PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Infiziert?



hackerking
16.07.2009, 16:28
Jo Hey Leute...
Also ich hab in TCPView geguckt und eine verbindung zur IP 91.67.104.249 gefunden. in netstat -a -b konnte cmd den prozess nicht identifizieren... und in tcpview wird es
als system process bezeichnet. per flagfox hab ich das herausgefunden:

http://geotool.flagfox.net/?ip=91.67.104.249

nach 1 min isses dann aber wieder aus tcpview verschwunden.
ausserdem hat f-secure nichts gefunden und es gibt keinen autostart eintrag, oder activeX startup, der verdächtig ist...

bin ich infiziert oO?

Kolabi
16.07.2009, 16:56
Kabel Deutschland, sollte eigentlich sicher sein... :p

hackerking
16.07.2009, 17:02
Wieso? Ich meien Kabel Deutschland ist auch ein Internet Anbieter..

Vampi
18.07.2009, 16:02
Hast du denn auch gekuckt auf welchen Port sich das ganze verbindet? Wenns nochmal passiert, versuch dich doch mal per telnet auf den Port zu connecten und kuck ob du irgendeinen Banner grabben kannst. Oft ist es relativ harmlos (z.B. Verbindung auf nen Webserver einfach, wenn du ne Seite aufrufst die externen Content einbindet)

gf0x
18.07.2009, 19:07
Ich tippe mal dass er über den Port :80 connected hat.

Meistens kommt sowas nur vor, wenn man über Messenger mit jmd. Gespräche führt oder man etwas Downloaded etc.

Aber, dass kein genauer Prozess angezeigt worden ist - ist schon komisch - dafür sind keine weiteren Reste wie Autostart o.ä. liegengeblieben.