| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Windows 7 Rechner nach mehrmaligem Neuaufsetzen evt. immer noch im BotnetzWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
15.01.2014, 21:25
| #1 |
| |  Windows 7 Rechner nach mehrmaligem Neuaufsetzen evt. immer noch im Botnetz Hallo, Forengemeinde. Mir ist dieses Forum wärmstes empfohlen worden, also leg ich mal mit meinem Computerproblem los: Mein Rechner - selbst zusammengebaut (ASRock H77 Pro, Intel Core i5-3550, (nur noch) 1x Corsair 4GB, DDR3) - mit Windows 7 64bit professional, zeigt seid kurz vor den Ferien folgende Eigenheit: Er versendet unregelmäßig UDP-Pakete an die IP 194.95.249.23 und Port 25903, von Port 46327, jendefalls zeigt wireshark das so an. Die Pakete sind verändert worden, das zeigt wireshark ebenfalls an, was genau verändert wurde, weiß ich nicht. Ich habe gelesen, dass diese Art der Anfrage (Zielport 25903, verändertes Paket) einen d-dos-Angriff anzeigen kann. Die Dichte der Pakete ist zwar nicht sehr hoch, zu Hochzeiten ~2 Pakete in der Sekunde. Trotzdem glaube ich, dass der Rechner vielleicht in einem Botnetz steckt und von "außen" Anweisungen bekommt. Zwischen den Anfragen an den Server tauchen gelegentlich Ping-Anfragen und Antworten, sowie ICMP-Pakete mit einer Zeitüberschreitungsfehlermeldung an den Server, bzw, von ihm auf. Meine bisherigen Maßnahmen: Ich habe erstmal versucht, den Prozess selbst zu finden. Dazu habe ich mir die Prozesse in Process Hacker anzeigen lassen, aber keine auffälligen gesehen; dann den Arbeitsspeicher gedumpt und mit volatility mir die Prozessliste anzeigen lassen, auch nichts. Virenscans habe ich schon zahlreiche ausgeführt, von meinem kostenfreien avira (jaa, nicht wirklich sehr sicher...), spybot search and destroy, bis hin zu avira auf einer ubuntu-liveCD: alle negativ. Den Prozess ausfindig machen, indem man die geöffneten Ports anzeigt ist ebenfalls nicht möglich, Port 46327 ist nicht in Benutzung, was ja von der Veränderung der Pakete durch die Schadsoftware kommen könnte. Da ich den Rechner nach den Ferien neu aufgesetzt habe, aber leider den Master-Boot-Record nicht überschrieben habe, hat die Software anscheinend überlebt. Meine Vermutung war daher, ich habe es mit einem Rootkit zu tun. Nachdem bisher alle Scanner nichts erbracht hatten und der Rechner sowieso noch frisch aufgesetzt war, habe ich mich entschlossen, windows 7 noch mal neuzuinstallieren, aber vorher den MBR platt zu machen. Das war heute. Gerade eben habe ich geprüft, ob die vermeintliche Schadsoftware ihr Unwesen nicht mehr treibt. Tja, schwer zu erraten, warum ich jetzt hier den Beitrag schreibe.. Nach wie vor hat sich ncihts geändert!!!! So langsam bin ich mit meinem Latein am Ende. Ich könnte vielleicht noch den Router zurücksetzen und dann noch die komplette Festplatte schreddern, aber bevor ich das mache, frage ich lieber Euch um Hilfe. Freundliche Grüße, Tim |
| Themen zu Windows 7 Rechner nach mehrmaligem Neuaufsetzen evt. immer noch im Botnetz |
| antworten, anzeige, anzeigen, avira, bot, botnetz, festplatte, folge, forum, frage, hacker, langsam, neu, nicht mehr, port, ports, prozess, prozesse, rechner, rootkit, router, server, spybot, warum, windows, windows7, wireshark, zurücksetzen |
Baum-Darstellung