Rootkit finden?

jojo2peter · 19. Dezember 2012

Hallo,
eben ist mein Chrome abgestürzt und funktioniert nichtmehr.
Laut Google könne dies an einem Rootkit liegen.

über:

wurde mir ein Prozess angezeigt:

Proto Lokale Adresse Remoteadresse Status PID
TCP 0.0.0.0:80 Johannes-PC:0 ABHÖREN 6300
TCP 0.0.0.0:135 Johannes-PC:0 ABHÖREN 784
TCP 0.0.0.0:443 Johannes-PC:0 ABHÖREN 6300
TCP 0.0.0.0:445 Johannes-PC:0 ABHÖREN 4
TCP 0.0.0.0:554 Johannes-PC:0 ABHÖREN 2012
TCP 0.0.0.0:1688 Johannes-PC:0 ABHÖREN 2352
TCP 0.0.0.0:2869 Johannes-PC:0 ABHÖREN 4
TCP 0.0.0.0:3389 Johannes-PC:0 ABHÖREN 1092
TCP 0.0.0.0:5060 Johannes-PC:0 ABHÖREN 6696
TCP 0.0.0.0:5357 Johannes-PC:0 ABHÖREN 4
TCP 0.0.0.0:9999 Johannes-PC:0 ABHÖREN 7620
TCP 0.0.0.0:10011 Johannes-PC:0 ABHÖREN 6868
TCP 0.0.0.0:10243 Johannes-PC:0 ABHÖREN 4
TCP 0.0.0.0:30033 Johannes-PC:0 ABHÖREN 6868
TCP 0.0.0.0:49152 Johannes-PC:0 ABHÖREN 496
TCP 0.0.0.0:49153 Johannes-PC:0 ABHÖREN 892
TCP 0.0.0.0:49154 Johannes-PC:0 ABHÖREN 952
TCP 0.0.0.0:49155 Johannes-PC:0 ABHÖREN 552
TCP 0.0.0.0:49156 Johannes-PC:0 ABHÖREN 4076
TCP 0.0.0.0:49192 Johannes-PC:0 ABHÖREN 572
TCP 0.0.0.0:60325 Johannes-PC:0 ABHÖREN 6300
TCP 25.112.143.247:139 Johannes-PC:0 ABHÖREN 4
TCP 127.0.0.1:895 Johannes-PC:0 ABHÖREN 2188
TCP 127.0.0.1:896 Johannes-PC:0 ABHÖREN 2188

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Die Fett gedruckte IP gehört scheinbar dem UK Ministry of Defence hab dann gleich TCPView angeschmissen, wo ich die IP nicht wiederfand.

Da bei PID "4" stand, hab ich von TCPview alle Prozesse mit der PID 4 kopiert. (Ob die 4 jetzt ne PseudoID ist oder nicht kann ich nicht sagen, da ich mich hierbei nicht auskenne):

Netbios habe ich schon über "Adaptereinstellungen > LAN-Verb > ... > Erweitert > Netbios deaktivieren" deaktiviert.

Ich frage mich nun echt, woher diese IP kommt, warum sie als lokal deklariert ist und welchem Programm das zuzuschreiben ist.

// Nachtrag
// Eben fand ich im netstat -a -o noch:

das ist die svchost.exe

// ach noch etwas:
// Hab auch N0S' fxp tool mal über meinen PC laufen lassen:

Bei plist findet sich das "Error accessing Process." nicht wieder!

Anzeige

Crack02 · 20. Dezember 2012

AW: Rootkit finden?

du kannst das fxp tool von n0s auch als admin laufen lassen. eingabeaufforderung dazu als admin starten und dann das ding starten.

jojo2peter · 20. Dezember 2012

AW: Rootkit finden?

Danke erstmal für ne Rückmeldung.
Aber ich bin ja nicht aufn Kopf gefallen und hatte die cmd.exe als admin ausgeführt, deshalb habe ich es ja auch zitiert.

Crack02 · 20. Dezember 2012

AW: Rootkit finden?

könnte man meinen, dass du kein admin warst, als du das ausgeführt hast, daher auch der hinweis

N0S · 20. Dezember 2012

AW: Rootkit finden?

Mit netstat kommst du nicht weit.

Schau mal mit dem besten Taskmanager den es zurzeit gibt: Overview - Process Hacker

Network Tab..

Alex² · 20. Dezember 2012

AW: Rootkit finden?

Wenn (auf welchem Umweg) auch immer Malware von MoD auf deinem Rechner gelandet ist (oder der Verdacht besteht) würde ich das Ding einfach mal komplett plattmachen. Es gibt Sachen die man lieber gründlich macht

Gilt übrigens auch für alle anderen Rootkits, es lässt sich schlecht nachweisen ob die Dinge wirklich weg sind.

test@private.co · 21. Dezember 2012

AW: Rootkit finden?

Hast du vielleicht Hamachi/Logmein oder Ähnliches drauf ? Manche Anbieter nutzen ips aus 25/8 für ihre internen Netze. Nicht gerade intelligent, aber naja...

Das würde in deinem Falle zumindest diese Ip erklären.

ChillingStream · 21. Dezember 2012

AW: Rootkit finden?

der ist besser als der procexplorer von sysinternals?

jojo2peter · 21. Dezember 2012

AW: Rootkit finden?

Also hier find ich diese IP auch nicht wieder

Hatte es schon probiert, Hamachi zu beenden und die IP erschien trotzdem noch, also schloss ich das vorerst aus... nun hab ichs deinstalliert und die IP ist weg.

Danke!

btw cooler Task Manager

Nützliche Suchen

Rootkit finden?

Videos zum Themenbereich