Virus Trojaner unter netstat

Kann man anhand der Remotadresse die einem unter netstat -n angezeigt wird festestellen das ein Virus auf dem Rechner ist???


Danke

 

Du kannst dir anzeigen lassen, welche Netzwerkverbindungen von deinem Rechner aus geöffnet werden. Man kann so auch einen aktiven Trojaner entlarven. Unter XP ist es sinnvoll, netstat mit den Schaltern -ano auszuführen, weil sich dann auch die zugrundeliegenden Prozesse analysieren lassen.

 

Hallo !!

Okay , wie sieht das den aus wenn ich das jetzt kopiere was unter : netstat -ano steht und hier ins Forum stelle kann man anhand der Nummern Feststellen ob es etwas bösartiges auf meinem Rechner gibt bzw. wer da ein Spiel mit mir treibt (Trojaner oder ähnliches)

Danke

Mathias

 

Ja das ist möglich in Verbindung mit einer Analyse der laufenden Prozesse : Wie man eine solche Anaslyse vornimmt, wird hier beschreiben :

Schneide dir mal folgendes Script aus und speichere es als tasks.cmd


---------------------------------

net start > c:\xy.txt
tasklist >> c:\xy.txt
tasklist /svc >> c:\xy.txt

---------------------------------

Anschließend postest du die xy.txt und wir werden sehen, was mit deinen Prozessen ist.Wenn du nicht mit XP Pro, sondern mit der XP-Home Edition arbeitest, solltest du dir die tasklist.exe noch besorgen und in den system32-Ordner kopieren.

 

Sorry

Wohin soll ich das kopieren ??

Danke

Mathias

 

Geht es um das gleiche Problem wie in diesem Thread? Dort wurde doch alles schon geklärt, warum machst du hier weiter?


.

 

Es geht um das gleiche Problem Ja .
Aber ich habe noch keine Lösung !
Was sagen denn diese Nummern ?
TCP 127.0.0.1:1028 127.0.0.1:18350 HERGESTELLT
TCP 127.0.0.1:18350 127.0.0.1:1028 HERGESTELLT
Mir hat jemand von Arcor erzählt das diese zahlen bei mir nicht vorhanden sein dürften
(Win XP Prof.)
Warum ?

Danke

 

Das wurde in dem andern Thread doch schon geschrieben.

Die IP 127.0.0.1 benutzt ein PC, um intern mit sich selbst Verbindungen herzustellen, es ist darüber kein Kontakt nach aussen möglich.

Der Port 18350 wird von AntiVir benutzt. Hast du denn AntiVir installiert?


.

 

Du kopierst das aus der Zwischenablage in eine leere Textdatei und speicherst diese dann unter tasks.cmd ab. Achte darauf, dass du die Dateiendung cmd setzt und nicht eine txt-Datei entsteht. Auf diese task.cmd klickst du dann doppelt, dann wird die Textdatei c:\xy.txt mit den entsprechenden Informationen über die Prozesse und Unterprozesse erzeugt.

 

Soll das dann so aussehen ??
Sorry ich bin nur leihe !

C:\>net start > c:\xy.txt
C:\>tasklist >> c:\xy.txt
C:\>tasklist /svc >> c:\xy.txt
C:\>

Danke
Mathias

 

Die letzte Zeile hast du jetzt dazugefügt.