Hallo mal ne Frage wie kann ich rausfinden ob mein PC als vicsocks geused wird?? Hab den Formatiert, weil ich hacked wurde .. ( wollte ihn Busten, statt den Virus zu sniffen ausversehn ausgeführt naja selbst schuld.. ;D ) Wieder zur sache, hab netstat -b eingegeben und Firefox ausgemacht , da wurden mir paar Sites angezeigt wo ich angeblich drauf sein sollte, war ich aber nicht, nach dem der Typ Off war, warn die Sites weg deshalb hab ich so das gefühl, wie bekomm ich den Vicsocks wieder weg, wenn ich als einer Geused werde??

Freue mich auf jede Antwort

MfG BlackDesert

Müsstest dann ja, nen Server auf dir haben. Den erstma löschen (Hijackthis etc. ).

danach PC rr, TCPView und gucken ob du noch irgendwo drauf sein solltest. Wenn ja , formatier nochmal und du bist auf der sicheren Seite.

Also bei Hjackthis wird fast alles als sehr sicher angezeigt und sonst nix, bei TCPView sind paar rote sachen .. soll ich einfach auf Close Connection gehn? wenn ich das mach bleiben se weg.. hhmmm

http://www.abload.de/image.php?img=unbenanntvue0.jpg

ethproxy = Free-Hack.

Okay find ich gut als das heist wenn HiJackthis nix anzeigt kann es nicht sein?

nicht 100% einem einmal infizierten System kann man nicht mehr trauen. Ich wurde formatiren weil wenn der nachher mit deiner Ip was cardet hat du nachher die Porbleme zu beweisen das du es nicht warst.

Ich hab den PC ja formatiert nachdem er mich hacked hat, bin mir bloß nicht sicher obs doch iwie geht nach dem Formatieren.. :X

http://technet.microsoft.com/de-de/sysinternals/bb896653.aspx

--> Process Explorer

Wenn du sicher bist dass es sich nicht um ein Rootkit handelt, dann muss der schädliche Prozess dort angezeigt werden...

Einfach durchgehen jeden Process checken, gucken welche Netzwerkverbindungen der jeweilige Prozess geladen hat und wenn du Ahnung hast kannst auch noch die Module angucken. Wenn du ein Prozess nicht kennst Pfad angucken und sicherheitshalber mal googlen.

Das nur zusätzlich zu dem was schon geposted wurde...

Und was ist wenn es ein Rootkit ist?
EDIT:// Mir ist schon am anfang aufgefallen dass da ne Komisch Datei ist.. lsass.exe weis einer was das ist??

google hilf oft bei unbekannten prozessnamen ;) lsass.exe ist von windows

kannst ja von ebfe sein Anti Bootkit (http://free-hack.com/showthread.php?t=48596) noch benutzen, wenn du glaubst da könnte noch iwas drin sein^^

Der normale 0815-Trojaner-Verteiler kommt nicht einfach so an ein gutes Rootkit, solche Dinger kosten richtig Kohle, ich glaube kaum dass es eins ist..

kannst ja von ebfe sein Anti Bootkit (http://free-hack.com/showthread.php?t=48596) noch benutzen, wenn du glaubst da könnte noch iwas drin sein^^
Das hat keine eingebaute Viren/Bootkit Erkennung um eine Infektion nachträglich festzustellen ;). Du kannst damit "nu" den Zustand deiner Master Boot Records nach einer frischen Installation (wenn man weiß, dass das System sauber ist) festhalten und es schlägt halt dann Alarm, wenn diese Dinge verändert werden.

@TopicStarter
Ansonsten bleibt die Frage, wie du formatiert hast und ob du Windows bloß drüber installiert hast. Und natürlich ob du nach der Neuinstallation irgendwelche alten Exen nochmal geöffnet hast.

Was mir hier auffällt:
http://www.abload.de/image.php?img=unbenanntvue0.jpg
sind die vielen Listning von svhost (leider kann man auf dem Screenshot keine Ports erkennen). Und zwar auf beliebige Remoteadressen.

Ich arbeite nach einer XP installation grundsätzlich immer diese Anleitung durch:
http://www.ntsvcfg.de/#intro
(und zwar nicht das Script, sondern manuell)
Je nach dem, welche Dienste man nun abstellt, sind nachträglich erstmal keine Ports offen und es gibt auch keine "komischen" Verbindungen nach Außen.

Danach machst du einen Reboot und führt FF mit einer leeren Seite als Startseite. Jetzt sollten in netstat -aon bzw netstat -aonb bzw TCPView keinerlei Verbindungen nach Außen und höchstens 1-2 lauschende Verbindungen angezeigt werden (die man aber genau nachvollziehen kann, da man das System ja selbst konfiguriert hat ;) )

Wenn du wirklich auf Nummer sicher gehen willst: mit BartPE oder Linux LiveCD wichtige Dateien sichern (Quellcodes, Texte, Dokumente) und alle DLLs, OCX, Exe, SCR, PIF usw. Dateien (Liste gibts hier: http://de.wikipedia.org/wiki/Liste_ausf%C3%BChrbarer_Dateitypen - eventuell natürlich eigene HTMLs, PerlScripte, ExcelDateien nicht unbedingt mitlöschen ;) )
aus dieser Sicherung entfernen.
Dann die Festplatten formatieren und neuinstallieren.
Diese Liste abarbeiten
http://www.ntsvcfg.de/#intro
Autoruns abschalten (gegen USB Stick Infektion)
alle Updates draufspielen
Alle Programme neu laden/installieren (FF,Office usw)
sich einen normalen Benutzeraccount (ohne Adminrechte) zulegen und normalerweise nur damit arbeiten
eine VirtualMachine (VMWare, VirtualPC, VirtualBox) mit einem XP zum testen nicht vertauenswürdiger Dateien installieren.

Browser und Mailprogramm immer in einer Sandbox ausführen (oder noch besser: Benutzerrechte so konfigurieren, dass Firefox&Co nichts "böses" anrichten können, auch wenn sie durch einen exploit dazu gezwungen werden - aber das ist ein Kapitel für sich. Win NT, 2000,XP usw bieten schon von Haus aus gute Sicherheitsfunktionen - dass die Systeme per Default erstmal unsicher konfiguriert sind (und die meisten User es auch dabei belassen) ist eine andere Geschichte).

Das Ergebnis wäre eine Kiste, die auch ohne AntiVirus erstmal nur sehr schwer angreifbar wäre. Und Antivirus kann man natürlich auch draufpappen (als zusätzliche Sicherheitsstufe) ;)