Helpdesk
Menschen Wissenschaft Politik Mystery Kriminalfälle Spiritualität Verschwörungen Technologie Ufologie Natur Umfragen Unterhaltung
weitere Rubriken
PhilosophieTräumeOrteEsoterikLiteraturAstronomieHelpdeskGruppenGamingFilmeMusikClashVerbesserungenAllmysteryEnglish
Diskussions-Übersichten
BesuchtTeilgenommenAlleNeueGeschlossenLesenswertSchlüsselwörter
Schiebe oft benutzte Tabs in die Navigationsleiste (zurücksetzen).

Wurde ich gehackt?

39 Beiträge ▪ Schlüsselwörter: Hilfe, Hack, Firewall ▪ Abonnieren: Feed E-Mail

Wurde ich gehackt?

09.09.2014 um 20:14
@angswap

Du könntest auch einfach mal in der Systemsteuerung nachschauen ob vor kurzem irgendwelche Programme installiert wurden von denen du keine Ahnung hast worum es sich handelt.


melden

Wurde ich gehackt?

09.09.2014 um 20:25
@angswap
@all

Startmenu und im Suchfenster cmd eingeben. Rechtsklick auf das gefundene cmd.exe und 'als Administrator ausführen' wählen.

Im Dosfenster eintippen (oder kopieren einfügen)
netstat -b -p TCP

Es wird eine Liste ausgegeben über die aktiven Verbindungen. Wenn euch hier was verdächtig vor kommt, der Sache weiter nachgehen.

Das gute daran ist, es ist 100% zuverlässig, man sieht was tatsächlich abgeht, da seht ihr dann auch welche Programme eine Verbindung wohin aufbauen, aber auch wenn wer von aussen auf dem Rechner wäre, braucht kein zus. Tool dazu.


melden

Wurde ich gehackt?

09.09.2014 um 20:35
oder hier von Sysinternals, ist ggf praktischer, das nutzt Windows Netstat als Quelle. Simpel und doch so mächtig ;) http://www.chip.de/downloads/TCPView_13015059.html


melden

Wurde ich gehackt?

09.09.2014 um 20:40
http://gyazo.com/3cc0612b3b3c9b45221ec6ba2e306e93

mein netstat b p tcp

Was sagt das aus?
Und er meinte halt, er hackt nicht mehr, würde ich ihn dann trotzdem dort sehen?


1x zitiertmelden

Wurde ich gehackt?

09.09.2014 um 20:48
@angswap

Dein Rechner heisst hallo und hat intern Verbindungen aufgebaut, mit dem Port hinten dran, nicht so relevant für dich.

Dann siehst du links welcher Task welche Verbindungen hat. Ein Beispiel 'nvstreamsvr' hat eine aktive Verbindung zur IP 157.55.236.142 jetzt könntest du versuchen rauszukriegen wem diese IP gehört.

Gib die IP mal hier ein: http://www.dnstools.ch/visual-traceroute.html

Kommt leider nicht bis ans Ende durch, manche gehen aber bis ans Ende, manche Hubs blocken Trace/Ping Anfragen. Du könntest aber nun nvstreamsvr beenden, dann geht auch die Verbindung weg und im Netz googlen was das für ein Task ist.


2x zitiertmelden

Wurde ich gehackt?

09.09.2014 um 21:02
Zitat von angswapangswap schrieb:Und er meinte halt, er hackt nicht mehr, würde ich ihn dann trotzdem dort sehen?
Man sieht nur pausierte oder aktive Verbindungen, also wenn er einen Ausspäher auf dem Rechner installiert hat, wir der möglicherweise als Prozess noch laufen ggf. auch wenn er nicht online auf gerade der Kiste ist, würde dieser Prozess vielleicht im Status 'wartend' aufgeführt. Kommt aber darauf an um was es sich handelt.


melden

Wurde ich gehackt?

09.09.2014 um 21:35
nvstream = nvidia soweit ich weiß


melden

Wurde ich gehackt?

09.09.2014 um 21:36
Kaspersky hat schon bisschen was gefunden, melde mich wieder wenn der fertig ist.


melden

Wurde ich gehackt?

09.09.2014 um 23:15
http://gyazo.com/dfc480f4b6b02b7a2709d5e495d35168


melden

Wurde ich gehackt?

09.09.2014 um 23:15
Ich habe beide einfach mal gelöscht.


melden

Wurde ich gehackt?

09.09.2014 um 23:20
@angswap

Schaden kann es auf alle Fälle nicht.


melden
iwok ehemaliges Mitglied

Link kopieren
Lesezeichen setzen

Wurde ich gehackt?

11.09.2014 um 05:55
Zitat von maydaymayday schrieb:Ein Beispiel 'nvstreamsvr' hat eine aktive Verbindung zur IP 157.55.236.142 jetzt könntest du versuchen rauszukriegen wem diese IP gehört.
also die 157.55.236.142 gehört zu microsoft.... -->
Using server whois.arin.net. Query string: "n + 157.55.236.142" # # ARIN WHOIS data and services are subject to the Terms of Use # available at: https://www.arin.net/whois_tou.html # # If you see inaccuracies in the results, please report at # http://www.arin.net/public/whoisinaccuracy/index.xhtml # # # The following results may also be obtained via: # http://whois.arin.net/rest/nets;q=157.55.236.142?showDetails=true&showARIN=false&ext=netref2 # NetRange: 157.54.0.0 - 157.60.255.255 CIDR: 157.56.0.0/14, 157.54.0.0/15, 157.60.0.0/16 OriginAS: AS8075 NetName: MSFT-GFS NetHandle: NET-157-54-0-0-1 Parent: NET-157-0-0-0-0 NetType: Direct Assignment RegDate: 1994-04-28 Updated: 2013-08-20 Ref: http://whois.arin.net/rest/net/NET-157-54-0-0-1 OrgName: Microsoft Corporation OrgId: MSFT Address: One Microsoft Way City: Redmond StateProv: WA PostalCode: 98052 Country: US RegDate: 1998-07-10 Updated: 2013-08-21 Comment: To report suspected security issues specific to traffic emanating from Microsoft online services, including the distribution of malicious content or other illicit or illegal material through a Microsoft online service, please submit reports to: Comment: * https://cert.microsoft.com. Comment: Comment: For SPAM and other abuse issues, such as Microsoft Accounts, please contact: Comment: * abuse@microsoft.com. Comment: Comment: To report security vulnerabilities in Microsoft products and services, please contact: Comment: * secure@microsoft.com. Comment: Comment: For legal and law enforcement-related requests, please contact: Comment: * msndcc@microsoft.com Comment: Comment: For routing, peering or DNS issues, please Comment: contact: Comment: * IOC@microsoft.com Ref: http://whois.arin.net/rest/org/MSFT OrgAbuseHandle: MAC74-ARIN OrgAbuseName: Microsoft Abuse Contact OrgAbusePhone: +1-425-882-8080 OrgAbuseEmail: abuse@microsoft.com OrgAbuseRef: http://whois.arin.net/rest/poc/MAC74-ARIN OrgTechHandle: MRPD-ARIN OrgTechName: Microsoft Routing, Peering, and DNS OrgTechPhone: +1-425-882-8080 OrgTechEmail: IOC@microsoft.com OrgTechRef: http://whois.arin.net/rest/poc/MRPD-ARIN # # ARIN WHOIS data and services are subject to the Terms of Use # available at: https://www.arin.net/whois_tou.html # # If you see inaccuracies in the results, please report at # http://www.arin.net/public/whoisinaccuracy/index.xhtml #
quelle: http://www.heise.de/netze/tools/whois/

sagt auch, ein firefox addon:
Hostname Unbekannt Internetdienstanbieter Microsoft Corporation (AS8075)
Kontinent Nordamerika Nationalflagge US
Land Vereinigte Staaten von Amerika Ländercode US (USA)
Region Washington Lokale Zeit 10 Sep 2014 20:40 PDT
Metropole* Seattle-Tacoma Postleitzahl 98052
Stadt Redmond Breitengrad 47.68
IP-Adresse 157.55.236.142 Längengrad -122.121
http://geoip.flagfox.net/ (Archiv-Version vom 09.09.2014)


@angswap
was spuckt "netstat -ab" aus?
kann ja sein das da auch was läuft was z.b. UDP verwendet ...


melden

Wurde ich gehackt?

11.09.2014 um 21:24
Eine kleine offtopic frage: Wie überwacht ihr alle aktiven Verbindungen und offene Ports etc.? Ich würde gerne die Übersicht haben, aber auf Windows fühle ich mich sowieso nicht sicher. :p


melden

Wurde ich gehackt?

11.09.2014 um 21:42
@xotix1
Auf dem PC mit netstat.
Öffne dazu ein Terminal (z.B. mit Win-r und dann "cmd" eingeben) und gebe im Terminal "netstat ?" ein. Du bekommst dann eine Übersicht, mit welchen Parametern du das Programm aufrufen kannst. (Ich kenne mich leider nicht mit der Variante von Windows aus, nehme aber an, dass die Parameter anders als die der Linux-Variante benannt sind)
Ob Ports offen sind kannst du damit nicht kontrollieren, sondern nur, ob Programme auf diesen Ports horchen oder senden. Für offene Ports musst du in den Firewalleinstellungen deines Betriebssystems oder in der NAT deines Routers gucken, wenn dort irgendwelche Einträge sind, kann man vom Internet aus auf dem dort angegebenen Rechner zugreifen. Bei deinem Router kann man sich vielleicht auch anzeigen lassen, welche Ports per UPnP geöffnet wurden, falls du UPnP im Router nicht ausgestellt hat.


melden

Wurde ich gehackt?

11.09.2014 um 21:50
@NuclearGuru
Ja, ich kenn Netstat, aber ich suche eher was, das mich auf dem laufenden hält sobald was neues passiert.


melden
iwok ehemaliges Mitglied

Link kopieren
Lesezeichen setzen

Wurde ich gehackt?

12.09.2014 um 02:14
@xotix1
https://www.wireshark.org/

allerdings nach der installation: windowstaste+r --> "services.msc" (ohne " " ) --> "Remote Packet Capture Protocol v.0 (experimental)" deaktivieren ...
idR braucht man das nicht ...
außer man will halt wirklich:
Allows to capture traffic on this machine from a remote machine.
von extern traffic mitschneiden...
dieses winpcap braucht man allerdings, damit man ethernet (u. sonstige) -adapter in den promiscous-mode schalten kann, oder so ...

und da es nicht immer sinnvoll/möglich ist den gesamten traffic zu verfolgen hat wireshark so eine funktion die nennt sich "expert infos" ... die erreicht man, wenn man gerade am capturen ist, in dem man ganz links unten auf den uU farbigen kreis doppelt klickt ...
besser auf dem laufenden kann man eigentlich nicht sein...


melden

Wurde ich gehackt?

12.09.2014 um 05:24
@angswap

Er soll Dir einfach zeigen wie Ers gemacht hat. Ansonsten kann Er doch viel erzählen?


melden

Wurde ich gehackt?

14.09.2014 um 03:39
Wenn es ein Usermode (Ring 3) Schadprogramm ist helfen die gewöhnlichen AV Programme in der Regel recht zuverlässig. (Schad-) Programme die Ring 0, in denen der Windows Kernel die Treiber und die Hardware Abstraktionsschicht operieren, oder Programme die im "Ring -1" (System Management Mode) laufen, haben hingegen vollständigen Hardware Zugriff und können Systemkomponenten entsprechend verändern. Einen solchen System ist nicht zu trauen, da die AV Programme auf Funktionen der Windows API und in manchen Fällen auch des Driver Frameworks zurückgreifen. Diese Funktionen können verändert werden, entweder permanent (was unklug ist, da dies zu Systemfehlern führen kann) oder selektiv, nur beim Zugriff eines AV Programmes auf diese Funktionen.
Setze das System neu auf, unter völliger Formatierung der Festplatte (interne Chips der Peripherie werden in der Regel nicht von Schadprogrammen zur Speicherung ihrer Binärdateien genutzt) sollte das Schadprogram damit erledigt werden.

Nach neuaufsetzen:

cmd_admin; wmic; os set DataExecutionPrevention_SupportPolicy = 3, enter, bestätigen (y)
Das ist die Dateiausführungsverhinderung (DEP), CPU's führen dann Shellcode im Stack generell nicht mehr aus.

zusätzlich ASLR (Address Space Layout Randomization) aktivieren, Google hilft da weiter, den Registry Key kenne ich nicht auswendig.


melden

Wurde ich gehackt?

14.09.2014 um 23:12
@iwok
Danke, mal schauen. :)


melden

Ähnliche Diskussionen
Themen
Beiträge
Letzte Antwort
Helpdesk: Fernseher - Spracheinstellung
Helpdesk, 20 Beiträge, am 30.04.2024 von Gucky87
thunderhawk am 21.04.2024
20
am 30.04.2024 »
Helpdesk: plötzliche flackernde Lichter in jedem Spiel
Helpdesk, 24 Beiträge, am 13.12.2024 von Gucky87
Cleanboy am 08.12.2024, Seite: 1 2
24
am 13.12.2024 »
Helpdesk: Linux sudo Nutzer anlegen klappt nicht
Helpdesk, 6 Beiträge, am 17.03.2024 von NordicStorm
NordicStorm am 14.03.2024
6
am 17.03.2024 »
Helpdesk: Studium - Modul Datenbanken
Helpdesk, 8 Beiträge, am 27.09.2023 von Mr.Stielz
googleme am 18.09.2023
8
am 27.09.2023 »
Helpdesk: Vodafone verarscht mich!
Helpdesk, 10 Beiträge, am 08.06.2023 von gastric
DerThorag am 14.02.2023
10
am 08.06.2023 »