xDSL.at

[jutta]

> aber wenn da was bösartiges drauf ist, hat's nur selten irgendeinen effekt in der taskliste nachzuschauen

was war der blaster.exe doch fuer ein freundlicher quaelgeist den konnte man einfach ausschalten.

aber im ernst: die mehrzahl der heute aktuellen schaedlinge duerften zu denen gehoeren, die sich gut verstecken koennen.

[wicked_one]

grundsätzlich hast eh recht, aber wenn da was bösartiges drauf ist (wovon man ausgehen sollte) hat's nur selten irgendeinen effekt in der taskliste nachzuschauen

Und ausserdem würd ich mal davon ausgehen, dass er das schon gemacht hat

[lordpeng]

>aber im ernst: die mehrzahl der heute aktuellen schaedlinge duerften zu
>denen gehoeren, die sich gut verstecken koennen.
naja, da hängen ganze industriezweige dran, d.h. die leute die sowas entwickeln sind auch ned blöd ...

[xebone]

@wagsoul

Sag mal als was für einen DAU User hältst du mich?
Das erste ist immer mal im Task Manager reinzuschaun ....

Genaue Antworten auf was und mit wem gescannt wurde folgt dann noch, hab nur grad Besuch und kann nicht länger ;o)

[wicked_one]

Sag mal als was für einen DAU User hältst du mich?
Das erste ist immer mal im Task Manager reinzuschaun ....

Ja wirklich herst wagsoul... jede moderne $Malware findest du doch am leichtesten über den Taskmanager...

[wagsoul]

@wagsoul
Sag mal als was für einen DAU User hältst du mich?
Das erste ist immer mal im Task Manager reinzuschaun ....

Ich denke mal dass die Wenigsten einen schädlichen Prozess im Taskmanager erkennen könnten, vorausgesetzt er scheint dort auf.

Ich zB würde meine Prozesse nicht kennen, würde ich einen Blick in den Taskmanager werfen ...

Wenn du aber schon bei meinem Ratschlag an einen DAU denkst und dich gleich selber damit in Verbindung bringst (ich würde so etwas nie machen), dann solltest du eventuell darüber nachdenken, wer hier die Infektion seines Rechners mit Schadsoftware nicht verhindern konnte, und wer deshalb jetzt hier im Hilfe fleht

Da du glaubst deinen Rechner nicht formatieren zu müssen (das ist übrigend ein guter Ausganspunkt um noch mehr böse Software anzusammeln) wäre die Frage, die es für dich zu lösen gilt, herauszufinden welcher Prozess deine ICMP-Pakete versendet.

Das kann doch nicht so schwer sein?

Und selbst wenn du nichts unternimmst und nur mal deine Routing-Tabelle änderst um den Traffic zu diesem Host ins Nirgendwo zu routen, wüsstest du zumindest schon, ob der Traffic beim Maus-Stillstand so dann zurück geht.

[xebone]

Hab nie gesagt das ich nicht meinen Rechner formatieren müsste, ich wills nur nicht wenn möglich - sollte halt der letzte Ausweg sein.

wäre die Frage, die es für dich zu lösen gilt, herauszufinden welcher Prozess deine ICMP-Pakete versendet.

Das kann doch nicht so schwer sein?

Ah geh?! ;o)
Das ist leider so schwierig - hatte bisher in 10 Jahren PC Geschichte noch nie so nen Fall der so hartnäckig bzw. knifflig ist - also ja, es ist so schwierig in dem Fall. Jetzt z.b. tritt das Ding gar nicht in Aktion. Ist wiedermal Ruhe seit 10h mal schaun wielange das noch so geht.

Von Routing Tabellen hab ich keine Ahnung *zugeb*
Der Host wos hingeht ändert sich übrigens auch immer wieder ...

[wagsoul]

Du kannst dir diese Seite durchlesen:
http://oschad.de/wiki/index.php/Kompromittierung

Der Inhalt dort hört sich zwar an wie dumme Wichtigtuerei, stimmt aber schon irgendwie auch.

Ich denke um ein neues System wirst du nicht herum kommen, da du nie wissen kannst was mit deinem Rechner schon angerichtet wurde.

Wenn dort nämlich eine Art Fernsteuerungssoftware installiert ist, dann könnte nachträglich schon ziemlich alles angerichtet worden sein. Das Zeugs kannst du nie mit Sicherheit los werden, außer du machst dir ein neues System.

Herauszufinden, was es mit diesem komischen Traffic auf sich hat ist sicher sehr interessant. Wenns aber schwierig ist da es eben irgendwie Probleme macht, würde ich die Sache lassen und gleich alles löschen.

[xebone]

Erst das Problem lösen, dann neuinstall.

Geht ja hier nicht wie in dem von dir geposteten Artikel um nen Hochverfügbarkeitsserver mit Politdaten drauf oder so ;o)

[jutta]

mit einer knoppix-cd oder aehnlichem kannst du auf dem rechner verdaechtige dateien finden, die unter windows unsichtbar sind. das setzt allerdings voraus, dass du einigermassen weisst, wie die programme heissen, die regulaer drauf installiert sind und viel zeit hast, um nach unbekannten files zu googeln. ich habe mit der methode schon einen ziemlich laestigen trojaner enttarnt, aber es hat einige lange abende gekostet (und anschliessend haben wir den rechner aus sicherheitsgruenden trotzdem neu aufgesetzt).

was du noch versuchen koenntest: a) die ip auf was anderes als 192.168.1.2 zu aendern, damit kein direkter zugriff von aussen auf den rechner moeglich ist.

b) in der firewall ausgehend nur die ip adressen freigeben, die du "lebensnotwendig" brauchst. (nameserver des providers, mailserver, ein paar websites auf die du zugreifen willst) und alles andere zu sperren *und* die firewall so zu konfigurieren, dass sie jeden verbindungsversuch ins logfile schreibt. vielleicht findest du dann irgendwas im logfile. ev. ein anderes programm, das auf die selben ips zugreift, wo die icmp-fragmente hingehen.

[xebone]

Klingt gut - werd ich versuchen - danke.
Auch wenns länger dauert - das zu finden is mir das wert ;o)