| |
| |||||||
Log-Analyse und Auswertung: svchost horcht an ports 554 und 49152-491??Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
07.10.2009, 22:14
| #1 |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  svchost horcht an ports 554 und 49152-491?? Du hast aber nicht auf allen infizierten Rechnern ein Win7 laufen oder? 
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
07.10.2009, 23:18
| #2 |
 | svchost horcht an ports 554 und 49152-491?? Nein, 1x XP Pro und 1x Vista Home. Wobei das XPPro nicht mehr zu gebrauchen
__________________ist, weil dort der Angreifer wohl ziemlich Aktiv war und gemerkt hat dass ich versucht habe den Schadcode zu Isolieren. Daraufhin hat er wohl Remote dafür gesorgt dass ich mich nicht mehr lokal anmelden kann, sondern nur noch er über seine Domäne. (Es wurden einige Sicherheitsrichtlinien geändert) Ich würde zu gern Wissen wie die Steuerbefehle für den Trojaner sind, und ob es einen Remove-Befehl gibt mit dem man die Infektion über remote entfernen kann. Dann wäre die Entfernung wohl am einfachsten. Vielleicht sollte ich eine der IP's auf die versucht wird zu Verbinden per hosts Datei auf meinen Rechner umleiten und einen RAW-Server schreiben der darauf wartet dass sich der Schadcode verbindet und dann alle gesendeten/empfangenen Bytes in eine Logfile speichern. Wobei die warscheinlichkeit dass eine Art Remove-funktion im Schadcode verankert ist wohl ziemlich gering sein dürfte, wenn man bedenkt wie hartnäckig das Ding versucht sich im System und im Netzwerk festzukrallen und wieder zu verteilen. Interessant wär's trotzdem  Ich mache Morgen eine RSIT-Log vom Vista-System, heute Abend komme ich da nicht mehr dran. Wobei ich gleich vorwarnen muss, da das System wohl ziemlich Vollgemüllt ist und warscheinlich der Einstiegspunkt für den Schadcode war. Meine Tochter achtet leider nicht allzusehr auf Mailanhänge oder ActiveX-Warnungen, sie ist froh wenn ihr ICQ Funktioniert und sie ihre Soap als Onlinestream schauen kann. Und dieser Trojaner scheint nichts gegen das benutzen von ICQ oder ähnlichem zu haben, so dass der Zeitpunkt der Erstinfektion wohl schon länger zurückliegen kann. Es kann also durchaus sein dass ihre Logs ziemlich üppig und unübersichtlich ausfallen. Dann will ich mich schon mal für deine Zeit heute bedanken, und ich melde mich dann direkt morgen Abend wieder mit den Logs. |
|
11.10.2009, 01:48
| #3 |
| |  svchost horcht an ports 554 und 49152-491?? Hallo nochmal,
__________________tut mir Leid dass ich mich jetzt erst wieder melde, aber ich konnte die Rechner mit UnHackMe wieder in Ordnung bringen. Ausserdem habe ich mithilfe von diesem Vortrag alle verdächtigen Dateien und Treiber entfernt. Die Prozesse (LISTENING) die dann übrigblieben konnte ich auf ein paar Windows-dienste zurückführen die ich dann deaktiviert habe. benth #EDIT: Ausserdem hatte mein Router (Fritz!Box 7050) eins an der Waffel, was ein bekannter Bug zu sein scheint und durch ein zurücksetzen auf die Werkseinstellungen behoben werden konnte. |
|
| Themen zu svchost horcht an ports 554 und 49152-491?? |
| antivir, antivir guard, ausführbare datei, avg, avira, bho, desktop, dll, explorer, firefox, hijack, internet, internet explorer, micro, microsoft, mozilla, nvidia, object, plug-in, poweriso, prozess, rundll, safer networking, security, software, spyware, spyware terminator, svchost, svchost.exe, windows |
Hybrid-Darstellung
