Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Seltsames Verhalten meines Rechners

Frage Sicherheit Erkennung und -Abwehr

Mitglied: 72785

72785 (Level 1)

09.12.2008, aktualisiert 10.12.2008, 5150 Aufrufe, 17 Kommentare

Hallo zusammen,

seit einiger Zeit beobachte ich an meinem Rechner in der Arbeit ein seltsames Verhalten.

Der Win-XP-Rechner scheint zu bestimmten Zeiten sehr beschäftigt zusein, auch wenn ich an dem gar nicht arbeite. Da ich 2 Rechner bedienen muss, kommt es vor das der betroffene Rechner im Netzwerk aktiv wird, in dem der bildschoner deaktiviert wird und die Maus ziemlich zuckt (Wechsel Mauszeiger/Sanduhr). Zusätzlich erscheint in der Tasleiste unten rechts ein ICon einer Anwendung (DivX Player), die gar nicht aktiv ist. Das dauert in der Regel einige Minuten. Ich habe als erstes den Namen des Players (Exe Datei) umbenannt, so dass es als Programm gar nicht ausgeführt werden kann. Trotzdem blinkt das Icon immer wieder, während die Maus immer wieder die Aktivität des Rechners signalisiert. Wohl gemerkt während ich am Rechner nicht arbeite.
Mögliche Programme wie Antivirus sind es nicht. Ich habe es so eingestellt dass es sich ganz in der Früh aktualisiert... Unsere Adminsitratoren nutzen VNC. Dieses Programm ist in der Regel beendet, wenn es nicht gebracuht wird.

Meine Frage/Vermutung: es könnte sein, dass jmd aus unserem Unternehmen etwas nutzt um um BigBrother zu spielen.
Wie kann ich die Ursache dieses Verhalten identifizieren?
welche Tools sind hier nützlich?


vielen Dank für Eure Hilfen
Wantsec
Mitglied: HightopOne
09.12.2008 um 19:34 Uhr
wenn du den verdacht hast,dass aus dem Netzwerk zugegriffen wird,dann nimm Wireshark und scann mal fleißig mit.

Wenn es sich um ein Firmennetzwerk handelt,solltest du dafür aber eine schriftliche genehmigung haben,dass Netzwerk zu scannen.

hier zum tool http://www.wireshark.org/
Bitte warten ..
Mitglied: 72785
09.12.2008 um 20:08 Uhr
Das wird schwierig mit der schriftlichen genehmigung.
Da ich die hohheit über meinen rechner habe, würde mich ein tool interessieren, das lokal installiert und nur die rechneraktivitäten / ports anzeigt.

gibt es so etwas?
Bitte warten ..
Mitglied: HightopOne
09.12.2008 um 21:06 Uhr
dazu haste von mir den link bekommen,weil dass was du vorhast geht nur mit einem Sniffer und Wireshark ist ein Sniffer,ein sehr mächtiger noch obendrauf,dass heißt du hast damit die Möglichkeit den kompletten Netzwerkverkehr auf einer Schnittstelle (Netzwerkkarte) mitzuscannen(sniffen).

Wenn du dieses zuhause tust ist es deine Sache und es wird sich niemand daran stören,wenn du dieses aber in einen Firmen Netzwerk tust oder auch fremden Netzwerk,dann geht dieses Rechtlich gesehen nur mit ausdrücklicher Genehmigung,tust du es trotzdem,dann bist du a.) dein Job los oder erhältst zumindest eine Abmahnung und b.) wenn du Pech hast noch eine Freundliche Anzeige mit auf dem Weg nach Hause.

Ob du Hoheitsrechte auf deinen Firmenrechner hast oder nicht ist dabei total egal.

Das heißt jetzt für dich,dass du entweder etwas machst,was dich mit einen Bein in den Knast bringt(tool benutzen) oder du wendest dich an jemanden in deinem Unternehmen,der Firmen Administrator oder Sicherheitsbeauftragte des Unternehmens wären da ein guter Ansprechpartner und berichtest den von deinen Beobachtungen und die werden dann die entsprechenden Maßnahmen einleiten,so das du aus dem Schneider bist.
Bitte warten ..
Mitglied: 72785
09.12.2008 um 21:24 Uhr
Vielen Dank für die Aufklärung.

ich kann mich an frühere NT-zeiten erinnern. damals gab es ein tool net-watch oder share-watch... das lief lokal und zeigte zugriffe aus dem LAN-netzwerk an. ist sicher nicht vergleichbar mit wireshark...
Ich hatte an solche tools gedacht.

für mich ist eins klar: alles was rechtlich unzulässig oder aber auch nur fraglich ist, kommt für mich nicht in frage. da werde ich wohl unsere IT-leute involvieren...
Bitte warten ..
Mitglied: Driver401
09.12.2008 um 21:41 Uhr
Zitat von 72785:
da werde ich wohl unsere IT-leute involvieren...

Gut so - hättest Du gleich tun sollen. Ich halte meine User grundsätzlich an, bei allem was ihnen merkwürdig vorkommt, sofort Bescheid zu geben.
Lieber einen Rechner zuviel geprüft, als irgendwelche Trojaner oder sonstigen Mist im Firmennetz und hinterher das große Gejammere.
Bitte warten ..
Mitglied: HightopOne
09.12.2008 um 21:44 Uhr
Das denke ich ist das beste,ansonsten kann ich dir noch den Befehl für die CMD mitgeben wo du die offenen Ports,IPs und dazugehörige Anwendung etc ablesen kannst der wäre netstate -abno und mit netstate ? bekommste du eine übersicht,was alles damit geht.

probier ihn zuhause aus und dann weißt du, ob es das ist was du gesucht hast,aber selbst das ist sagen wir mal ein wenig schwammig und kann schon zuviel des guten sein.
Bitte warten ..
Mitglied: VW
09.12.2008 um 21:56 Uhr
Zitat von HightopOne:
Das denke ich ist das beste,ansonsten kann ich dir noch den Befehl
für die CMD mitgeben wo du die offenen Ports,IPs und
dazugehörige Anwendung etc ablesen kannst der wäre netstate
-abno und mit netstate ? bekommste du eine übersicht,was alles damit geht.
Du hast leider ein "e" zu viel. Richtig muss das dann
netstat -abno
sein.
Die Hilfe-Liste erhälst du dann mit
netstat ?
Wenn du nur IPs und Ports ohne Anwendungen haben möchtest (geht dann wesentlich schneller) nimmst du einfach
netstat -an
Mit freundlichen Grüßen,
VW
Bitte warten ..
Mitglied: HightopOne
09.12.2008 um 22:02 Uhr
Zitat von VW:
> Zitat von HightopOne:
> ----
> Das denke ich ist das beste,ansonsten kann ich dir noch den
Befehl
> für die CMD mitgeben wo du die offenen Ports,IPs und
> dazugehörige Anwendung etc ablesen kannst der wäre
netstate
> -abno und mit netstate ? bekommste du eine übersicht,was
alles damit geht.
Du hast leider ein "e" zu viel. Richtig muss das
dann
netstat -abno
sein.
Die Hilfe-Liste erhälst du dann mit
01.
 type=plain>netstat ?
Wenn du nur IPs und Ports ohne Anwendungen haben möchtest (geht
dann wesentlich schneller) nimmst du einfach
01.
 type=plain>netstat -an
Mit freundlichen Grüßen,
VW

stimmt hast recht,war mein fehler...

musste auch grad meiner Frau auf ihren rechner erklären,was ich damit auf meinen rechner gerade gemacht hab,verstanden hat sie glaub ich nur "blablablablubb" und gesehen hat sie nur wirres zeug wie Buchstaben und zahlen und sowieso nichts was selbsterklärend ist

Bei der frage dann von ihr,was ich dort tue,war meine antwort; "och,das mach ich grad nur aus langeweile" und schwupps war ihre cmd wieder geschlossen ^^
Bitte warten ..
Mitglied: 72785
09.12.2008 um 22:08 Uhr
Danke HightopOne.

ich werde die commands interessehalber im privaten netz ausprobieren.
Bitte warten ..
Mitglied: Iwan
10.12.2008 um 08:09 Uhr
guten morgen,

falls es lieber was grafisches sein soll:
http://www.microsoft.com/technet/sysinternals/utilities/TcpView.mspx
Bitte warten ..
Mitglied: Driver401
10.12.2008 um 09:05 Uhr
Zitat von Iwan:
falls es lieber was grafisches sein soll:

Weichei ---- SCNR
Bitte warten ..
Mitglied: Iwan
10.12.2008 um 09:39 Uhr
na, wenn es ein wahrer Windowser ist, dann steht er auf grafische Oberflächen
zudem kann man damit auch gleich Connections trennen
Bitte warten ..
Mitglied: 72785
10.12.2008 um 10:59 Uhr
Auch wenn ich kein netzwerk-admin bin, so kenne ich mich mit CLI und entsprechenden betriebssystemen aus

sowohl für mich als auch für die "suchenden" im forum kann der hinweis über die GUI-version nur von vorteil sein
Bitte warten ..
Mitglied: HightopOne
10.12.2008 um 12:58 Uhr
is doch egal,ob er die cmd,ne GUI oder was auch immer nutzt.

Fakt ist doch eins,wenn in der Firma am Rechner irgendwas läuft oder nicht läuft,was nicht der Richtigkeit entspricht,dann sollte immer der Firmen Admin hinzugezogen werden.

Und mal so nebenher gefragt,wie vielen von den hier anwesenden Admins würde es denn gefallen,wenn die User da anfangen selber herumzudoktern ?

Ich schätze mal keinem und wenn man so etwas mitbekommt,dann gibet doch auch in der Regel immer ein wenig schimpfe von uns.
Bitte warten ..
Mitglied: gnarff
20.12.2008 um 03:32 Uhr
Wuerde jemand via remote den Admin auf fraglichem Rechner spielen, dann haette das Umbenennen der *.exe ueberhaupt keinen Effekt, da der auf den Rechner Zugreifende ja mit Adminrechten ausgestattet ist und das leicht fixen kann.

Wenn Du nicht der Admin des Netzwerkes bist, dann ist es Deine Pflicht Ihm Deine Beobachtungen zu melden.

Da der Rechner offenbar Firmeneigentum ist, hast Du keinerlei "Hoheitsrechte".
Wenn Du durch Dein "hoheitliches Eingreifen" den Admin bei der Arbeit behinderst, wirst Du bald eins
- und zu Recht - auf den Deckel bekommen...

saludos
gnarff
Bitte warten ..
Mitglied: 72785
21.12.2008 um 08:31 Uhr
hallo gnarff,

dieser ton ist zu oberlehrerhaft!

Kein mensch hat davon gesprochen dass der admin bei siener arbeit behindert wird. jeder mitabeiter ist selbstverantwortlich in seiner handlung gemäss seiner fähigkeiten und kenntnisstand.
da ich an einem entfernten standort sitze (ohne admin) hat es sich bewährt die kollegen nur in dringenden fällen zu involvieren. bei den täglichen fragen kann man sich selbst helfen.

auch wenn der rechner firmeneigentum ist, mein job als tech-consultant erfordert es dass ich ihn -falls notwendig sogar plattmachen kann ohne dass jmd zustimmen muss. da selbst mit remote tools eine ferndiagnose oft schwierig ist.

mag deine sichtweise auf unternehmen zutreffen die du kennst. mein unternehmen regelt es erfolgreich anders.

mittlerweile habe ich die lösung des problems gefunden. es lag an google desktop. regelmässig wenn die daten indiziert wurden oder trat o.g. effekt.

wantsic
Bitte warten ..
Mitglied: gnarff
21.12.2008 um 22:50 Uhr
Meine Frage/Vermutung: es könnte sein, dass jmd aus unserem Unternehmen etwas nutzt um um BigBrother zu spielen.
Wie kann ich die Ursache dieses Verhalten identifizieren?
welche Tools sind hier nützlich?

- Nur um Dir Deine Frage in Erinnerung zu rufen...

Wenn es in eurem Unternehmen keine vernuenftigen Sicherheitspolicies gibt und auch die sonstigen Regelungen des Benutzerverhaltens so lax ausgelegt sind - wenn sie denn ueberhaupt existieren - muss ich dann einfach mal zur Kenntnis nehmen, auch wenn mir die Haare zu berge stehen.

Dass eine Diagnose mit via Remote-Admnistration schwierig ist, moechte ich einmal in Abrede stellen.

Dass Du als Tech-Consultant ueberhaupt in Betracht gezogen hast Google Desktop zu nutzen finde ich schon hoechst wunderlich; warum stellst Du nicht gleich Deine gesamten Dokumente online zur Verfuegung...

Saludos
gnarff
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Switche und Hubs
gelöst Seltsames Verhalten der NIC bzw. des Switches seit W10 1607 Update (11)

Frage von Augenadler zum Thema Switche und Hubs ...

Viren und Trojaner
gelöst Seltsames Verhalten! Virus? Plinker! (14)

Frage von achim222 zum Thema Viren und Trojaner ...

Batch & Shell
gelöst Seltsames Verhalten bei Errorlevel abfrage in FOR DO Schleife (1)

Frage von Kalma73 zum Thema Batch & Shell ...

Windows Userverwaltung
gelöst Mit der PoweShell die lokal angelegten Users eines anderen Rechners auflisten (7)

Frage von M.Marz zum Thema Windows Userverwaltung ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

DSL, VDSL
DSL-Signal bewerten (14)

Frage von SarekHL zum Thema DSL, VDSL ...