Habe ich einen Zombie-PC?
 

Hallo Leute!

Ich habe unkontrollierten Upload auf meinem alten System gehabt und jetzt habe ich ihn Neu aufgesetzt.
Habe Windows 7 Professional, benutze Kaspersky Workstation Anti-Virus (6.0.4.1424) und mache mehrmals täglich Updates (auch Windows-Updates).
Ich benutze auch die, in Kaspersky integrierte Fireall (Anti-Hacker) und bin über einen Router (statische IP) mit dem Internet verbunden.

Ich komme nicht mehr auf ein Forum, auf das vor kurzem eine DDOS Attacke durchgeführt wurde und befürchte, dass meine IP gesperrt ist, weil ich einer von den angreifenden Zombie-PCs war!
Der unkontrollierte Upload war vor dem Aufsetzen höher, aber es herrschen noch immer Verbindungen zu Remoteadressen wie deploy.akamaitechnologies.com (Hab mich erkundigt, einige sagen es ist ein Virus der dorthin verbindet, andere Sagen es ist eine Hoster Firmer die Mirrors für große Seiten wie Kaspersky und Windows Updates anbietet.) und Co.

Anbei meine Logfiles.
(Gmer hängt sich leider immer auf.)

Vielen Dank für die Hilfe!
lg

Du hast doch keine statische IP vom Provider? Oder doch? :wtf:

Du hast komplett formatiert?

Die sind mehr oder weniger normal, v.a. bei Besuch von Webseiten, da oft Werbebanner auf solche URLs verweisen.

Doch, habe eine statische IP vom Provider.
Habe allerdings schon mit dem Admin des Forums Kontakt aufgenommen und der hat gesagt, dass der Hoster ganze IP-Blöcke gesperrt hat und sich schon viele Leute aus Österreich aufgeregt haben, dass sie nicht mehr aufs Board kommen.
Anscheinend war meine IP nicht bei den "angreifenden" dabei, nach seinen Aussagen hin.

Die Systempartition schon ja, die Datenpartition nicht, aber daran solls ja nicht liegen hoffe ich :)

Ja hab ich mir auch gedacht, nur die Seite ist mir besonders aufgefallen, da ich innerhalb einer Zeitspanne 1,9MB Download hatte und ca. 500kb Upload und die zweite Adresse (nach Datenvolumen sortiert) hatte ca 800kb DL und 150kb UL

Eigentlich denk ich mir nicht, dass ich (noch) infiziert bin, aber sicher ist sicher, deswegen frag ich hier nochmal nach.

Noch eine kleine Geschichte:
Ich bin überhaupt erst draufgekommen die Datenpakete zu überwachen, da ich plötzlich mit einer 8MBIT Leitung nur mehr 200kb/s Downloaden konnte (statt 800-900kb/s).
Ich ruf beim Provider an und der sagt mir: "Ihr Upload ist bei 100%".
Ich schau nach und da hat sich ein Programm eingeschlichen, welches im Hintergrund gelaufen ist, was anscheinend keine (offizielle) Malware war, sondern ein Programm von einem Streaming Hoster, der mich sozusagen als Seeder für seine Streams benutzt hat.
Habs gleich deinstalliert und hab mir leider nicht gemerkt wie es geheißen hat, aber Hijackthis hats zB nicht als bösartig empfunden.
Hat sich vll bei irgendeiner (unaufmerksam durchgeführten) Installation (=Weiter, Weiter, Ja akzeptiert, Ja, Weiter usw. ;)) mitinstalliert.
Deswegen hab ich mir gedacht, vll ist da ja noch sowas in der Art.
lg

Äh richtig, hab ich glatt überlesen :blabla:

Sollte kein Problem sein

Kannst du auch über die hosts datei aussperren. Einfach ein Eintrag 127.0.0.1 deploy.akamaitechnologies.com machen ;)

Weißt du noch von welchem Streaming Hoster? Warst du auf der Seite des Streaming Hosters, hast was runtergeladen und installiert?

Nichts passiert :)

Das Problem ist, dass sie immer wechselnde Adressen haben..
Also die Remoteadressen schaun wie folgt aus:
"12-345-67-89.deploy.akamaitechnologies.com" das wär dann die IP 12.345.67.89.
Kann ich "*.deploy.akamaitechnologies.com" in die Host Datei eintragen?

Und was würde theoretisch passieren, wenn Kaspersky die Updates von dort bezieht? Sagt mir das Programm dann: "Es konnte keine Verbindung [...]"?

Also die Seite hat mir gar nichts gesagt, aber ich hab gegoogelt und es hatten einige Probleme mit dem Programm.. Ich kann mich aber einfach nicht mehr an den namen erinnern :stirn:

:dankeschoen: für deine Hilfe bis jetzt :)
Liebe Grüße

AFAIK versteht die hosts Datei keine Wildcards!
Mach doch separate Einträge wie zB erstmal diese hier (statt 127.0.0.1 kann/sollte man unter Windows die unbestimmt/ungültige Adresse 0.0.0.0 nutzen)

Kaspersky von Akamai? Ausgeschlossen!
Gesetzt den Fall irgendwas will da hin: Geht nicht, weil die hosts Datei die 0.0.0.0 bzw. 127.0.0.1 auflösen würde. Nur wenn man direkt die IP von Akamai oder so erreichen will geht das. Die hosts Datei blockt ja nichts in dem Sinn, man beeinflusst damit "nur" eine Namensauflösung.