svchost horcht an ports 554 und 49152-491??

benth

Nein, 1x XP Pro und 1x Vista Home. Wobei das XPPro nicht mehr zu gebrauchen
ist, weil dort der Angreifer wohl ziemlich Aktiv war und gemerkt hat dass
ich versucht habe den Schadcode zu Isolieren.
Daraufhin hat er wohl Remote dafür gesorgt dass ich mich nicht mehr lokal anmelden kann,
sondern nur noch er über seine Domäne. (Es wurden einige Sicherheitsrichtlinien geändert)

Ich würde zu gern Wissen wie die Steuerbefehle für den Trojaner sind,
und ob es einen Remove-Befehl gibt mit dem man die Infektion über remote
entfernen kann. Dann wäre die Entfernung wohl am einfachsten.

Vielleicht sollte ich eine der IP's auf die versucht wird zu Verbinden
per hosts Datei auf meinen Rechner umleiten und einen RAW-Server
schreiben der darauf wartet dass sich der Schadcode verbindet und dann
alle gesendeten/empfangenen Bytes in eine Logfile speichern.

Wobei die warscheinlichkeit dass eine Art Remove-funktion im Schadcode
verankert ist wohl ziemlich gering sein dürfte, wenn man bedenkt wie
hartnäckig das Ding versucht sich im System und im Netzwerk
festzukrallen und wieder zu verteilen. Interessant wär's trotzdem

Ich mache Morgen eine RSIT-Log vom Vista-System, heute Abend
komme ich da nicht mehr dran. Wobei ich gleich vorwarnen muss,
da das System wohl ziemlich Vollgemüllt ist und warscheinlich
der Einstiegspunkt für den Schadcode war. Meine Tochter achtet
leider nicht allzusehr auf Mailanhänge oder ActiveX-Warnungen,
sie ist froh wenn ihr ICQ Funktioniert und sie ihre Soap als Onlinestream
schauen kann. Und dieser Trojaner scheint nichts gegen das benutzen
von ICQ oder ähnlichem zu haben, so dass der Zeitpunkt der Erstinfektion
wohl schon länger zurückliegen kann. Es kann also durchaus sein dass ihre Logs ziemlich üppig und unübersichtlich ausfallen.

Dann will ich mich schon mal für deine Zeit heute bedanken,
und ich melde mich dann direkt morgen Abend wieder mit den Logs.