'tschuldigung erst mal wegen dem langen Schweigen im Walde!
Also - ich habe gebastelt. Erst mal eine Boot-CD, von welcher der Computer Montag nicht booten wollte. Was seltsam ist, weil ich mich deutlich erinnern kann, daß der Computer bei der Windows-Installation damals sehr wohl von CD gebootet hat. Bei einem kurzen Blick ins Bios wurde mir als first boot device [removable ram] angegeben. Na gut, dachte ich, das kann ja eigentlich nur einen Stick meinen. Also hab ich's heute mit dem frisch gebastelten Boot-Stick versucht, weil ich die eingestellte Boot-Reihenfolge nicht unbedingt ändern wollte. Gebootet hat der Computer von seiner Festplatte.
Langsam wird mir die Sache unheimlich.
Eines steht jedenfalls fest, mein Chef hat da nichts umgestellt. Der würde das Boot-Menü nicht mal finden, wenn es ihn in den ... tritt.
Malwarebytes im Normalbetrieb hat außer einem infizierten Registry-Value nichts gefunden:

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SVCHOST (Trojan.Agent) -> No action taken.

Damit steht AntiVir jetzt wenigstens nicht mehr allein auf weiter Flur, wenn es mich ständig vor einem Trojaner an Bord warnt, den unser Admin "nicht findet".

Autoruns hat mir eine elendslange Textdatei abgespeichert, mit der ich, abgesehen davon, daß sie trotz zweimal WinXP-Pro, no na net, irgendwie anders aussieht als die von meinem Privatcomputer, wenig anfangen kann und die ich hier vermutlich auf drei oder vier Etappen posten müßte, um den zulässigen Zeichenhöchstbetrag nicht zu überschreiten. Wenn Autoruns "Everything" scannt, dann meint es wirklich ALLES... Falls jemand den ganzen Wust sehen will, bitte Bescheid geben. Es sind 8 bildschirmfüllende Seiten. Ich mach dann Screenshots davon und häng sie an. Ich glaub aber irgendwie nicht daran, daß Autoruns im Normalbetrieb irgendwas gefunden hat, das es nicht hätte finden sollen.

Zwischenzeitlich poppen einmal täglich die AntiVir-Warnungen vor AktualSpy.FX, Orvell.G.3 und Spy.644608.1 hoch, die ich brav (und dämlich, wie User nun mal sind) nach Anweisung in Quarantäne verschiebe.
Morgen versuch ich mal, ob sich die Bootreihnfolge überhaupt ändern läßt, damit ich doch noch von CD booten kann. Mal sehen, ob DAS klappt... 

Das abändern der bootreihenfolge sollte problemlo für einmal möglich sein.Meist muß man eien taste drücken,um beim start eine auswahl zu bekommen.
 Sende mir bitte eien PM,dazu must Du dich regestrieren,was aber recht billig möglich ist.
Da es sich um firmenrechner handelt,wäre es sehr unklug,diese berichte online zu stellen.
Weiteres per PM.

Danke schön, w2, aber leider erst heute abend gelesen. Das mit der Boot-Reihnfolge hab ich (schwitzend...) geschafft, inklusive, hinterher den vorgefundenen Zustand wieder herzustellen. First Boot Device nannte sich übrigens [removable Dev], nicht "Ram", wie ich gestern irrtümlich gepostet hab, und schöne Grüße von Herrn Alzheimer. Sollte m.M.n. immer noch der USB-Stick sein, von dem aus es nicht geklappt hat. Von Notfall-CD, die auf dem heimischen Rechner klaglos funktionierte, zu booten, hat geklappt - aber nicht viel gebracht. Es war mir schlicht unmöglich, auch nur ein einziges Diagnosetool zum ordnungsgemäßen Laufen zu bringen, geschweige denn, ein Log zu speichern, was auf dem heimischen Schrott- und Versuchsrechner ebenfalls problemlos funktioniert hatte. Entweder sind die Firmencomputer (Arbeitsspeicher UNTER 512 MB RAM...) schlimmerer Schrott als mein 9 (in Worten: Neun) Jahre alter Methusalem zu Test- und Übungszwecken, oder da ist was geschraubt worden, um das Booten anderer Systeme zu verhindern. Nach drei Mittagspausen vergeblicher Analyseversuche verdächtige ich letzteres. Um irgendwelche brisanten Firmengeheimnisse zu wahren, wäre sowas allerdings nicht nötig - sowas haben wir da nicht.  Was die damit gegebene Gefahr betrifft, mein Chef könnte (auf Umweg über jemanden, der sich mit sowas auskennt) von meinen Versuchen erfahren, einen hartnäckigen Trojaner und sonstige Spionagesoftware auf dem System aufzuspüren und mich deswegen als zu besorgte und engagierte Mitarbeiterin, die ihre Nase in Dinge steckt, die sie nichts angehen, kündigen - sagen wir's so: Damit könnte ich leben.
In dieser Firma haben wir unter uns Kollegen kein Mobbing-Problem. Für sowas ist bei uns der Chef persönlich zuständig.
Nachdem ich nun mein Herz ausgeschüttet hab, werf ich das Handtuch - außer es hat noch jemand eine konstruktive Idee, wie man getarnte Spionageprogramme nachweisen kann, ohne das Firmennetzwerk mit dem Vorschlaghammer zu booten.
Ach ja - die des öfteren empfohlene Tastenkombination Strg+Alt+Shift+0, bei der Orvell sich zu erkennen geben sollte, hab ich ohne Reaktion ausprobiert.
Vielleicht bin ich ja wirklich nur paranoid.
Andererseits...

Es sollte möglich sein,eine windows PE cd zu booten.Geschraubt haben die da nix.
Mache doch mal folgendes:
wenn der rechner aus ist,ist er ja nicht im firmennetz.Demnach vor start netzwerkleitung auklinken,dann BartPE starten.Wenn man das genaue rechner modell wüste,könnte man weitere überlegungen anstellen.
Eine notfall Cd hat der gast pankie verlinkt.Beschschaffe Dir diese und teste damit,ob ein start möglich ist.Version 9.9 enthält ein fertiges mini XP.
wie bist Du bei dem stick vorgegangen?
Konntroliere mal,ob der rechner mit spezialschrauben zu ist oder nicht.wenn es normale kreutzschrauben sind,mache mal ein bild vom inneren.Der rechner sollte dabei aber ausgeschaltet sein,um zu verhindern,das der admin wind von der sache bekommt.Im laufenden zustand könnte der sonst ins büro kommen.Mich würde intressieren,ob ein dongel verbaut wurde.

Okay... Netzwerkleitung ausklinken, kein Problem. Die find ich grad noch. Und, wie gesagt, auf heimischem Schrott bootet die CD problemlos, und dann kann man auch damit was arbeiten. Das hab ich ausprobiert.
USB-Stick - den hab strikt nach Rezept mit BartPE gebraut, da gibt's eine PC-Welt-Version für Boot-Stick. Zuhause ausprobiert hab ich den allerdings nicht, weil das BIOS von meinem Alten mit Booten vom USB-Stick ein wenig überfordert wär... und den Neuen nehm ich ungern als Versuchsratte. Könnte also schon sein, daß mit dem Stick was nicht stimmt.
Dongel?!? - Aufschrauben kann ich den Puter problemlos, ich hatte schon einen von denen offen, um ein defekt geliefertes DVD-Laufwerk zu tauschen. Ein Foto von den Innereien zu schießen und hier anzuhängen, sollte auch kein Problem sein - schätze ich mal. Und bis jetzt (anderthalb Jahre) ist der Chef eigentlich noch nie während der Mittagspause in unser Büro rüber gekommen. Und falls doch... dann hat das Ding eben komische Geräusche von sich gegeben oder sowas.
Und ausschalten tu ich Computer gewohnheitsmäßig, bevor ich was aufmach - denn meistens mach ich das, um anschließend darin herum zu stochern.
Was für ein Computermodell - tja, schlampig zusammengeschraubter Billigschrott, würde ich sagen. Mal schauen, ob ich irgendwo ein SandraLite-Log davon hab.
Also... ich lese und gehorche und meld mich dann morgen abend wieder!

 

Und bis jetzt (anderthalb Jahre) ist der Chef eigentlich noch nie während der Mittagspause in unser Büro rüber gekommen. 

Dann wird es ja Zeit, dass er das einmal macht und Dir ggf. die Grenzen aufzeigt innerhalb der Du Dich als Arbeitnehmer bewegen solltest. BTW, was machst Du während Deiner Arbeitszeit, ausser hier Märchen Deiner Unschuld von Dir zu geben und an Deinen Dir nicht gehörenden Arbeitsmitteln "herumzubasteln" und versuchen, legitime Kontrollmechanismen zu finden und zu umgehen?? Deine Paranoia ausleben? Die Zeit "totschlagen"?? Deinen Arbeitgeber um bezahlte Arbeitszeit besch...en??

 

oder da ist was geschraubt worden, um das Booten anderer Systeme zu verhindern. Nach drei Mittagspausen vergeblicher Analyseversuche verdächtige ich letzteres.

Was wir alle hoffen wollen, wenn Dein Arbeitsgeber mehr solcher Arbeitnehmer wie Dich hat.

 

Um irgendwelche brisanten Firmengeheimnisse zu wahren, wäre sowas allerdings nicht nötig - sowas haben wir da nicht.

Das zu beurteilen, solltest Du Deinem Arbeitgeber überlassen.

 

Von sandra lite lass mal die finger.sowas hat auf firmenrechnern ohne genehmigung das admins nix zu suchen.
Ein bild vom inneren reciht.Dabei peinlich darauf achten,da das bild nix zeigt,was ein au-enstehender mit der firma verbinden könnte.Notfalls brisante bildinhalte unkenntlich machen.

Erst mal hallo, zusammen! Wollte mich nur kurz melden - was Neues hab ich nicht. Bin die letzten zwei Tage am Firmencomputer zu nix gekommen, außer Arbeiten. Vierzig Minuten Mittagspause sind auch nicht besonders lang für Computerprobleme... Ich bin auch nicht sicher, ob da noch was zu finden sein wird: Donnerstag abend lief "mein" Computer (laut AntiVir-Ereignisbericht) wieder mal nach Feierabend anderthalb Stunden lang, und gestern waren die drei Standardwarnungen verschwunden. HijackThis und Malwarebytes liefern allerdings nach wie vor den Hinweis auf einen Trojaner an Bord.
zu Sr Member Pro PWT: Aber jaaa, CHEF! Ansonsten empfehle ich, auf den Zeitstempel der Postings zu achten und ein wenig Lektüre:
http://www.abendzeitung.de/politik/96233
http://www.ra-sonnenberg.de/deu/news_downloads/news_detail.asp?id=75
http://www.kvschweiz.ch/Context/Archiv/2008/Context_3_08/Ueberwachung_3_08
http://wien.arbeiterkammer.at/online/spionage-software-40445.html
und so weiter, obwohl das hier kaum das richtige Forum für ethische Grundsatzdiskussionen sein dürfte.
Mit ganz lieben Grüßen...

Du könntest natürlich ein abbild vom system machen und darin zuhause in ruhe suchen.Nur kostet das zeit.

Hmmm... Wär wohl auch eine Möglichkeit. Daten liegen auf der Systempartition sowieso keine, in der Beziehung wär das also nicht kritisch. Genau genommen, liegen auf dem Gerät gar keine Firmendaten, die werden andernorts gespeichert. Ich möcht aber trotzdem lieber vorher schauen, was "mein" Computer tut, wenn man ihn kurz vom Netzwerk trennt und dann neu bootet. Der Trojaner, den ich da noch sitzen hab, macht mich nervös! 

trenne ihm vom netzwerk vor dem einschalten,eventuel werden einige netzlaufwerke nicht verfügbar sein.Dann könnte man mit TCP view nachsehen,
mich würde mal ein bild von autoruns aus alen sektionen intressieren.Bild im netz deponieren,link per PM an mich.Nicht ins forum stellen.