Viren, Spyware, Datenschutz 11.242 Themen, 94.687 Beiträge

Verfolgung starten Optionen

Ein grauslicher Zombi

jueki / 8 Antworten / Flachansicht Nickles

Man bat mich um Hilfe bei einem PC, der laufend ins Internet sendete und empfing.
Der Eigentümer bemerkte das, weil es ewig dauerte, bis er eine einfache mail senden konnte.
Ich installierte dann mal schnell mein Traffic- Tool (TrafficMonitor) und stellte fest, das der mit maximaler Performance sendete...

Daraufhin hab ich den sofort vom Netz getrennt und mit dem neuen Avira AntiVir Professional untersucht.
Ein klassischer Zombi nach meiner laienhaften Auffassung.
Avira teilte mir mit, das sich im Ordner "System Volume Information" Schädlinge befinden.
Hier ein Text:

D:\System Volume Information\_restore{805468D7-50BF-425C-813D-C7291BFD683E}\RP2\A0000461.exe
[FUND] Ist das Trojanische Pferd TR/Hijacker.Gen

Bevor ich den PC formatierte, habe ich mir die Besitzrechte dieses Ordners übernommen und hineingeschaut.
Besser gesagt - der Reihe nach diese Ordner aller 6 vorhandenen Partitionen.
Nur (seltsam!) der Ordner in C war leer - bei allen anderen, den logischen Laufwerken also, beinhaltete dieser Ordner zwischen 196 bis 274MB.
Inhalt - weitere Ordner "RP0" bis "RP18".

Hab, wie gesagt, den sofort vom Netz getrennt und nach der obigen Aktion formatiert.
Könnt Ihr Euch einen Reim darauf machen, was da wirklich los war?

Danke für Eure Meinungen.

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
Manchmal schaue ich auch genauer in infizierte Rechner, um einen Eindruck ... shrek3
Danke für Deine Antwort. ...ein einzelner Fund in den ... jueki
Schädlinge sollten durchaus dazu in der Lage sein, die ... shrek3
um herauszufinden welche anwendung tatsächlich sendet, gibt es dann noch ... Synthetic_codes
Ich hatte auch einmal eine solche Viren Meldung von GDATA 2008. Habe das ... SoulMaster
Ich bedanke mich noch einmal für die Antworten. Mir ging es in der ... jueki
shrek3 jueki „Ich bedanke mich noch einmal für die Antworten. Mir ging es in der Hauptsache...“
Optionen

Wie schnell einen doch "Halbwissen" ereilen kann...

Da glaubt man jahrelang, anhand des Task-Managers bei Internettraffic eine nennenswerte CPU-Auslastung feststellen zu können, war immer davon so sehr überzeugt, dass man es nie für nötig hielt, dieses zu überprüfen - doch was ist..?

Pustekuchen.

Beim Download des Vista-Updatepacks per Firefox dümpeln die firefox.exe und der Webguard von AntiVir zwischen Null und maximal 2% vor sich hin.
Einzig die explorer.exe schlägt hin und wieder mal bis auf 10% aus, weil die empfangenen Netzwerkdaten schubweise auf die Festplatte geschrieben werden.

Bei Uploads würde die explorer.exe rein gar nichts zu tun haben, nachdem die Daten erst mal in den RAM geladen wurden.

Und ich rede hier nicht von einer aktuellen und schnellen CPU, sondern von meinem heißgeliebten Thinkpad T23 - einem betagten Notebook mit Pentium 3 Mobile (1,13 GHz).

Eine aktuelle CPU würde wahrscheinlich bei firefox.exe und Webguard überhaupt nicht ausschlagen und bei der explorer.exe auf weniger als 5% Auslastung bei Downloads kommen...

Mit anderen Worten - der Task-Manager eignet sich für die Ermittlung von Prozessen und dem Abschießen eben dieser.
Nur aber im gleichzeitig stattfindenden Vergleich der gesendeten/empfangenen Datenpakete lassen sich Aufschlüsse darüber gewinnen, ob der soeben abgeschossene Prozess für den Traffic verantwortlich war.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
falscher Ort, sry jueki