|
unbekannter Trojaner?! Hi! ich glaub ich hab mir irgendwas eingefangen. antivir erkennt nix.. im taskmanager taucht auch nix auf. jetzt wirds aber interessant: netstat und tcpview erkennen folgende dinge: <non-existent>:1504 prot tcp, local address: 127.0.0.1:12161 (listening) an der PID 1504 haengen noch 2 verbindungen, eine davon geht zu 211.115.89.205:22, die andere kommt von 127.0.0.1:1078, dort haengt wieder ein non-existant proc (pid 916). was koennte das sein? hijackthis hat in der richtung nix gefunden, deswegen poste ich erst garkein log, dort ist alles clean (ganz sicher!). EDIT: wenn ich per telnet manuell auf 127.0.0.1:12161 connecte redirected der das weiter auf 211.115.89.205:22 (SYN_SENT) und dies ist offensichtlich ein passwortgeschuetzer ircserver, dementsprechend konnte ich nicht nachpruefen wer dort so drauf ist. |
Hi sbchen, die Remote-IP befindet sich irgendwo in Korea. Zeigen Rootkitscanner (zB Rootkit Revealer oder auch F-Secures Blacklight Auffälligkeiten? |
ohje ohje.. was ne aktion. war tatsaechlich ein rootkit! das hatte sich in \windows\system32\drivers\knlps versteckt (natuerlich per hidden api versteckt!). hab die "notbremse" gezogen und ne XP reparaturinstallation druebergezogen, nun is alles weg. weil dieses f-secure ding konnte das zwar umbenennen aber nicht ganz entfernen. war uebrigens wohl irgendein lockme bzw hackdefender (heisst das ned so?) derivat... ich frag mich wie das auf meinem system landen konnte. es muss doch irgendeinen weg geben den kram wieder ohne reinstall loszuwerden?? |
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:56 Uhr. |
Copyright ©2000-2025, Trojaner-Board