Infiziert?

[sinr0]

Nabend,

gerade eben ist mein PC einfach von alleine runtergefahren.
Daraufhin habe ich mal eine IP die mir komisch vorkam gecheckt.
Dabei kam folgendes raus:
IP address: 207.46.20.254
IP country: United States
IP address state: Washington
IP address city: Redmond
IP latitude: 47.670601
IP longitude: -122.068497
ISP: Microsoft Corp
Organization: Microsoft Corp

Sieht aus als wär jemand mit einem Proxy auf meinem PC oder?
Weil beim netstat steht bei Status "SYN_GESENDET"

[o_O]

Windows Update ?

[sinr0]

Habe noch eine komische drin:

IP address: 194.127.229.xx
IP country: Germany
IP address state: Nordrhein-Westfalen
IP address city: Muenster
IP latitude: 51.966702
IP longitude: 7.633300
ISP: HSP GmbH
Organization: System Development and Tools

[dylan]

sieht so aus ja, das beides waren proxy addressen
hast du da keine stateful inspection firewall die von aussen kommende verbindungsversuche einfach mal nach dev0 verschiebt^^?

so wie es aussieht wollte er mit irgendeinem rat oder sowas auf deinem rechner connecten...
das syn flag sagt mir das der grad nen 3 wege handshake machen wollte, also ein verbindungs aufbau mit tcp..

besorg dir mal nen sniffer und schau an was auf deiner leitung so passiert, und schau ob du irgendwas auf deinem rechner drauf hast was da nicht hingehört^^

Added after 9 minutes:

What does the svchost.exe do in the background? Does it need internet connection? cause my firewall says it's trying to connect to port 80 & 443. And connect to ip 207.46.20.254. I was thinking of blocking any connection made from svchost.exe

What the service host processes do is provide a protected operating environment for running applications and it's normal to have several running in the background. With them you can close an application if there is a problem and not have to shutdown or reboot the system. As for as that one accessing the internet I don't know but some trojans have mimiced the service hosts.

hab ich grad mal so gefunden^^

port 80 is klar denk ich mal und port 443 ist der management-port deines routers, dort kannst du dich per internetexplorer verbinden und die einstellungen ändern. das gleiche kann aber auch ein böswilliger hacker machen...

also wenn er bei dir ne sicherheitslücke gefunden hat kommt er auf dein router und kann an deiner firewall rumspielen und zugriff auf dem system bekommen

ehm zieh mal den stecker, starte irgendeine linux-live cd und checke mal deine svchost.exe mit nem av durch, oder am besten gleich das ganze os.

dann starte neu und dann ändere noch deine passwörter und block die ip mit einer firewall

und die 2 ips waren evtl keine proxies sondern irgendwelche zombies

Added after 1 hours 35 minutes:

und wie siehts aus? hast schon was erreicht?

[sinr0]

Ich sitze grad am Laptop und formatiere grade mein Mainrechner. Die Firewall war für kurze zeit aus geschaltet habe sie nun aber wieder aktiviert. Wenn das ein Hacker war, kann er denn jetzt noch was anrichten, obwohl ich das System neu draufgezogen habe, irgendwie über den router oder so?


mfg

[dylan]

du solltest mal in deine config vom router schauen ob da irgendwelche komischen ports offen sind, denn vll noch router neu starten damit du neue ip hast und auf jeden fall solltest dir ne firewall auf dein rechner haben, falls du dich bisher nur auf deine routerfirewall verlassen hast
den in nächster zeit mal ab und zu schauen ob dir was komisch vorkommt, denk aber das es das denn gewesen ist!

achjaa und am besten du änderst deine wichtigsten passwörter falls er nen pw stealer hatte, nich das er dir alle accounts klaut^^

Added after 3 minutes:

aja und noch was :lol:
kannst ja mal nach deinem router googlen ob es da irgendwelche bekannten lücken gibt