Schadprogramm finden

30/06/2008 - 12:22 von Robert Riebisch | Report spam
Hallo!

Ich habe hier einen verseuchten XP-SP2-PC, der als Mailversender
mißbraucht wird. "netstat -an" zeigt stàndig neue Verbindungen zu Port
25 (SMTP) auf verschiedenen Mailservern rund um den Globus.

Der PC ist jetzt von sàmtlichen Netzen getrennt und wird in den nàchsten
Tagen neu aufgesetzt. Allerdings interessiert mich der Schàdling selbst,
den ich nàmlich bisher nicht lokalisieren konnte. Ein aktuelles AntiVir
findet nichts. Ebenso Spybot S&D und die Online-Scanner von Symantec und
ESET.

Per "netstat -ano" wird als Prozess-ID z.B. 908 angezeigt. Lt.
Task-Manager ist das die svchost.exe. Mittels Sysinternals Process
Explorer wird als Kommandozeile "svchost -k DcomLaunch" angezeigt. Wenn
ich den Prozeß beende, wird mit dem Herunterfahren innerhalb von 60
Sekunden "gedroht", was ich mit "shutdown /a" abbrechen kann.

Danach hört das Mailversenden auf. Aber wie finde ich nun den Verursacher?

Robert Riebisch
Bitte NUR in der Newsgroup antworten!
Please reply to the Newsgroup ONLY!
 

Lesen sie die antworten

#1 H.I.
30/06/2008 - 13:17 | Warnen spam
Robert Riebisch wrote:
Hallo!

Ich habe hier einen verseuchten XP-SP2-PC, der als Mailversender
mißbraucht wird. "netstat -an" zeigt stàndig neue Verbindungen zu Port
25 (SMTP) auf verschiedenen Mailservern rund um den Globus.

Der PC ist jetzt von sàmtlichen Netzen getrennt und wird in den
nàchsten Tagen neu aufgesetzt. Allerdings interessiert mich der
Schàdling selbst, den ich nàmlich bisher nicht lokalisieren konnte.
Ein aktuelles AntiVir findet nichts. Ebenso Spybot S&D und die
Online-Scanner von Symantec und ESET.

Per "netstat -ano" wird als Prozess-ID z.B. 908 angezeigt. Lt.
Task-Manager ist das die svchost.exe. Mittels Sysinternals Process
Explorer wird als Kommandozeile "svchost -k DcomLaunch" angezeigt.
Wenn ich den Prozeß beende, wird mit dem Herunterfahren innerhalb von
60 Sekunden "gedroht", was ich mit "shutdown /a" abbrechen kann.

Danach hört das Mailversenden auf. Aber wie finde ich nun den
Verursacher?



Mach mal ein Online-Check mit:
http://housecall.trendmicro.com/
MfG H.I.

Ähnliche fragen