PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Bin ich Infiziert ? Hier die Antwort !



Montaxx
25.02.2009, 16:20
Also,

bevor ihr ettliche neue Post's startet, zeige ich euch eine von mehreren Möglichkeiten, um herauszufinden ob ihr infiziert seid.

Netstat:

Bevor wir irgendwas machen, starten wir unseren Rechner neu.
Jetzt ist es wichtig, dass wir alle Programme schließen, die eine Verbindung zum Internet aufbauen, wie z.B. AntiVir, I-Explorer, ICQ usw.
Nun gehen wir auf Start->Ausführen.
Dort geben wir CMD ein und drücken auf OK.

Nun habt ihr ein mehr oder weniger kleines schwarzes Fenster das so aussehen sollte:

http://boh-gaming.de/Hosting/bild.php/27,blankpngE8E4B.png

Nun geben wir dort "netstat -a" ein.

Es sollte jetzt ungefähr so aussehen:

http://boh-gaming.de/Hosting/bild.php/28,ausgefuehrtpngL8WCF.png



Nun haben wir alle Verbindungen die von unserem PC ausgehen.
Jetzt sollte man alle IP'S Checken, ob sie vertrauenswürdig sind, oder doch eine Gefahr darstellen.

Zum Beispiel ist bei mir absichtlich "64.12.24.72:5190" zu sehen. Dies ist QIP.
Woher ich das weiß ? Wegen dem Port. ICQ Benutzt den Port 5190.


Es liegt jetzt voll und ganz an euch, ob ihr die angezeigten IP's als vertrauenswürdig einstuft, oder nicht.
Solltet ihr einen Eintrag finden mit "ganxxtaleet.ath.cx:2222" oder ähnlichem, könnt ihr zu 89% sicher sein, dass ihr infiziert seid.

Solltet ihr aber doch noch um nummer sicher gehen wollen, könnt ihr euren Log im Forum posten.



Was kann man tuhen um zu vermeiden, dass man infiziert ist ?
- Nur von Vertrauenswürdigen Seiten runterladen, und ein AntiVir benutzen alâ Kaspersky, Norton (LoL) etc.



MFG

Montaxx

mbeezy
25.02.2009, 16:23
Hi,

da hier immer öfter die Frage aufkam, ob das System denn infiziert sei, habe ich mal ein kleines Text-Tutorial dazu geschrieben. Dieses Tutorial als Video gibt es nochmal hier (http://free-hack.com/viewtopic.php?p=366908).


…………………………………………†¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â €¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦ …………………………………………†¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â €¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦


1) Startet HijackThis

http://img3.imagebanana.com/img/ev6fofgb/thumb/1.JPG (http://img3.imagebanana.com/view/ev6fofgb/1.JPG)


2) Klickt auf "Do a system scan and save a logfile"

http://img3.imagebanana.com/img/k88q9l/2.JPG



3) Kopiert die Liste der "Running processes"

http://img3.imagebanana.com/img/we96i30g/3.JPG



4) Geht auf http://hijackthis.de, kopiert diese Liste in die Textbox und klickt auf "Auswerten"

http://img3.imagebanana.com/img/wayllvrt/thumb/4.JPG (http://img3.imagebanana.com/view/wayllvrt/4.JPG)



5) Durchsucht die Auswertung und achtet darauf, ob etwas als "Eventuell Schädlich", "Schädlich" oder "Extrem Schädlich" gekennzeichnet ist bzw. ob überall alles grün abgehakt ist, oder ob eben gelbe Fragezeichen oder rote Kreuze vorkommen.

http://img3.imagebanana.com/img/vzw5bfd2/thumb/5.JPG (http://img3.imagebanana.com/view/vzw5bfd2/5.JPG)


6) Sofern dies der Fall ist, startet HijackThis erneut, führt einen Scan durch, markiert die Probleme und klickt auf "Fix checked".

http://img3.imagebanana.com/img/dey96rtq/6.JPG


7) Jetzt kontrolliert ihr noch die aktiven Verbindungen. Das geht entweder automatisch mit Programmen wie "Active Ports" oder "TCPView", oder wir machen es selber. Geht dazu auf "Start" und "Ausführen".

http://img3.imagebanana.com/img/fqqzjx02/thumb/7.JPG (http://img3.imagebanana.com/view/fqqzjx02/7.JPG)


8) Schließt alle Applikationen, die aufs Internet zugreifen, sofern ihr nicht das Ziel des Programms eindeutig kennt und sowas sicher als Spyware ausschließen könnt. Besonders den Internet-Browser. Gebt "cmd" ein und klickt auf "OK".

http://img3.imagebanana.com/img/n8bene1/8.JPG


9) Gebt "netstat -b" ein und schaut euch die Verbindungen an. Seht euch vorher an, welche Programme gerade von euch im Hintergrund laufen, um gewolltes von ungewolltem trennen zu können (Tray). Dann könnt ihr die Auflistung der Verbindungen analysieren.
Prozesse - Sofern ihr euren Browser geschlossen habt, achtet darauf, ob trotzdem ein Prozess von eurem Standart-Browser aktiv ist.
Remote-Port - Stehen hier Ports wie 80, 81, 8080, 2020, 6667-6669, 666, 1337 etc. und ihr könnt den dazugehörigen Prozess nicht als "gewollt" einstufen?
Status der Verbindung - Ist eine Verbindung hergestellt?

http://img3.imagebanana.com/img/r6meoa7r/thumb/9.JPG (http://img3.imagebanana.com/view/r6meoa7r/9.JPG)


10) Danach checkt ihr, was beim Booten an Applikationen gestartet werden soll. Dazu geht ihr wieder auf "Start", "Ausführen" und gebt "msconfig" ein.

http://www.imagebanana.com/img/t3se6f40/10.JPG


11) Unter dem Reiter "Systemstart" könnt ihr euch das anzeigen lassen. Kennt ihr ein Programm davon nicht oder wollt es nicht automatisch starten, dann entfernt den Haken im Kästchen.

http://img3.imagebanana.com/img/ngicy05/11.JPG



…………………………………………†¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â €¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦ …………………………………………†¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â €¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦â€¦



Mfg



Erweitert & als Sticky markiert

Cheese
25.02.2009, 16:23
warum nicht "netstat -ano" und dann via PID gucken ob es so richtig ist das dieser prozess ne verbindung hat?