[HaBo]

Schurke · 20.03.09, 16:41

Hi,

hab heute mal wireshark laufen gehabt als ich etwas bemerkte was mich relativ beunruhigt.

Code:

295	194.009282	192.168.2.195	209.63.57.4	FTP	Request: USER olverkhan.0catch.com

Code:

298	194.181319	192.168.2.195	209.63.57.4	FTP	Request: PASS *******

so... auf 0catch.com und mal geguckt was mein lieber olverkhan denn so drauf hat auf seinem host.

Chatlogs, jede menge chatogs von msn managern etc.

guut.. wissen wir ja schonmal was es ist, aber wie finde ich jetzt den zugehörigen prozess / service der die informationen sendet?

--- edit lightsaver ---
Passwort zensiert

--- edit Ich ---
Hättst drinne lassen können hab ich schon geändert auf dem host. will ja net das noch mehr rauf kommt :O

**lightsaver** · 20.03.09, 16:46

Du schreibst leider nicht, welches OS du benutzt, aber ich gehe mal von XP aus. Da sollte netstat dir helfen. Mit den Optionen kannst du ja mal rumspielen, aber -b sollte dir schon hinweise geben. Du könntest dir auch Tools von Sysinternals laden. TCPView sollte dir ganz gute Dienste leisten.

HaBo Ads

Schurke · 20.03.09, 16:52

netstat -b hab ich schon versucht, scheint keine exe sondern ein diesnt zu sein. Ja du liegst richtig XP, werde tcp view mal probieren, danke.

**lightsaver** · 20.03.09, 17:00

Mach doch mal einen Scan mit Hijackthis und poste den hier, vielleicht sieht man da ja was verdächtiges

goflo · 20.03.09, 17:34

Eine Alternative zu TCP-View wäre CurrPorts. Das gibt deutlich mehr Informationen her.

Schurke · 20.03.09, 17:35

schon gemacht, schön sauber ^^

Zitat:

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [nHancer] "D:\Programme\nHancer\nHancer.exe" /tray
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ6.5\ICQ.exe" silent
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35
617C2} - D:\Programme\ICQ6.5\ICQ.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: nHancer Support (nHancer) - KSE - Korndörfer Software Engineering - D:\Programme\nHancer\nHancerService.exe
O23 - Service: NetLimiter (nlsvc) - Locktime Software - D:\Programme\NetLimiter 2 Pro\nlsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe

Hab auch mal über nen neustart geprüft ob er mit dme system direkt startet, tut er...

TaskView sagt istn System:0 dienst, CurrPorts meint Unknown

gefunden

CurrPort hat bei einem was angezeigt ^^ --> C:\WINDOWS\system32\Sys32

Empfehlung

20.03.09, 16:41	#1 (permalink)
Schurke Registriert seit: 10.01.08 Likes: 0	Keylogger entdeckt Hi, hab heute mal wireshark laufen gehabt als ich etwas bemerkte was mich relativ beunruhigt. Code: 295 194.009282 192.168.2.195 209.63.57.4 FTP Request: USER olverkhan.0catch.com Code: 298 194.181319 192.168.2.195 209.63.57.4 FTP Request: PASS ******* so... auf 0catch.com und mal geguckt was mein lieber olverkhan denn so drauf hat auf seinem host. Chatlogs, jede menge chatogs von msn managern etc. guut.. wissen wir ja schonmal was es ist, aber wie finde ich jetzt den zugehörigen prozess / service der die informationen sendet? --- edit lightsaver --- Passwort zensiert --- edit Ich --- Hättst drinne lassen können hab ich schon geändert auf dem host. will ja net das noch mehr rauf kommt :O

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Hacker entdeckt PDF Backdoors	ThiEfGaRReT	Off topic-Zone	0	19.09.06 19:56
2. extrasolarer terrestrischer Planet entdeckt	blueflash	Science & Fiction	7	30.01.06 15:05
Wie kann man entdeckt werden?	Hirnbreaker	(In)security allgemein	14	11.03.05 10:09
Netzwerkfehler in Windows 2000 und XP entdeckt	Tec	Windows 2000 /95/98/ME	0	16.12.02 12:36
Sicherheitsloch in M$-VPN entdeckt	Tec	News & Ankündigungen	0	28.09.02 15:46

20.03.09, 16:46	#2 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 42	Du schreibst leider nicht, welches OS du benutzt, aber ich gehe mal von XP aus. Da sollte netstat dir helfen. Mit den Optionen kannst du ja mal rumspielen, aber -b sollte dir schon hinweise geben. Du könntest dir auch Tools von Sysinternals laden. TCPView sollte dir ganz gute Dienste leisten.

20.03.09, 16:52	#3 (permalink)
Schurke Themenstarter Registriert seit: 10.01.08 Likes: 0	netstat -b hab ich schon versucht, scheint keine exe sondern ein diesnt zu sein. Ja du liegst richtig XP, werde tcp view mal probieren, danke.

20.03.09, 17:00	#4 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 42	Mach doch mal einen Scan mit Hijackthis und poste den hier, vielleicht sieht man da ja was verdächtiges

20.03.09, 17:34	#5 (permalink)
goflo Registriert seit: 09.02.06 Likes: 0	Eine Alternative zu TCP-View wäre CurrPorts. Das gibt deutlich mehr Informationen her.


HaBo Ads HaBOT

[HaBo]

Keylogger entdeckt