wurde ich gehackt?

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von dash, 18. Oktober 2005 .

Schlagworte:
Status des Themas:
Es sind keine weiteren Antworten möglich.
Seite 1 von 2
  1. 18. Oktober 2005
    hi
    ich benutze die mc affe firewall und da kahm eine meldung das jemand versucht hat eine verbindung zu meinen pc herzustellen. ich konnte die ip zurückverfolgen hier das was mcaffe ausgespukt hat:
    netwerk informationen:

    This is the RIPE Whois query server 1.
    The objects are in RPSL format.

    Note: the default output of the RIPE Whois server
    is changed. Your tools may need to be adjusted. See
    http://www.ripe.net/db/news/abuse-proposal-20050331.html
    for more details.

    Rights restricted by copyright.
    See http://www.ripe.net/db/copyright.html

    Note: This output has been filtered.
    To receive output for a database update, use the -B flag.

    Information related to '193.138.232.0 - 193.138.235.255'

    inetnum: 193.138.232.0 - 193.138.235.255
    netname: MNW-NET
    descr: MNW Co Ltd
    country: RU
    org: ORG-MCL7-RIPE
    admin-c: IMA-RIPE
    tech-c: DMZV-RIPE

    kurz darauf kahm noch so eine meldung aber diemal von ner anderen ip:


    OrgName: Asia Pacific Network Information Centre
    OrgID: APNIC
    Address: PO Box 2131
    City: Milton
    StateProv: QLD
    PostalCode: 4064
    Country: AU

    ReferralServer: whois://whois.apnic.net

    NetRange: 219.0.0.0 - 219.255.255.255
    CIDR: 219.0.0.0/8
    NetName: APNIC5
    NetHandle: NET-219-0-0-0-1
    Parent:
    NetType: Allocated to APNIC
    NameServer: NS1.APNIC.NET
    NameServer: NS3.APNIC.NET
    NameServer: NS4.APNIC.NET
    NameServer: NS-SEC.RIPE.NET
    NameServer: TINNIE.ARIN.NET
    Comment: This IP address range is not registered in the ARIN database.
    Comment: For details, refer to the APNIC Whois Database via
    Comment: WHOIS.APNIC.NET or http://www.apnic.net/apnic-bin/whois2.pl
    Comment: ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
    Comment: for the Asia Pacific region. APNIC does not operate networks
    Comment: using this IP address range and is not able to investigate
    Comment: spam or abuse reports relating to these addresses. For more
    Comment: help, refer to http://www.apnic.net/info/faq/abuse
    Comment:
    RegDate:
    Updated: 2005-05-20

    OrgTechHandle: AWC12-ARIN
    OrgTechName: APNIC Whois Contact
    OrgTechPhone: +61 7 3858 3100
    OrgTechEmail: search-apnic-not-arin@apnic.net

    ARIN WHOIS database, last updated 2005-10-17 19:10
    Enter ? for additional hints on searching ARIN's WHOIS database.
    was soll ich davon halten?
     
  3. 18. Oktober 2005
    nich viel. kann sein, dass einer gescannt hat und per zufall deine ip und nen port bei dir getroffen hat.

    kannste sehen, über welchen port der rechner "eindringen" (haha ich liebe doppeldeutigkeiten ) wollte?
     
  4. 18. Oktober 2005
    APNIC? vermutlich hast du illegal was gesaugt!
     
  5. 18. Oktober 2005
    Ist keine Gefahr gibt es öfter wenn du dir ma öfters die log anschaust (bei mir zumindest 8)).

    Wegen illegalem saugen ist das aber sicher nicht mach dir ma keine Sorgen.
    Wenn ich richtig informiert bin ist das ein Dienstleister wie denic.de. über den du
    whois anfragen stellen kannst.

    Hoffe es hat dir geholfen 8)
     
  6. 18. Oktober 2005
    Hmmm. Wieso sollte so APNIC ihn einfach so scanen? Ich sehe da ohne weiteres keinen Sinn. Siehe http://www.apnic.net
     
  7. 18. Oktober 2005
    Wir scannen in Russland, die Russen in Deutschland
     
  8. 7. November 2005
    Ich bin auch der Meinung das dat ofter vorkommt bei mir war so was auch schon ma! Also wenn du nix illegal gesaugt hast toi toi....

    mfg Murderer
     
  9. 7. November 2005
    Wenn man illegal etwas saugt wird wohl kaum der Rechner gescannt aber egal. 8)
     
  10. 7. November 2005
    ja sieht mir auch harmlos aus also keine angst
     
  11. 7. November 2005
    thema eh schon erledigt.. viel zu alt..

    closed.
     
  12. 14. Mai 2006
    Ich habe mir vorhin hier im Board ein Hackpack geladen.
    Dann mim Clan WAR gezockt und auf einmal konnte ich mich nicht mehr bewegen.
    Ich hab einfach alles losgelassen und der Kerl is rumgelaufen. Ich hab keine Ahnung was das war.
    Also ab ins Windows. Ausführen -> cmd -> netstat -a


    Proto Lokale Adresse Remoteadresse Status

    TCP *****:**** ********.dip0.t-ipconnect.de:8500 Syc_wartend

    Beim Status war ich mir nicht ganz sicher aber irgendsowas.
    Hatte keine Peer2Peer Programme an etc.

    Nur Counterstrike und Teamspeak. Also was kann es gewesen sein?
    Vor gut 5 Minuten war es schon wieder. Ich konnte nix machen, aber der Mauszeiger
    hat sich bewegt und so.

    Dann guckte ich in meinen Firewall einstellungen.
    BiFrost hatte nen Port Freigegeben, und dieser war 8500

    mfg
     
  13. 14. Mai 2006
    unwarscheinlich. ich hab mal div. listen von trojanerports abgegraben, aber dem 8500er ist keiner zugeordnet. gibt sicher ne andere erklärung dafür... wie windoof z.b.
    ansonsten kannst du ja mal den prozess raussuchen, der den port 8500 belegt und ggf. abtöten
     
  14. 14. Mai 2006
    Wo kann ich das machen?
    Weil der Typ ist schon wieder drauf, wo ich das meine das er das ist.
    Soll ich dir ne PN mit seiner IP schreiben?
    Wäre echt geil wenn du mir helfen könntest.

    mfg
     
  15. 14. Mai 2006
    1. pns empfang ich keine weil
    2. wegen is nich.
    3. nützt mir die ip eh nix, weil ich
    4. kein cracker bin, auch wenns
    5. so scheinen mag.


    mach mal in der cmd "netstat -ano" und schau welche prozessid auf den port geht. dann kannst in taskmanager schaun, welches programm auf die prozessid (kurz PID) passt und abtöten.

    http://www.sysinternals.com/Utilities/TcpView.html das hier könnte auch nützlich sein.
     
  16. 14. Mai 2006
    Hab alles soweit gemacht. Nur im Taskmanager weis ich nicht wo ich die PID finde.
    Kannste mir da eben nochmal helfen?

    Danke dir

    mfg
     
  17. 14. Mai 2006
    ansicht -> spalten -> pid
     
  18. 14. Mai 2006
    Firefox...
    Aber wieso eine Normale IP?
    Ich bin weder am Downloaden sonst noch irgendwas.
    Was kann es sein? Immer wenn ich netstat -a mache dann steht da seine *"§%$"§ IP
    und ich kann nix machen. ... Hab schon mehrere Male Antiviren Programme durchlaufen lassen.
    Nix gefunden.

    mfg
     
  19. 14. Mai 2006
    hast den prozess mal abgetötet?
     
  20. 14. Mai 2006
    Ja habe ich, aber ist immernoch da...
     
  21. 14. Mai 2006
    hab ich das jetzt richtig verstanden, dass ff den port 8500 belegt hat?

    mit av programmen findest auch keine trojaner, wenn überhaupt. schließlich wollen trojaner nicht gefunden werden

    hol dir mal http://www.hijackthis.de/ und lass den log auswerten
     
  22. 14. Mai 2006
    Code:
    Logfile of HijackThis v1.99.1
Scan saved at 22:30:18, on 14.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe
D:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\Programme\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\CTFMON.EXE
C:\WINDOWS\system32\cmd.exe
D:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Rar$EX00.713\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - (no file)
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: (no name) - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - (no file)
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [cFosSpeed] D:\Programme\cFosSpeed\cFosSpeed.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Logitech SetPoint.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{65B6765E-B699-402D-9D2D-6EF49D064622}: NameServer = 192.168.178.1,192.168.178.2
O20 - Winlogon Notify: WBSrv - D:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
    Hier is der Log
     
  23. 14. Mai 2006
    ...
     
  24. 14. Mai 2006
    Ich habe es Auswerten lassen.

    Hier das Ergebnis

    Aber keiner der Dinge konnte als "Gefährlich" eingestuft werden.

    {bild-down: http://img133.imageshack.us/img133/6672/netstat3wv.jpg}

    Hier ein Screen.

    mfg
     
  25. 14. Mai 2006
    ... SEIN port ist 8500. deiner is 2161. musst schon nach local port schaun ^^
     
  26. 14. Mai 2006
    Das heisst jetzt?

    btw. die IP steht nich mehr im Netstat nachdem ich alles was die PID hatte gekillt hab.

    Edit: Es war glaub ich eine Art Fake firefox.exe.
    Es waren 2 Stück im Taskmanager

    Edit2: Ich glaub er is weg...

    mfg
     
  27. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.

Seite 1 von 2