[DarkSmile]

Hallo myGully - User,

ich habe das Gefühl, dass mein PC überwacht wird, da unter normalen Verhältnissen die Latenz von üblichen 20ms auf ca. 2000ms gestiegen ist. Zuerst dachte ich, dass jemand anders gerade etwas runterlädt, jedoch hat sich innerhalb der nächsten 2 Tage nichts geändert. Als ich dann in der Konsole mit "netstat" die aktiven Verbindungen überprüft hab, war ich erstmals verwundert. Es kamen im Sekundentakt neue Verbindungen hinzu und es hörte auch nach ca. 5 Minuten immer noch nicht auf. Die meisten Adressen sahen in etwa so aus :

123.123.123.123:12345
123.123.123.123:http
ABC-ABC-123-123-123-123
ABC-ABC-123-123-123-123:http
*:http
etc.

Zuerst dacht ich, dass ich mir wohl irgendwo nen Virus/Trojaner oder Keylogger eingefangen hab also hab ich mir diesen [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] angeschaut und dann entschlossen, mein System neu aufzusetzen.
Beide Platten formatiert und Windows nochmal neuinstalliert.
Dann wieder die ganzen Treiber installiert und erstmal Avira Antivir drauf, dass ich jetzt schon sehr lange benutz. Als dann der Download wieder eine halbe Ewigkeit für ca. 100mb dauerte, schaute ich nochmal in die Konsole und die ganzen alten Verbindungen waren wieder da.

Ich bin kein Profi auf dem Gebiet der Netzwerk- und Computersicherheit, ich habe halt immer brav mein Virenprogramm aktualisiert und das downloaden von Verdächtigen Seiten vermieden. Musik, Filme und Spiele habe ich früher hier aus myGully geladen, damit hab ich aber schon vor langem aufgehört, da ich mir inzwischen die Sachen lieber legal erwerb oder einfach auf "legalere" mittel zurückgreife, wie z.B. Musik über last.fm, 8tracks oder YouTube zu hören, anstatt sie runterzuladen.

Ich hoffe jemand kann mir sagen ob ich wirklich überwacht werde oder ob ich einfach nur Paranoid geworden bin.

Wenn ich eventuell hier im falschen Unterforum gelandet bin, dann bitte ich freundlich darum, dass ein Moderator diesen Post verschiebt, anstatt ihn zu löschen.

Mit freundlichen Grüßen
DarkSmile

[stanleybeamish]

Ich tippe mal auf deinen Router.
Mache doch mal einen Reset, geb dann deine Zugangsdaten neu ein.
Un prüfe das alles nochmal.
Wäre mein Weg.
Danach würde ich diese IP´s in einer Firewall (Router) sperren, wenn sie noch vorhanden sind.
Insgesammt komische Sache.
Hier kannst du diese IP´s prüfen :

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

oder

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Und nimmst mal probeweise Online Armor Free, um zu prüfen, was überhaupt raus und reinwill :

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
Gruss

[DarkSmile]

Also ich hab mal die IP - Adressen überprüft und geobytes sagt mir, dass eine verbindung nach Russland führt und eine andere nach Australien. Ich denke das ist nicht wirklich normal. In der Remote-Adressen Liste wird mir auch eine Verbindung angezeigt die inetwa so aussieht: HSI-KBW-123-123-123-123:http
Das HSI-KBW bezieht sich anscheinend auf meinen Anbieter, da ich bei Kabel - BW Nutzer bin, jedoch was das HSI bedeutet oder die Nummer habe ich keine Ahnung, eventuell weiß das ja jemand hier im Forum.

[stanleybeamish]

HOSTNAME LOOKUP. IP , Kabel-Badenwuerttemberg.
Das scheint normal bei dir.
Sperre sie mal probeweise in der Windows-Firewall oder eine andere.
Schau, was passiert.
Habe hier was ähnliches gefunden :

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Gruss

[DarkSmile]

Ich frage mich zurzeit nur, warum ich jetzt erst diese Adressen reinbekomm, muss ja irgendwas mit meinem Anbieter zu tun haben. Bin ja schon seit über 4 jahren bei Kabel - BW und bekomm erst jetzt diese Adresse. Kann es sein das ich direkt vom Anbieter überwacht werde? Wegen verdächtiger aktivitäten oder soetwas? kann es mir eigentlich selbst nicht vorstellen, weil bei den aktivitäten der letzten 12 Monate war nicht wirklich was illegales dabei, ausserdem gibts ja noch sowas wie datenschutz und wenn kabel-bw mich überwachen wollte, hätten die das bestimmt auch hinbekommen, ohne dass es in meinen aktiven verbindungen angezeigt werden würde und ich glaube auch nicht, dass Kabel-bw nichts mit irgendwelchen ip-adressen in Russland und australien zu tun hat. Ich lösche gerade nochmal die komplette platte und installier alle treiber von der cd aus und versuch es mal ohne die Windows updates. den wenn die verbindungen dann immer noch da sind, muss es am router liegen (schätze ich mal).

bis die platten voll ganz sauber sind, dauerts noch ne weile aber bis dahin, kann ich mich ja noch am laptop etwas schlau machen.

Mit freundlichen Grüßen
DarkSmile

[stanleybeamish]

Überwachung ist ziemlich aufwändig.
Könnt mir eher vorstellen, das du in irgendeiner Form Mitgliesd in einem Botnetz bist.
Vieleicht hilft ein Scan mit Malwarebytes.
Gruss

[stanleybeamish]

WHOIS findet bei 123.123.123.123 das :

inetnum: 123.112.0.0 - 123.127.255.255
netname: UNICOM-BJ
descr: China Unicom Beijing province network
descr: China Unicom
country: CN
admin-c: CH1302-AP
tech-c: SY21-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-CNCGROUP-BJ
mnt-routes: MAINT-CNCGROUP-RR
status: ALLOCATED PORTABLE

Google mit UNICOM-BJ findet unter anderem : "public access query for virus URL"

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Dann finde ich unter "Virus URI"

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Gefährlichkeit : Hoch gefährlich
Systemzugriff : Remote
Zitat :
"Zu dieser Kategorie gehören Schwachstellen, die es Angreifern erlauben, Zugriff auf das System zu erhalten und mit den Privilegien des lokalen Benutzers willkürlichen Code auszuführen."

Lass das lieber bleiben ohne Systemupdates.
Jage dein fertiges System mal über die unten angebotenen Onlinescanner :

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

und mache vorher diese IP 123.123.123.123 irgendwie dicht...am besten im Router.
Die Verbindung baut ganz klar dein PC auf, sperre sie am besten komplett.
Und wenn dann keine verdächtige Verbindung mehr aufgebaut wird, ändere alle deine Online-Passwörter.

Gruss

[DarkSmile]

123.123.123.123 war nur ein Beispiel, ich glaub das hätte ich erwähnen sollen, ich entschuldige mich vielmals dafür. Also Online Armor funktioniert zur zeit nicht, da ich die 30 tage trial version nicht aktivieren kann wegen irgendwelchen server problemen, dafür hat malewarbytes schon 3 Ips auf die ignorierliste gesetzt

eine aus russland, eine aus italien und eine aus den Niederlanden

es wurden jedoch keine verdächtigen oder infizierte daten gefunden
ich habe jetzt bisher mit
Norton Internet Security,
Malewarebytes,
McAffee Security Scan Plus,
BitDefender und
in kürze auch mit Kaspersky Lab untersucht.
Keine der Programme hat infizierte Dateien gefunden.

[vialukai]

Hier mal lesen: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] und nochmal alles so machen wie ich es geschrieben hatte, ganz besonders der 3. Absatz, die letzten zwei Sätze davon sind wichtig!

Und bevor du mit einer Neuinstallation anfängst, solltest du dieses ISO [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] runter laden und so deine Festplatte richtig löschen!

Für mich hört sich das Verhalten deines PC ganz nach einem Zombie an und das ist ziemlich unschön und mit einfachen Mitteln nicht so einfach zu lösen.

Viel Erfolg.

[DarkSmile]

Zitat:

Zitat von vialukai

Für mich hört sich das Verhalten deines PC ganz nach einem Zombie an und das ist ziemlich unschön und mit einfachen Mitteln nicht so einfach zu lösen.

Hi,
danke für die Antwort, aber kannst du mir mal kurz etwas über nen "Zombie" sagen? Würmer, Trojaner, Viren, Key-Logger kenn ich ja alles schon aber Zombie hab ich noch nie gehört und weiß auch nicht wirklich, was man dagegen unternehmen sollte. Das DBAN Programm einfach auf ne CD brennen und beim booten laufen lassen oder muss ich davor mehr unternehmen? Nochmals vielen Dank!

mfg
DarkSmile

[vialukai]

Ein Zombie ist ein zu einem Botnetz gehöriger PC der stumpf einen Befehl abarbeitet. Es gibt welche die sich sogar in den Master Boot Record(MBR) einer Festplatte einnisten. Des weiteren gibt es auch noch Rats, aber um jetzt die ganzen bösen Dinger zu erklären würde den Rahmen sprengen. Es reicht wenn man weiß das man seinen PC richtig formatiert und sauber installiert und sich dann auch richtig schützt.

Eigentlich müsste ich dir noch empfehlen den Rechner vom Netz für ein paar Stunden zu trennen und die Grafikkarte wie auch die RAMs auszubauen und daneben zu legen für die Zeit wie der PC Stromlos ist. Denn selbst in internen flüchtigen Speichern könnte sich etwas an Schadsoftware erhalten bleiben. Aber so schätze ich die Lage doch nicht so extrem bei dir ein. Du kannst das machen wenn du dich das zutraust und ein wenig Erfahrung mit der Hardware des PC hast.

Ich habe dban schon lange nicht mehr ausgeführt, aber wage mich daran zu Erinnern, dass man angeben kann -nach dem von CD gebootet wurde- wie viele Durchläufe er machen soll. Wenn es die Möglichkeit gibt, würde ich 7 Durchläufe empfehlen, dass sollte im allgemeinen reichen. Der MBR wird dabei auch überschrieben und später bei der Installation vom BS neu angelegt und beschrieben.

Wichtige Anmerkung: Wer eine unsichtbare Wiederherstellungspartition hat, sollte sich im klaren sein, dass die dann auch weg ist. Das sind die Betriebssysteme die mit einer sogenannten Wiederherstellungs-CD/DVD geliefert wurden, wie zB. bei manchen Laptops oder Geräte wie von Siemens, Dell und Co.!

[DarkSmile]

Mit meiner Hardware am PC kenn ich mich gut aus, werd den Pc einfach mal offline mit dban die Platten überschreiben lassen und dann für ne woche die Graka und Ram - Sticks ausbauen und bisschen "verstauben" lassen. Gibts eigentlich "Viren - Spezialisten" zu denen ich mein PC bringen kann und die mir relativ genaue Angaben zu meinem system in bezug auf Viren etc. sagen können und das beheben können? Würd mich mal interessieren Nochmals vielen dank für die Hilfe

mfg
DarkSmile

[vialukai]

Es gibt sehr wohl Fachbetriebe die sich nicht nur mit der Hardware auskennen. Meistens sind es Mitarbeiter die sich in der Freizeit weiterbilden und sich mit Sicherheitsrelevante Sachen beschäftigen. Allerdings kostet deren Wissen nicht gerade wenig. Schau einfach mal bei dir in deiner Stadt nach einem Unternehmen, welches auch Firmen betreut und schon länger am Markt sind.

Na ne Woche brauchste den nicht stehen lassen, es reichen eigentlich auch schon ein paar Minuten, aber ich sag immer so ne Stunde, dann kann man sich sicher sein.