AV Prozess killen

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von mördä, 14. August 2005 .

Schlagworte:
Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 14. August 2005
    hi ich versuche irdengdwie ServUDaemon.exe zum laufen zu zu zu bringen
    nur leider startet Prozess kurz und wird beendet

    pslist:

    Name Pid Pri Thd Hnd Priv CPU Time Elapsed Time
    Idle 0 0 4 0 0 119:03:22.625 38:05:36.134
    System 8 8 61 267 28 0:07:40.406 38:05:36.134
    SMSS 248 11 6 36 156 0:00:00.812 38:05:36.134
    CSRSS 268 13 7 369 1360 0:00:19.265 38:05:22.666
    WINLOGON 292 13 16 452 9836 0:00:10.765 38:05:21.650
    SERVICES 320 9 40 550 4636 0:00:07.328 38:05:20.416
    LSASS 332 9 17 322 3148 0:00:04.796 38:05:20.400
    termsrv 448 10 1 108 1796 0:00:04.281 38:05:19.400
    spoolsv 576 8 10 144 2928 0:00:05.406 38:05:18.150
    sqlservr 832 8 40 471 195548 0:03:45.406 38:05:06.259
    tcpsvcs 1044 8 2 100 1392 0:00:03.843 38:05:03.494
    sysdown 1976 8 1 53 816 32:17:40.390 38:04:53.759
    svchost 1620 8 8 105 2216 0:00:00.171 22:57:54.235
    svchost 1056 8 6 218 1796 0:00:00.234 20:43:45.456
    svchost 1324 8 13 169 1616 0:00:00.109 20:43:32.565
    svchost 2392 8 13 423 2864 0:00:00.234 20:43:32.534
    CMD 2372 8 2 86 892 0:00:00.109 15:52:56.269
    regsvc 880 8 2 35 276 0:00:00.031 14:16:34.861
    WinMgmt 724 8 4 123 872 0:00:04.406 13:42:01.165
    inetinfo 660 8 30 617 6796 0:00:29.843 3:27:15.395
    DLLHOST 780 8 15 174 1892 0:00:00.531 0:09:22.307
    DLLHOST 1924 8 10 157 1628 0:00:00.218 0:09:22.167
    CMD 1356 8 1 27 312 0:00:00.031 0:00:00.031
    pslist 2460 13 2 105 700 0:00:00.046 0:00:00.015

    fport:

    Pid Process Port Proto Path
    1044 tcpsvcs -> 7 TCP C:\WINNT\System32\tcpsvcs.exe
    1044 tcpsvcs -> 9 TCP C:\WINNT\System32\tcpsvcs.exe
    1044 tcpsvcs -> 13 TCP C:\WINNT\System32\tcpsvcs.exe
    1044 tcpsvcs -> 17 TCP C:\WINNT\System32\tcpsvcs.exe
    1044 tcpsvcs -> 19 TCP C:\WINNT\System32\tcpsvcs.exe
    1620 svchost -> 22 TCP C:\Winnt\svchost.exe
    660 inetinfo -> 25 TCP C:\WINNT\System32\inetsrv\inetinfo.exe
    660 inetinfo -> 80 TCP C:\WINNT\System32\inetsrv\inetinfo.exe
    1056 svchost -> 135 TCP C:\WINNT\system32\svchost.exe
    8 System -> 139 TCP
    660 inetinfo -> 443 TCP C:\WINNT\System32\inetsrv\inetinfo.exe
    8 System -> 445 TCP
    8 System -> 1094 TCP
    832 sqlservr -> 1433 TCP C:\PROGRA~1\MICROS~3\MSSQL\binn\sqlservr.exe
    660 inetinfo -> 2307 TCP C:\WINNT\System32\inetsrv\inetinfo.exe
    448 termsrv -> 3389 TCP C:\WINNT\System32\termsrv.exe
    660 inetinfo -> 4389 TCP C:\WINNT\System32\inetsrv\inetinfo.exe
    1620 svchost -> 43958 TCP C:\Winnt\svchost.exe

    nur ich sehe da nichts mehr mit Av prozessen
    hab schon paar sachen gekillt


    und jemand nen Idee ?

    mfg märdä
     
  2. 14. August 2005
    Kann sein, dass der hinter nem Roter ist, also kannst ihn vergessen.
    Habs auch noch nicht raus, wie man das "umgehen" kann. ;(
     
  3. 14. August 2005
    Backdoor holen der durch Router geht (z.b. ProRatSE) nur so am rande.

    Gruß

    Sokrates
     
  4. 14. August 2005
    Hmm, damit kann ich nix anfangen, evtl. erklärst du das mal genauer, gern auch per PN. :]
     
  5. 14. August 2005
    Prozess.

    hallooo ?
    ServUDaemon.exe kann nicht gestartet werden
    wird zwar gestartet und das für paar sekunden

    was hat das jetzt mit dem router zu tun ??? ?(

    hier einmal fport ergebnisse

    1044 tcpsvcs -> 7 UDP C:\WINNT\System32\tcpsvcs.exe
    1044 tcpsvcs -> 9 UDP C:\WINNT\System32\tcpsvcs.exe
    1044 tcpsvcs -> 13 UDP C:\WINNT\System32\tcpsvcs.exe
    1044 tcpsvcs -> 17 UDP C:\WINNT\System32\tcpsvcs.exe
    1044 tcpsvcs -> 19 UDP C:\WINNT\System32\tcpsvcs.exe
    1056 svchost -> 135 UDP C:\WINNT\system32\svchost.exe
    8 System -> 137 UDP
    8 System -> 138 UDP
    8 System -> 445 UDP
    332 lsass -> 500 UDP C:\WINNT\system32\lsass.exe
    332 lsass -> 1027 UDP C:\WINNT\system32\lsass.exe
    292 winlogon -> 1042 UDP \??\C:\WINNT\system32\winlogon.exe
    832 sqlservr -> 1434 UDP C:\PROGRA~1\MICROS~3\MSSQL\binn\sqlservr.exe
    660 inetinfo -> 2316 UDP C:\WINNT\System32\inetsrv\inetinfo.exe
    660 inetinfo -> 3456 UDP C:\WINNT\System32\inetsrv\inetinfo.exe

    irgendwoe läuft noch AV
    hab nen trojaner geschickt
    ERgebniss: deleted

    also irgendwie ist AV nicht ganz aus
    und hat jemand schon son erfahrung gemacht ?
    wie kann ich es "BOOM" machen

    mfg mördä
     
  6. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.