| |
| |||||||
Log-Analyse und Auswertung: Infektionsverdacht (Rootkit, Botnet, Remote Access) / Win7 SP1 / 64bitWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
15.07.2011, 13:34
| #1 |
 |  Infektionsverdacht (Rootkit, Botnet, Remote Access) / Win7 SP1 / 64bit Guten Tag, normalerweise würde ich in einem Fall wie diesem den PC Formatieren und neu Aufspielen, jedoch ist die Lage diesmal etwas anders. Informationen vorab: Der Virenscanner (Antivir Free) meldet natürlich nichts. Als Browser wurde ein aktueller Firefox mit Adblock und NoScript verwendet, momentan schreibe ich von meinem Linux System  Wie kam es zu dem Verdacht: Da ich eine Ausbildung im IT bereich gemacht habe und bereits Kenntnisse mit Viren und anderen Bedrohungen habe, verwende ich auch auf meinen PC Systemen Programme welche mehr Funktionalität bieten als der normale Taskmanager. Im Process Hacker (einem security task manager) werden außer den Prozessen auch weitere informationen angezeigt, unter anderem auch die offenen Netzwerkverbindungen... Normalerweise wird angegeben zu welchem Programm eine Verbindung gehört, bei 2 Einträgen sah ich allerdings nur "Unknown process - *IP Adresse* - Port 80 - Last ACK". Nachdem ich in Firefox ein Whois zu der ersten Adresse gestartet hatte und zurück im Process Hacker war verschwand der Eintrag unerwartet (geschlossene Verbindungen werden normalerweise rot gekennzeichnet und verschwinden dann erst, diese verschwanden einfach). Nachdem ich den whois zur zweiten Verbindung gestartet hatte war auch dieser während ich den Process Hacker offen hatter nach kurzer zeit einfach weg... Die whois Einträge haben mich zu 2 verschiedenen deutschen Werbeagenturen geführt (normale Unternehmenswebseiten), wodurch ich realisiert habe, dass ich Teil einer DDoS Attacke sein könnte. ------------------------------------------- Kurz darauf habe ich die Internetverbindung getrennt und mit meinem Linux System die Mail Passwörter zurückgesetzt, welche ich vorher im PC eingegeben hatte (noch bevor mir die Verbindungen aufgefallen waren). Jetzt gerade schreibe ich hier.. und scanne weiter den PC Hijackthis Logs habe ich 2 (einmal vor der Reinigung von seltsamen Einträgen und einmal danach) diese werde ich später posten. Wenn jemand eine Idee zu diesem Fall hat: Hilfe ist sehr willkommen. MfG Close1
__________________ Freundliche Grüße Close1 -- [leichenwagen@twitter] Erst wenn der letzte Programmierer eingesperrt und die letzte Idee patentiert ist, werdet ihr merken, daß Anwälte nicht programmieren können. Geändert von close1 (15.07.2011 um 13:39 Uhr) Grund: Rechtschreibung |
| Themen zu Infektionsverdacht (Rootkit, Botnet, Remote Access) / Win7 SP1 / 64bit |
| .html, adblock, antivir, bot, botnet, browser, defogger, firefox, formatieren, free, hacker, hijack, hijackthis, internetverbindung, ip adresse, linux, mail, neu, port, port 80, programme, prozesse, remote, remote access, rootkit, scan, security, system, systeme, tan, thread, verdacht, win7 |
Baum-Darstellung