Mysteriöser Upload im Maus-Idle

Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at verwendet.
Forumsregeln
Das Forum rund um Sicherheitsfragen (Antivirus, Firewall, Spamschutz). Diese Forum wird auch von IPCop.at

Beitragvon jutta » So 20 Apr, 2008 18:53

> aber wenn da was bösartiges drauf ist, hat's nur selten irgendeinen effekt in der taskliste nachzuschauen

was war der blaster.exe doch fuer ein freundlicher quaelgeist ;) den konnte man einfach ausschalten.

aber im ernst: die mehrzahl der heute aktuellen schaedlinge duerften zu denen gehoeren, die sich gut verstecken koennen.
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon wicked_one » So 20 Apr, 2008 18:56

grundsätzlich hast eh recht, aber wenn da was bösartiges drauf ist (wovon man ausgehen sollte) hat's nur selten irgendeinen effekt in der taskliste nachzuschauen

Und ausserdem würd ich mal davon ausgehen, dass er das schon gemacht hat
Never a mind was changed on an internet board, no matter how good your arguments are...

- I Am Not A Credible Source
wicked_one
Board-Guru
Board-Guru
 
Beiträge: 12244
Registriert: Mo 18 Apr, 2005 20:14

Beitragvon lordpeng » So 20 Apr, 2008 19:00

>aber im ernst: die mehrzahl der heute aktuellen schaedlinge duerften zu
>denen gehoeren, die sich gut verstecken koennen.
naja, da hängen ganze industriezweige dran, d.h. die leute die sowas entwickeln sind auch ned blöd ...
lordpeng
Moderator
Moderator
 
Beiträge: 10199
Registriert: Mo 23 Jun, 2003 22:45

Beitragvon xebone » So 20 Apr, 2008 20:26

@wagsoul

Sag mal als was für einen DAU User hältst du mich?
Das erste ist immer mal im Task Manager reinzuschaun ....

Genaue Antworten auf was und mit wem gescannt wurde folgt dann noch, hab nur grad Besuch und kann nicht länger ;o)
UPC chello 100/10Mbit
xebone
Board-User Level 1
Board-User Level 1
 
Beiträge: 607
Registriert: Mi 25 Mai, 2005 22:42

Beitragvon wicked_one » So 20 Apr, 2008 20:30

Sag mal als was für einen DAU User hältst du mich?
Das erste ist immer mal im Task Manager reinzuschaun ....

Ja wirklich herst wagsoul... jede moderne $Malware findest du doch am leichtesten über den Taskmanager...
Never a mind was changed on an internet board, no matter how good your arguments are...

- I Am Not A Credible Source
wicked_one
Board-Guru
Board-Guru
 
Beiträge: 12244
Registriert: Mo 18 Apr, 2005 20:14

Beitragvon wagsoul » So 20 Apr, 2008 21:16

xebone hat geschrieben:@wagsoul
Sag mal als was für einen DAU User hältst du mich?
Das erste ist immer mal im Task Manager reinzuschaun ....


Ich denke mal dass die Wenigsten einen schädlichen Prozess im Taskmanager erkennen könnten, vorausgesetzt er scheint dort auf.

Ich zB würde meine Prozesse nicht kennen, würde ich einen Blick in den Taskmanager werfen ...

Wenn du aber schon bei meinem Ratschlag an einen DAU denkst und dich gleich selber damit in Verbindung bringst (ich würde so etwas nie machen), dann solltest du eventuell darüber nachdenken, wer hier die Infektion seines Rechners mit Schadsoftware nicht verhindern konnte, und wer deshalb jetzt hier im Hilfe fleht ;-)

Da du glaubst deinen Rechner nicht formatieren zu müssen (das ist übrigend ein guter Ausganspunkt um noch mehr böse Software anzusammeln) wäre die Frage, die es für dich zu lösen gilt, herauszufinden welcher Prozess deine ICMP-Pakete versendet.

Das kann doch nicht so schwer sein?

Und selbst wenn du nichts unternimmst und nur mal deine Routing-Tabelle änderst um den Traffic zu diesem Host ins Nirgendwo zu routen, wüsstest du zumindest schon, ob der Traffic beim Maus-Stillstand so dann zurück geht.
wagsoul
Profi-User
Profi-User
 
Beiträge: 1638
Registriert: Fr 04 Mai, 2007 20:53

Beitragvon xebone » Mo 21 Apr, 2008 07:17

Hab nie gesagt das ich nicht meinen Rechner formatieren müsste, ich wills nur nicht wenn möglich - sollte halt der letzte Ausweg sein.

wäre die Frage, die es für dich zu lösen gilt, herauszufinden welcher Prozess deine ICMP-Pakete versendet.

Das kann doch nicht so schwer sein?


Ah geh?! ;o)
Das ist leider so schwierig - hatte bisher in 10 Jahren PC Geschichte noch nie so nen Fall der so hartnäckig bzw. knifflig ist - also ja, es ist so schwierig in dem Fall. Jetzt z.b. tritt das Ding gar nicht in Aktion. Ist wiedermal Ruhe seit 10h mal schaun wielange das noch so geht.

Von Routing Tabellen hab ich keine Ahnung *zugeb*
Der Host wos hingeht ändert sich übrigens auch immer wieder ...
UPC chello 100/10Mbit
xebone
Board-User Level 1
Board-User Level 1
 
Beiträge: 607
Registriert: Mi 25 Mai, 2005 22:42

Beitragvon wagsoul » Mo 21 Apr, 2008 07:30

Du kannst dir diese Seite durchlesen:
http://oschad.de/wiki/index.php/Kompromittierung

Der Inhalt dort hört sich zwar an wie dumme Wichtigtuerei, stimmt aber schon irgendwie auch.

Ich denke um ein neues System wirst du nicht herum kommen, da du nie wissen kannst was mit deinem Rechner schon angerichtet wurde.

Wenn dort nämlich eine Art Fernsteuerungssoftware installiert ist, dann könnte nachträglich schon ziemlich alles angerichtet worden sein. Das Zeugs kannst du nie mit Sicherheit los werden, außer du machst dir ein neues System.

Herauszufinden, was es mit diesem komischen Traffic auf sich hat ist sicher sehr interessant. Wenns aber schwierig ist da es eben irgendwie Probleme macht, würde ich die Sache lassen und gleich alles löschen.
wagsoul
Profi-User
Profi-User
 
Beiträge: 1638
Registriert: Fr 04 Mai, 2007 20:53

Beitragvon xebone » Mo 21 Apr, 2008 08:42

Erst das Problem lösen, dann neuinstall.

Geht ja hier nicht wie in dem von dir geposteten Artikel um nen Hochverfügbarkeitsserver mit Politdaten drauf oder so ;o)
UPC chello 100/10Mbit
xebone
Board-User Level 1
Board-User Level 1
 
Beiträge: 607
Registriert: Mi 25 Mai, 2005 22:42

Beitragvon jutta » Mo 21 Apr, 2008 11:40

mit einer knoppix-cd oder aehnlichem kannst du auf dem rechner verdaechtige dateien finden, die unter windows unsichtbar sind. das setzt allerdings voraus, dass du einigermassen weisst, wie die programme heissen, die regulaer drauf installiert sind und viel zeit hast, um nach unbekannten files zu googeln. ich habe mit der methode schon einen ziemlich laestigen trojaner enttarnt, aber es hat einige lange abende gekostet (und anschliessend haben wir den rechner aus sicherheitsgruenden trotzdem neu aufgesetzt).

was du noch versuchen koenntest: a) die ip auf was anderes als 192.168.1.2 zu aendern, damit kein direkter zugriff von aussen auf den rechner moeglich ist.

b) in der firewall ausgehend nur die ip adressen freigeben, die du "lebensnotwendig" brauchst. (nameserver des providers, mailserver, ein paar websites auf die du zugreifen willst) und alles andere zu sperren *und* die firewall so zu konfigurieren, dass sie jeden verbindungsversuch ins logfile schreibt. vielleicht findest du dann irgendwas im logfile. ev. ein anderes programm, das auf die selben ips zugreift, wo die icmp-fragmente hingehen.
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Beitragvon xebone » Mo 21 Apr, 2008 13:16

Klingt gut - werd ich versuchen - danke.
Auch wenns länger dauert - das zu finden is mir das wert ;o)
UPC chello 100/10Mbit
xebone
Board-User Level 1
Board-User Level 1
 
Beiträge: 607
Registriert: Mi 25 Mai, 2005 22:42

Vorherige

Zurück zu ANTIVIRUS & SECURITY

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 4 Gäste