Virus Trojaner unter netstat

Dieses Thema im Forum "Sicherheit" wurde erstellt von 31Mathias, 8. September 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 31Mathias

    31Mathias Byte

    Registriert seit:
    3. Juli 2004
    Beiträge:
    54
    Kann man anhand der Remotadresse die einem unter netstat -n angezeigt wird festestellen das ein Virus auf dem Rechner ist???


    Danke
     
  2. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Du kannst dir anzeigen lassen, welche Netzwerkverbindungen von deinem Rechner aus geöffnet werden. Man kann so auch einen aktiven Trojaner entlarven. Unter XP ist es sinnvoll, netstat mit den Schaltern -ano auszuführen, weil sich dann auch die zugrundeliegenden Prozesse analysieren lassen.
     
  3. 31Mathias

    31Mathias Byte

    Registriert seit:
    3. Juli 2004
    Beiträge:
    54
    Hallo !!

    Okay , wie sieht das den aus wenn ich das jetzt kopiere was unter : netstat -ano steht und hier ins Forum stelle kann man anhand der Nummern Feststellen ob es etwas bösartiges auf meinem Rechner gibt bzw. wer da ein Spiel mit mir treibt (Trojaner oder ähnliches)

    Danke

    Mathias
     
  4. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Ja das ist möglich in Verbindung mit einer Analyse der laufenden Prozesse : Wie man eine solche Anaslyse vornimmt, wird hier beschreiben :

    Schneide dir mal folgendes Script aus und speichere es als tasks.cmd


    ---------------------------------

    net start > c:\xy.txt
    tasklist >> c:\xy.txt
    tasklist /svc >> c:\xy.txt

    ---------------------------------

    Anschließend postest du die xy.txt und wir werden sehen, was mit deinen Prozessen ist.Wenn du nicht mit XP Pro, sondern mit der XP-Home Edition arbeitest, solltest du dir die tasklist.exe noch besorgen und in den system32-Ordner kopieren.
     
  5. 31Mathias

    31Mathias Byte

    Registriert seit:
    3. Juli 2004
    Beiträge:
    54
    Sorry

    Wohin soll ich das kopieren ??

    Danke

    Mathias
     
  6. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Geht es um das gleiche Problem wie in diesem Thread? Dort wurde doch alles schon geklärt, warum machst du hier weiter? :confused:


    .
     
  7. 31Mathias

    31Mathias Byte

    Registriert seit:
    3. Juli 2004
    Beiträge:
    54
    Es geht um das gleiche Problem Ja .
    Aber ich habe noch keine Lösung !
    Was sagen denn diese Nummern ?
    TCP 127.0.0.1:1028 127.0.0.1:18350 HERGESTELLT
    TCP 127.0.0.1:18350 127.0.0.1:1028 HERGESTELLT
    Mir hat jemand von Arcor erzählt das diese zahlen bei mir nicht vorhanden sein dürften
    (Win XP Prof.)
    Warum ?

    Danke
     
  8. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Das wurde in dem andern Thread doch schon geschrieben.

    Die IP 127.0.0.1 benutzt ein PC, um intern mit sich selbst Verbindungen herzustellen, es ist darüber kein Kontakt nach aussen möglich.

    Der Port 18350 wird von AntiVir benutzt. Hast du denn AntiVir installiert?


    .
     
  9. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Du kopierst das aus der Zwischenablage in eine leere Textdatei und speicherst diese dann unter tasks.cmd ab. Achte darauf, dass du die Dateiendung cmd setzt und nicht eine txt-Datei entsteht. Auf diese task.cmd klickst du dann doppelt, dann wird die Textdatei c:\xy.txt mit den entsprechenden Informationen über die Prozesse und Unterprozesse erzeugt.
     
  10. 31Mathias

    31Mathias Byte

    Registriert seit:
    3. Juli 2004
    Beiträge:
    54
    Soll das dann so aussehen ??
    Sorry ich bin nur leihe !

    C:\>net start > c:\xy.txt
    C:\>tasklist >> c:\xy.txt
    C:\>tasklist /svc >> c:\xy.txt
    C:\>

    Danke
    Mathias
     
  11. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Die letzte Zeile hast du jetzt dazugefügt.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen