Virus Trojaner unter netstat

Dieses Thema im Forum "Sicherheit" wurde erstellt von 31Mathias, 8. September 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 31Mathias

    31Mathias Byte

    Kann man anhand der Remotadresse die einem unter netstat -n angezeigt wird festestellen das ein Virus auf dem Rechner ist???


    Danke
     
  2. franzkat

    franzkat CD-R 80

    Du kannst dir anzeigen lassen, welche Netzwerkverbindungen von deinem Rechner aus geöffnet werden. Man kann so auch einen aktiven Trojaner entlarven. Unter XP ist es sinnvoll, netstat mit den Schaltern -ano auszuführen, weil sich dann auch die zugrundeliegenden Prozesse analysieren lassen.
     
  3. 31Mathias

    31Mathias Byte

    Hallo !!

    Okay , wie sieht das den aus wenn ich das jetzt kopiere was unter : netstat -ano steht und hier ins Forum stelle kann man anhand der Nummern Feststellen ob es etwas bösartiges auf meinem Rechner gibt bzw. wer da ein Spiel mit mir treibt (Trojaner oder ähnliches)

    Danke

    Mathias
     
  4. franzkat

    franzkat CD-R 80

    Ja das ist möglich in Verbindung mit einer Analyse der laufenden Prozesse : Wie man eine solche Anaslyse vornimmt, wird hier beschreiben :

    Schneide dir mal folgendes Script aus und speichere es als tasks.cmd


    ---------------------------------

    net start > c:\xy.txt
    tasklist >> c:\xy.txt
    tasklist /svc >> c:\xy.txt

    ---------------------------------

    Anschließend postest du die xy.txt und wir werden sehen, was mit deinen Prozessen ist.Wenn du nicht mit XP Pro, sondern mit der XP-Home Edition arbeitest, solltest du dir die tasklist.exe noch besorgen und in den system32-Ordner kopieren.
     
  5. 31Mathias

    31Mathias Byte

    Sorry

    Wohin soll ich das kopieren ??

    Danke

    Mathias
     
  6. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Geht es um das gleiche Problem wie in diesem Thread? Dort wurde doch alles schon geklärt, warum machst du hier weiter? :confused:


    .
     
  7. 31Mathias

    31Mathias Byte

    Es geht um das gleiche Problem Ja .
    Aber ich habe noch keine Lösung !
    Was sagen denn diese Nummern ?
    TCP 127.0.0.1:1028 127.0.0.1:18350 HERGESTELLT
    TCP 127.0.0.1:18350 127.0.0.1:1028 HERGESTELLT
    Mir hat jemand von Arcor erzählt das diese zahlen bei mir nicht vorhanden sein dürften
    (Win XP Prof.)
    Warum ?

    Danke
     
  8. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Das wurde in dem andern Thread doch schon geschrieben.

    Die IP 127.0.0.1 benutzt ein PC, um intern mit sich selbst Verbindungen herzustellen, es ist darüber kein Kontakt nach aussen möglich.

    Der Port 18350 wird von AntiVir benutzt. Hast du denn AntiVir installiert?


    .
     
  9. franzkat

    franzkat CD-R 80

    Du kopierst das aus der Zwischenablage in eine leere Textdatei und speicherst diese dann unter tasks.cmd ab. Achte darauf, dass du die Dateiendung cmd setzt und nicht eine txt-Datei entsteht. Auf diese task.cmd klickst du dann doppelt, dann wird die Textdatei c:\xy.txt mit den entsprechenden Informationen über die Prozesse und Unterprozesse erzeugt.
     
  10. 31Mathias

    31Mathias Byte

    Soll das dann so aussehen ??
    Sorry ich bin nur leihe !

    C:\>net start > c:\xy.txt
    C:\>tasklist >> c:\xy.txt
    C:\>tasklist /svc >> c:\xy.txt
    C:\>

    Danke
    Mathias
     
  11. franzkat

    franzkat CD-R 80

    Die letzte Zeile hast du jetzt dazugefügt.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen