Vollständige Version anzeigen : svchost.exe sendet an port 1604 | exe existiert seit arabische Zeichen gesendet wurden


jojo2peter
29.11.2014, 04:58

Hallo Leute,

Nun erstmal zur Einführung:
Habe mit einem Kumpel auf Facebook aus Spaß arabische Zeichen verschickt... Einfach -> google Translate -> 'gott ist groß' übersetzen lassen.
Danach fiel mir immer öfter auf, dass mein PC (16GB RAM, i5-2500K etc.;) sich anders zu verhalten schien. Hab mich teils auch darüber belustigt, dass das ja daran läge, dass nun der Verfassungsschutz hinter mir her sei.

Nunja, Heute (29;11;2014) bzw. Gestern hatte ich mal nichts vor und hab gedacht, schau ich mal in den Ereignislogs etc. und TCPView, was so auffälliges drin ist, woran es denn tatsächlich liegen könnte, warum mein PC so "komisch" ist... (Komisch, weil das Hochfahren länger dauert (trotz SSD) und die Maus nach dem Hochfahren ein bisschen stockt) // Habe Windows 7 // Erst bei TCPView ist mir aufgefallen, dass der Prozess svchost;exe auf Port 1604 dauernd an eine IP etwas sendet.


Diese Datei C:\Users\;\AppData\Roaming\SVCH\svchost;exe habe ich dann auf Virustotal hochgeladen, mit DIESEM (;;;virustotal~com/de/file/223bc7236bbb4a6292bbb526b7829726976c7ef9a43021f883552e948d570fef/analysis/1417226092/) Ergebnis.

Die svchost;exe war außerdem "versteckt" und "zuletzt geändert" am 25;07;2014 um 07:35 Uhr.

Interessanterweise bzw. eig. logischerweise sind alle Daten in diesem Zeitraum im Ereignisprotokoll gelöscht.
Sie gehen bis 18;07;2014 und dann erst ab dem 25;07;2014 wieder weiter.


Nun dachte ich wieder an die arabischen Zeichen die ich einst einem Freund schickte. Die Facebook Chat-Suche hat mir da nicht weitergeholfen, da sie scheinbar keine arabischen Zeichen suchen kann, also bin ich zum 25;07;2014 gescrollt und:
;;1;xup~to/exec/ximg;php?fid=73752900
Das war dann auch nun der Anlass warum ich hier diesen Thread eröffne.
Nur die Uhrzeit ist nach dem Änderungsdatum.

Ob es jetzt dumm war oder sonst irgendwas, in Facebook sowas zu schreiben, ist hier nicht die Frage. Genausowenig ob im FB-Chat alles richtig geschrieben ist oder Sinn ergibt und/oder warum wir sowas einander schreiben.

Über Wireshark habe ich auch geschaut was darüber gesendet/empfangen wird:
Das sind nur TCP-Retransmission Pakete, natürlich ohne Antwort. Src-Port: 59580 Dst-Port: 1604.


Nun zu meiner "Analyse": Also einerseits würde ich sagen, dass das kein "professioneller Angriff" war, da der Prozess über TCPView so einfach ersichtlich war und der svchost im dem AppData Verzeichnis war. (Also keine Windows Hintertür). Andererseits war das alles nicht nötig, da keiner Verdacht schöpfen sollte und ich nur für den Zeitraum, in dem auch das Ereignisprotokoll fehlte, "bewertet" wurde, ob ich nun potenziell Gefährlich bin oder nicht?!
Oder doch alles nur Zufall?

Hardware Preisvergleich | Amazon Blitzangebote!

Videos zum Thema
Video Loading...
FakeAccount!
29.11.2014, 11:21

An welche IP?


jojo2peter
29.11.2014, 13:05

An welche IP?
134;255;231;147
Denke dort wird man aber nichts finden


FakeAccount!
29.11.2014, 13:26

Meine IP-Informationen anzeigen: 134;255;231;147 - Geo IP Tool (;;;geoiptool~com/de/?ip=134;255;231;147)
(;forums;euw;leagueoflegends~com/board/board/showthread;php?t=1634986)
POLO DOMAINS - GILDE-HACKEDICHT~COM Domain Name Info (;whois;polodomains~com/domain/TMG18pAQCNkegeTBXH27Ot5uJSjRIDf5_info;html)
Ich suche, wer bietet..;? - Spieler sucht Clan - World of Tanks official forum (;forum;worldoftanks~eu/index;php?/topic/340969-ich-suche-wer-bietet/)

Kein Verfassungsschutz denke ich


Ähnliche Themen zu svchost.exe sendet an port 1604 | exe existiert seit arabische Zeichen gesendet wurden


raid-rush.ws | Imprint & Contact pr