeiten ausprobiert ... es ist einfach nichts zu finden ...

Cascade

------------------------------------------------------------------------
Sollte Euch mein Thema nerven bitte ich vielmals um Verzweiflung ...
__________
Der Pessimist sagt: "Schlimmer, als es jetzt ist, kann es nicht kommen." Der Optimist sagt: "Doch, es kann ..."
Ich bin sehr optimistisch, was die Zukunft angeht ...

#3 Also, das ist jetzt für mich wirklich kein Witz mehr ....

Heute ist es schon wieder passiert. Wie ich feststellen konnte wurde dabei sogar die ständig aktivierte Anrufbeantworter-Funktion ausgeschaltet. Bei dem Anruf war offensichtlich die Runfnummerübermittlung unterdrückt, es wurde also keine Rufnummer angezeigt. Daher habe ich es klingeln lassen, in der Hoffnung, es würde jemand etwas auf den Anrufbeantworter sprechen. Um so größer war meine Verwunderung, als ich feststellen mußte, daß der Anrufbeantworter durch diesen Anruf ausgeschaltet worden ist. Die Anzeige-LED hat des Anrufbeantworters hat bis zum Zeitpunkt des Anrufes geleuchtet. Während des Klingelns ging sie plötzlich aus.
Auf dem Anrufbeantworter war natürlich keine Nachricht zu finden.

Ich bilde mir das also nicht nur ein, daß es ein Problem gibt, sondern das Problem ist real. Mittlerweile scheint mir die Beauftragung einer Fangschaltung garnicht mehr so unabwegig zu sein.

Ergo ... ich werde alles daran setzen den Verursacher zu identifizieren.

Rückblick ....

Erster Tag:

Älteres Backup zurück gespielt, wegen Verdacht auf Infektion oder Fernsteuerung des PC's, etwas funktioniert nicht mehr so wie sonst, obwohl von mir nichts verändert wurde. Keine neuen Programme, keine Mails, nichts.

Danach Windows-Firewall aktiviert und Update von Windows und NIS-Firewall durhcgeführt. ....
Kurz darauf läutet das Telefeon ... keine Rufnummernanzeige .... sobald man abhebt ist die Verbindung weg.

Zweiter Tag:
Live-Update der NIS-Firerwall. Danach gleiches Spiel wie am Tag zuvor.

Dritter Tag:
Mit dem PC im Internet. Telefon klingelt. Ich lasse das Telefon klingeln. Keine Rufnummernanzeige. Anrufbeantworter ist an. Den Telefonhörer nehme ich nicht ab und lasse das Telefon klingeln. Vielleicht hinterlässt der Anrufer ja eine Nachricht auf dem Anrufbeantworter.
Aber:
Das Telefon hörte nach einiger Zeit auf zu klingeln. Eigentlich hätte der Anrufbeantworter anspringen müssen, ist ja schließlich eingeschaltet. Wundersamer Weise ist der Anrufbeantworter, der gerade noch eingeschaltet war, plötzlich abgeschaltet. Irgend etwas geht hier nicht mit rechten Dingen zu, wie kann so etwas sein ? Auf dem Anrufbeantworter fand auch keinerlei Aufzeichnung statt, einfach nichts.

Noch zu erwähnen sei vielleicht, daß ich einen ISDN-Anschluss mit TDSL habe.
Ich erwäge wirklich so eine Fangschaltung zu beauftragen. Von der Telekom erhalte ich in den nächsten Tagen dazu Unterlagen.

Ergänzend möchte ich dazu noch erwähnen, daß eigentlich kein Mensch dazu in der Lage ist, den Telefonhörer exakt in dem Moment aufzulegen, in dem bei der Gegenstelle der Hörer abgehoben wird. Normalerweise gibt es immer einen Zeitraum, wenn auch noch so kurz, daß Geräusche übertragen werden, sei es auch nur ein kurzes Klicken. Ich gehe daher davon aus, daß diese Anrufe automatisiert sind und die Verbindung unterbrochen wird sobald jemand abhebt, bzw. sobald der Anrufbeantworter anspringt.

Cascade
__________
Der Pessimist sagt: "Schlimmer, als es jetzt ist, kann es nicht kommen." Der Optimist sagt: "Doch, es kann ..."
Ich bin sehr optimistisch, was die Zukunft angeht ...

#4 Ich würde Windows mal komplett neu installieren und zwar nur mit Software die wirklich zwingend notwendig ist und eine Fangschaltung einrichten lassen. Vielleicht hast du eine kompromitierte Version irgendeiner Software die du jedes mal wieder draufinstallierst.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#5 @asdrubal

danke für die Antwort. Entschuldige, daß ich mich erst jetzt wieder melde, war in Urlaub ....

Das Problem ist inzwischen gelöst. War offensichtlich nur Zufall mit den Telefonanrufen, also blinder Alarm. An kompromitierte Software, die jedesmal wieder mit zurück gespielt wird, hatte ich auch erst gedacht. Kann ich aber inzwischen ausschließen. Vielleicht bin ich doch etwas zu übervorsichtig.

Ich bleibe bei meiner Strategie: Wenn das System seltsames Verhalten zeigt wird auf eines der letzten Backups zurück gegriffen und anschließend Firewall und Windows aktualisiert. Danach werden dann, falls erforderlich, die seit dem Backup neu installierten Programme wieder installiert. Sind aber meist nur sehr wenige.
Neue Software, soweit sie aus dem Internet oder von Freunden stammt, wird mittlerweile erst einmal auf einer Art Quarantaine-PC installiert und näher untersucht, bevor ich sie auf einem der anderen PC's einsetze.

Cascade
__________
Der Pessimist sagt: "Schlimmer, als es jetzt ist, kann es nicht kommen." Der Optimist sagt: "Doch, es kann ..."
Ich bin sehr optimistisch, was die Zukunft angeht ...