svchost.exe sendet an port 1604 | exe existiert seit arabische Zeichen gesendet wurden

Dieses Thema im Forum "Viren, Trojaner & Malware" wurde erstellt von jojo2peter, 29. November 2014 .

  1. 29. November 2014
    Zuletzt von einem Moderator bearbeitet: 14. April 2017
    Hallo Leute,

    Nun erstmal zur Einführung:
    Habe mit einem Kumpel auf Facebook aus Spaß arabische Zeichen verschickt... Einfach -> google Translate -> 'gott ist groß' übersetzen lassen.
    Danach fiel mir immer öfter auf, dass mein PC (16GB RAM, i5-2500K etc..) sich anders zu verhalten schien. Hab mich teils auch darüber belustigt, dass das ja daran läge, dass nun der Verfassungsschutz hinter mir her sei.

    Nunja, Heute (29.11.2014) bzw. Gestern hatte ich mal nichts vor und hab gedacht, schau ich mal in den Ereignislogs etc. und TCPView, was so auffälliges drin ist, woran es denn tatsächlich liegen könnte, warum mein PC so "komisch" ist... (Komisch, weil das Hochfahren länger dauert (trotz SSD) und die Maus nach dem Hochfahren ein bisschen stockt) // Habe Windows 7 // Erst bei TCPView ist mir aufgefallen, dass der Prozess svchost.exe auf Port 1604 dauernd an eine IP etwas sendet.


    Diese Datei
    Code:
    C:\Users\xxx\AppData\Roaming\SVCH\svchost.exe
    habe ich dann auf Virustotal hochgeladen, mit DIESEM Ergebnis.

    Die svchost.exe war außerdem "versteckt" und "zuletzt geändert" am 25.07.2014 um 07:35 Uhr.

    Interessanterweise bzw. eig. logischerweise sind alle Daten in diesem Zeitraum im Ereignisprotokoll gelöscht.
    Sie gehen bis 18.07.2014 und dann erst ab dem 25.07.2014 wieder weiter.


    Nun dachte ich wieder an die arabischen Zeichen die ich einst einem Freund schickte. Die Facebook Chat-Suche hat mir da nicht weitergeholfen, da sie scheinbar keine arabischen Zeichen suchen kann, also bin ich zum 25.07.2014 gescrollt und:
    Spoiler
    Bild
    Das war dann auch nun der Anlass warum ich hier diesen Thread eröffne.
    Nur die Uhrzeit ist nach dem Änderungsdatum.

    Ob es jetzt dumm war oder sonst irgendwas, in Facebook sowas zu schreiben, ist hier nicht die Frage. Genausowenig ob im FB-Chat alles richtig geschrieben ist oder Sinn ergibt und/oder warum wir sowas einander schreiben.

    Über Wireshark habe ich auch geschaut was darüber gesendet/empfangen wird:
    Das sind nur TCP-Retransmission Pakete, natürlich ohne Antwort. Src-Port: 59580 Dst-Port: 1604.


    Nun zu meiner "Analyse": Also einerseits würde ich sagen, dass das kein "professioneller Angriff" war, da der Prozess über TCPView so einfach ersichtlich war und der svchost im dem AppData Verzeichnis war. (Also keine Windows Hintertür). Andererseits war das alles nicht nötig, da keiner Verdacht schöpfen sollte und ich nur für den Zeitraum, in dem auch das Ereignisprotokoll fehlte, "bewertet" wurde, ob ich nun potenziell Gefährlich bin oder nicht?!
    Oder doch alles nur Zufall?
     
  2. 29. November 2014
    AW: svchost.exe sendet an port 1604 | exe existiert seit arabische Zeichen gesendet wurden

    An welche IP?
     
  3. 29. November 2014
    AW: svchost.exe sendet an port 1604 | exe existiert seit arabische Zeichen gesendet wurden

    134.255.231.147
    Denke dort wird man aber nichts finden
     
  4. 29. November 2014
    AW: svchost.exe sendet an port 1604 | exe existiert seit arabische Zeichen gesendet wurden

    Meine IP-Informationen anzeigen: 134.255.231.147 - Geo IP Tool
    http://forums.euw.leagueoflegends.com/board/board/showthread.php?t=1634986
    POLO DOMAINS - GILDE-HACKEDICHT.COM Domain Name Info
    Ich suche, wer bietet...? - Spieler sucht Clan - World of Tanks official forum

    Kein Verfassungsschutz denke ich
     
  5. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.