|
Windows 7 Rechner nach mehrmaligem Neuaufsetzen evt. immer noch im Botnetz Hallo, Forengemeinde. Mir ist dieses Forum wärmstes empfohlen worden, also leg ich mal mit meinem Computerproblem los: Mein Rechner - selbst zusammengebaut (ASRock H77 Pro, Intel Core i5-3550, (nur noch) 1x Corsair 4GB, DDR3) - mit Windows 7 64bit professional, zeigt seid kurz vor den Ferien folgende Eigenheit: Er versendet unregelmäßig UDP-Pakete an die IP 194.95.249.23 und Port 25903, von Port 46327, jendefalls zeigt wireshark das so an. Die Pakete sind verändert worden, das zeigt wireshark ebenfalls an, was genau verändert wurde, weiß ich nicht. Ich habe gelesen, dass diese Art der Anfrage (Zielport 25903, verändertes Paket) einen d-dos-Angriff anzeigen kann. Die Dichte der Pakete ist zwar nicht sehr hoch, zu Hochzeiten ~2 Pakete in der Sekunde. Trotzdem glaube ich, dass der Rechner vielleicht in einem Botnetz steckt und von "außen" Anweisungen bekommt. Zwischen den Anfragen an den Server tauchen gelegentlich Ping-Anfragen und Antworten, sowie ICMP-Pakete mit einer Zeitüberschreitungsfehlermeldung an den Server, bzw, von ihm auf. Meine bisherigen Maßnahmen: Ich habe erstmal versucht, den Prozess selbst zu finden. Dazu habe ich mir die Prozesse in Process Hacker anzeigen lassen, aber keine auffälligen gesehen; dann den Arbeitsspeicher gedumpt und mit volatility mir die Prozessliste anzeigen lassen, auch nichts. Virenscans habe ich schon zahlreiche ausgeführt, von meinem kostenfreien avira (jaa, nicht wirklich sehr sicher...), spybot search and destroy, bis hin zu avira auf einer ubuntu-liveCD: alle negativ. Den Prozess ausfindig machen, indem man die geöffneten Ports anzeigt ist ebenfalls nicht möglich, Port 46327 ist nicht in Benutzung, was ja von der Veränderung der Pakete durch die Schadsoftware kommen könnte. Da ich den Rechner nach den Ferien neu aufgesetzt habe, aber leider den Master-Boot-Record nicht überschrieben habe, hat die Software anscheinend überlebt. Meine Vermutung war daher, ich habe es mit einem Rootkit zu tun. Nachdem bisher alle Scanner nichts erbracht hatten und der Rechner sowieso noch frisch aufgesetzt war, habe ich mich entschlossen, windows 7 noch mal neuzuinstallieren, aber vorher den MBR platt zu machen. Das war heute. Gerade eben habe ich geprüft, ob die vermeintliche Schadsoftware ihr Unwesen nicht mehr treibt. Tja, schwer zu erraten, warum ich jetzt hier den Beitrag schreibe.. Nach wie vor hat sich ncihts geändert!!!! So langsam bin ich mit meinem Latein am Ende. Ich könnte vielleicht noch den Router zurücksetzen und dann noch die komplette Festplatte schreddern, aber bevor ich das mache, frage ich lieber Euch um Hilfe. Freundliche Grüße, Tim |
hi, Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:  FRST 32-Bit | FRST 64-Bit(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
|
FRST Logfile: FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 15-01-2014 03--- --- --- --- --- --- FRST Additions Logfile: Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 15-01-2014 03 |
wie verbindest DU mit dem Internet? Router? Marke Modell? Kabel oder WLAN? irgendeine Software dazu installiert? |
Normalerweise habe ich an dem ersten infizierten Rechner einen FritzWlanStick dran, mein Laptop ist mit der Wlan-Karte onboard verbunden. Treibersoftware ist beim ersten von Realtek, allerdings verwende ich den mitgeliefterten Dienst cfosspeed. Wo ich den gerade erwähne fällt mir ein, dass dieser Prozess (spd.exe) auch manipulierte UDP-Pakete an die IP gesendet hat. Der Router ist ebenfalls von Fritz!, genauer eine Fritzbox 3170. Noch zusätzlich: Gestern wollte ich mit dem Laptop u.a. hier nach gucken und hab sicherheitshalber den traffic angesehen. Und es waren, wie bei dem schon infizierten Rechner Kommunikation mit [Edit:] IGMP zu sehen, also Join- und Leave-Pakete, wbei sich die Quell-IP nach jedem Leave geändert hat. Vielleicht hilft das auch weiter. |
Zitat:
Google mal die böse IP die Du gepostet hast :). Gehört zu CFOS, das telefoniert nach Hause. |
Also gegooglet hab ich das; auf der Seite von cfosspeed steht, dass die IP für die Berechnung des pings benutzt wird. Allerdings sind die Pakete, die ich meinte UDP Pakete, welche verändert sind. ICMP-Pakete, Typ ping finden sich auch ab und zu mal, selten verformte UDP-Pakete, die von cfos gesendet werden. Außerdem kommen diese Pakete nach wie vor, nachdem cfosspeed.exe, bzw. spd.exe abgeschossem wurde. Ich verstehe auch nicht ganz, wieso die Pakete von cfosspeed verändert werden sollten, und warum es dann UDP-Pakete sind und nicht ping (ICMP)-Pakete?? |
Sorry, ich bin weder Programmierer noch arbeite ich bei denen. Ich weiß nur was meine recherche sagt, selbst in den USA gibt es Leute die diese deutsche IP ebmängelt haben. Is so, is von denen, kannste nit ändern, ausser komplett deinstallieren. Mehr haben alle anderen auch nicht machen können. |
Ok, ich habe den Dienst jetzt einfach mal deinstalliert und -oh Wunder- die dubiosen UDP-Pakete sind verschwunden. Was bleibt sind allerdings die ständigen TCP-Pakete vom Router mit aufsteigender Portnummer an meinen Rechner, die ich nicht ganz verstehe. Es kommt nämlich keine Antwort von meinem Rechner. Und sonst hatte ich das auch nie. Gehört das vielleicht zur Funktionsweise des Routers? :) |
Da bin ich total überfragt, sorry :) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:08 Uhr. |
Copyright ©2000-2025, Trojaner-Board