Wurde ich gehackt?

@angswap

Du könntest auch einfach mal in der Systemsteuerung nachschauen ob vor kurzem irgendwelche Programme installiert wurden von denen du keine Ahnung hast worum es sich handelt.

@angswap
@all

Startmenu und im Suchfenster cmd eingeben. Rechtsklick auf das gefundene cmd.exe und 'als Administrator ausführen' wählen.

Im Dosfenster eintippen (oder kopieren einfügen)
netstat -b -p TCP

Es wird eine Liste ausgegeben über die aktiven Verbindungen. Wenn euch hier was verdächtig vor kommt, der Sache weiter nachgehen.

Das gute daran ist, es ist 100% zuverlässig, man sieht was tatsächlich abgeht, da seht ihr dann auch welche Programme eine Verbindung wohin aufbauen, aber auch wenn wer von aussen auf dem Rechner wäre, braucht kein zus. Tool dazu.

oder hier von Sysinternals, ist ggf praktischer, das nutzt Windows Netstat als Quelle. Simpel und doch so mächtig ;) http://www.chip.de/downloads/TCPView_13015059.html

http://gyazo.com/3cc0612b3b3c9b45221ec6ba2e306e93

mein netstat b p tcp

Was sagt das aus?
Und er meinte halt, er hackt nicht mehr, würde ich ihn dann trotzdem dort sehen?

@angswap

Dein Rechner heisst hallo und hat intern Verbindungen aufgebaut, mit dem Port hinten dran, nicht so relevant für dich.

Dann siehst du links welcher Task welche Verbindungen hat. Ein Beispiel 'nvstreamsvr' hat eine aktive Verbindung zur IP 157.55.236.142 jetzt könntest du versuchen rauszukriegen wem diese IP gehört.

Gib die IP mal hier ein: http://www.dnstools.ch/visual-traceroute.html

Kommt leider nicht bis ans Ende durch, manche gehen aber bis ans Ende, manche Hubs blocken Trace/Ping Anfragen. Du könntest aber nun nvstreamsvr beenden, dann geht auch die Verbindung weg und im Netz googlen was das für ein Task ist.

angswap schrieb:Und er meinte halt, er hackt nicht mehr, würde ich ihn dann trotzdem dort sehen?

Man sieht nur pausierte oder aktive Verbindungen, also wenn er einen Ausspäher auf dem Rechner installiert hat, wir der möglicherweise als Prozess noch laufen ggf. auch wenn er nicht online auf gerade der Kiste ist, würde dieser Prozess vielleicht im Status 'wartend' aufgeführt. Kommt aber darauf an um was es sich handelt.

nvstream = nvidia soweit ich weiß

Kaspersky hat schon bisschen was gefunden, melde mich wieder wenn der fertig ist.

Ich habe beide einfach mal gelöscht.

@angswap

Schaden kann es auf alle Fälle nicht.

mayday schrieb:Ein Beispiel 'nvstreamsvr' hat eine aktive Verbindung zur IP 157.55.236.142 jetzt könntest du versuchen rauszukriegen wem diese IP gehört.

also die 157.55.236.142 gehört zu microsoft.... -->
Using server whois.arin.net. Query string: "n + 157.55.236.142" # # ARIN WHOIS data and services are subject to the Terms of Use # available at: https://www.arin.net/whois_tou.html # # If you see inaccuracies in the results, please report at # http://www.arin.net/public/whoisinaccuracy/index.xhtml # # # The following results may also be obtained via: # http://whois.arin.net/rest/nets;q=157.55.236.142?showDetails=true&showARIN=false&ext=netref2 # NetRange: 157.54.0.0 - 157.60.255.255 CIDR: 157.56.0.0/14, 157.54.0.0/15, 157.60.0.0/16 OriginAS: AS8075 NetName: MSFT-GFS NetHandle: NET-157-54-0-0-1 Parent: NET-157-0-0-0-0 NetType: Direct Assignment RegDate: 1994-04-28 Updated: 2013-08-20 Ref: http://whois.arin.net/rest/net/NET-157-54-0-0-1 OrgName: Microsoft Corporation OrgId: MSFT Address: One Microsoft Way City: Redmond StateProv: WA PostalCode: 98052 Country: US RegDate: 1998-07-10 Updated: 2013-08-21 Comment: To report suspected security issues specific to traffic emanating from Microsoft online services, including the distribution of malicious content or other illicit or illegal material through a Microsoft online service, please submit reports to: Comment: * https://cert.microsoft.com. Comment: Comment: For SPAM and other abuse issues, such as Microsoft Accounts, please contact: Comment: * abuse@microsoft.com. Comment: Comment: To report security vulnerabilities in Microsoft products and services, please contact: Comment: * secure@microsoft.com. Comment: Comment: For legal and law enforcement-related requests, please contact: Comment: * msndcc@microsoft.com Comment: Comment: For routing, peering or DNS issues, please Comment: contact: Comment: * IOC@microsoft.com Ref: http://whois.arin.net/rest/org/MSFT OrgAbuseHandle: MAC74-ARIN OrgAbuseName: Microsoft Abuse Contact OrgAbusePhone: +1-425-882-8080 OrgAbuseEmail: abuse@microsoft.com OrgAbuseRef: http://whois.arin.net/rest/poc/MAC74-ARIN OrgTechHandle: MRPD-ARIN OrgTechName: Microsoft Routing, Peering, and DNS OrgTechPhone: +1-425-882-8080 OrgTechEmail: IOC@microsoft.com OrgTechRef: http://whois.arin.net/rest/poc/MRPD-ARIN # # ARIN WHOIS data and services are subject to the Terms of Use # available at: https://www.arin.net/whois_tou.html # # If you see inaccuracies in the results, please report at # http://www.arin.net/public/whoisinaccuracy/index.xhtml #
quelle: http://www.heise.de/netze/tools/whois/

sagt auch, ein firefox addon:

Hostname Unbekannt Internetdienstanbieter Microsoft Corporation (AS8075)
Kontinent Nordamerika Nationalflagge US
Land Vereinigte Staaten von Amerika Ländercode US (USA)
Region Washington Lokale Zeit 10 Sep 2014 20:40 PDT
Metropole* Seattle-Tacoma Postleitzahl 98052
Stadt Redmond Breitengrad 47.68
IP-Adresse 157.55.236.142 Längengrad -122.121

http://geoip.flagfox.net/ (Archiv-Version vom 09.09.2014)


@angswap
was spuckt "netstat -ab" aus?
kann ja sein das da auch was läuft was z.b. UDP verwendet ...

Eine kleine offtopic frage: Wie überwacht ihr alle aktiven Verbindungen und offene Ports etc.? Ich würde gerne die Übersicht haben, aber auf Windows fühle ich mich sowieso nicht sicher. :p

@xotix1
Auf dem PC mit netstat.
Öffne dazu ein Terminal (z.B. mit Win-r und dann "cmd" eingeben) und gebe im Terminal "netstat ?" ein. Du bekommst dann eine Übersicht, mit welchen Parametern du das Programm aufrufen kannst. (Ich kenne mich leider nicht mit der Variante von Windows aus, nehme aber an, dass die Parameter anders als die der Linux-Variante benannt sind)
Ob Ports offen sind kannst du damit nicht kontrollieren, sondern nur, ob Programme auf diesen Ports horchen oder senden. Für offene Ports musst du in den Firewalleinstellungen deines Betriebssystems oder in der NAT deines Routers gucken, wenn dort irgendwelche Einträge sind, kann man vom Internet aus auf dem dort angegebenen Rechner zugreifen. Bei deinem Router kann man sich vielleicht auch anzeigen lassen, welche Ports per UPnP geöffnet wurden, falls du UPnP im Router nicht ausgestellt hat.

@NuclearGuru
Ja, ich kenn Netstat, aber ich suche eher was, das mich auf dem laufenden hält sobald was neues passiert.

@xotix1
https://www.wireshark.org/

allerdings nach der installation: windowstaste+r --> "services.msc" (ohne " " ) --> "Remote Packet Capture Protocol v.0 (experimental)" deaktivieren ...
idR braucht man das nicht ...
außer man will halt wirklich:

Allows to capture traffic on this machine from a remote machine.

von extern traffic mitschneiden...
dieses winpcap braucht man allerdings, damit man ethernet (u. sonstige) -adapter in den promiscous-mode schalten kann, oder so ...

und da es nicht immer sinnvoll/möglich ist den gesamten traffic zu verfolgen hat wireshark so eine funktion die nennt sich "expert infos" ... die erreicht man, wenn man gerade am capturen ist, in dem man ganz links unten auf den uU farbigen kreis doppelt klickt ...
besser auf dem laufenden kann man eigentlich nicht sein...

@angswap

Er soll Dir einfach zeigen wie Ers gemacht hat. Ansonsten kann Er doch viel erzählen?

Wenn es ein Usermode (Ring 3) Schadprogramm ist helfen die gewöhnlichen AV Programme in der Regel recht zuverlässig. (Schad-) Programme die Ring 0, in denen der Windows Kernel die Treiber und die Hardware Abstraktionsschicht operieren, oder Programme die im "Ring -1" (System Management Mode) laufen, haben hingegen vollständigen Hardware Zugriff und können Systemkomponenten entsprechend verändern. Einen solchen System ist nicht zu trauen, da die AV Programme auf Funktionen der Windows API und in manchen Fällen auch des Driver Frameworks zurückgreifen. Diese Funktionen können verändert werden, entweder permanent (was unklug ist, da dies zu Systemfehlern führen kann) oder selektiv, nur beim Zugriff eines AV Programmes auf diese Funktionen.
Setze das System neu auf, unter völliger Formatierung der Festplatte (interne Chips der Peripherie werden in der Regel nicht von Schadprogrammen zur Speicherung ihrer Binärdateien genutzt) sollte das Schadprogram damit erledigt werden.

Nach neuaufsetzen:

cmd_admin; wmic; os set DataExecutionPrevention_SupportPolicy = 3, enter, bestätigen (y)
Das ist die Dateiausführungsverhinderung (DEP), CPU's führen dann Shellcode im Stack generell nicht mehr aus.

zusätzlich ASLR (Address Space Layout Randomization) aktivieren, Google hilft da weiter, den Registry Key kenne ich nicht auswendig.

@iwok
Danke, mal schauen. :)