BomberHarry
Enthusiast
Thread Starter
- Mitglied seit
- 04.01.2011
- Beiträge
- 301
Hallo,
habe sieben mal meine Netzwerkverbindungen (netstat -f) und mit Wireshark geprüft. Neben Apple, Microsoft, Dropbox und Kaspersky Virenscanner fällt mir noch ein anderer Eintrag auf, der mich rätseln lässt.
Und zwar baut folgende Verbindung ständig neue Ports auf:
TCP 192.168.0.122:52793 mx.inkiev.net:http WARTEND
TCP 192.168.0.122:52794 mx.inkiev.net:http WARTEND
TCP 192.168.0.122:52802 mx.inkiev.net:http WARTEND
TCP 192.168.0.122:52803 mx.inkiev.net:http WARTEND
TCP 192.168.0.122:52804 mx.inkiev.net:http WARTEND
TCP 192.168.0.122:52805 mx.inkiev.net:http WARTEND
TCP 192.168.0.122:52806 mx.inkiev.net:http WARTEND
TCP 192.168.0.122:52807 mx.inkiev.net:http WARTEND
inkiev.net ist irgendeine Ukrainische Seite...
Lass ich die Pakete mit Wireshark tracen, so hat er im Frame folgenden Inhalt:
4 1.450269000 192.168.0.122 213.186.116.37 HTTP 612 GET /wait/c=2&id=bOaiMMv7qVWuW9GwjVCmZeMsSkk3Efx&cmd=wait_op_status/chat_window_open=0/?_=1433373971926 HTTP/1.1
7 1.547285000 192.168.0.122 213.186.116.37 TCP 54 52822→80 [ACK] Seq=559 Ack=490 Win=257 Len=0
24 11.523236000 192.168.0.122 213.186.116.37 HTTP 612 GET /wait/c=2&id=bOaiMMv7qVWuW9GwjVCmZeMsSkk3Efx&cmd=wait_op_status/chat_window_open=0/?_=1433373971927 HTTP/1.1
26 11.621339000 192.168.0.122 213.186.116.37 TCP 54 52822→80 [ACK] Seq=1117 Ack=983 Win=255 Len=0
55 21.596694000 192.168.0.122 213.186.116.37 HTTP 612 GET /wait/c=2&id=bOaiMMv7qVWuW9GwjVCmZeMsSkk3Efx&cmd=wait_op_status/chat_window_open=0/?_=1433373971928 HTTP/1.1
57 21.685229000 192.168.0.122 213.186.116.37 TCP 54 52822→80 [ACK] Seq=1675 Ack=1473 Win=253 Len=0
Schaue ich dann Hyper Text Transfer Protocol:
Full request URI: >http://channel2.sitehelp.im/wait/c=2&id=bOaiMMv7qVWuW9GwjVCmZeMsSkk3Efx&cmd=wait_op_status/chat_window_open=0/?_=1433373971928<
{>< damit kein Link gebildet wird}
-> aufsteigend wird die Zahl hochgezählt, ist das irgendso Virus, der eine Werbeseite aufruft, damit ein anderer Geld durch "klicks" erhält oder was kann man sich darunter vorstellen?
-> wenn ich die Seite von sitehelp aufrufe, schaut mir das nach irgendso einer Integration eines Support-Fenster aus.
-> habe in der hosts den Eintrag 127.0.0.1 mx.inkiev.net eingetragen....wird der erst nach dem PC-Neustart wirksam, damit der Aufruf auf Localhost umgeleitet wird?
habe sieben mal meine Netzwerkverbindungen (netstat -f) und mit Wireshark geprüft. Neben Apple, Microsoft, Dropbox und Kaspersky Virenscanner fällt mir noch ein anderer Eintrag auf, der mich rätseln lässt.
Und zwar baut folgende Verbindung ständig neue Ports auf:
TCP 192.168.0.122:52793 mx.inkiev.net:http WARTEND
TCP 192.168.0.122:52794 mx.inkiev.net:http WARTEND
TCP 192.168.0.122:52802 mx.inkiev.net:http WARTEND
TCP 192.168.0.122:52803 mx.inkiev.net:http WARTEND
TCP 192.168.0.122:52804 mx.inkiev.net:http WARTEND
TCP 192.168.0.122:52805 mx.inkiev.net:http WARTEND
TCP 192.168.0.122:52806 mx.inkiev.net:http WARTEND
TCP 192.168.0.122:52807 mx.inkiev.net:http WARTEND
inkiev.net ist irgendeine Ukrainische Seite...
Lass ich die Pakete mit Wireshark tracen, so hat er im Frame folgenden Inhalt:
4 1.450269000 192.168.0.122 213.186.116.37 HTTP 612 GET /wait/c=2&id=bOaiMMv7qVWuW9GwjVCmZeMsSkk3Efx&cmd=wait_op_status/chat_window_open=0/?_=1433373971926 HTTP/1.1
7 1.547285000 192.168.0.122 213.186.116.37 TCP 54 52822→80 [ACK] Seq=559 Ack=490 Win=257 Len=0
24 11.523236000 192.168.0.122 213.186.116.37 HTTP 612 GET /wait/c=2&id=bOaiMMv7qVWuW9GwjVCmZeMsSkk3Efx&cmd=wait_op_status/chat_window_open=0/?_=1433373971927 HTTP/1.1
26 11.621339000 192.168.0.122 213.186.116.37 TCP 54 52822→80 [ACK] Seq=1117 Ack=983 Win=255 Len=0
55 21.596694000 192.168.0.122 213.186.116.37 HTTP 612 GET /wait/c=2&id=bOaiMMv7qVWuW9GwjVCmZeMsSkk3Efx&cmd=wait_op_status/chat_window_open=0/?_=1433373971928 HTTP/1.1
57 21.685229000 192.168.0.122 213.186.116.37 TCP 54 52822→80 [ACK] Seq=1675 Ack=1473 Win=253 Len=0
Schaue ich dann Hyper Text Transfer Protocol:
Full request URI: >http://channel2.sitehelp.im/wait/c=2&id=bOaiMMv7qVWuW9GwjVCmZeMsSkk3Efx&cmd=wait_op_status/chat_window_open=0/?_=1433373971928<
{>< damit kein Link gebildet wird}
-> aufsteigend wird die Zahl hochgezählt, ist das irgendso Virus, der eine Werbeseite aufruft, damit ein anderer Geld durch "klicks" erhält oder was kann man sich darunter vorstellen?
-> wenn ich die Seite von sitehelp aufrufe, schaut mir das nach irgendso einer Integration eines Support-Fenster aus.
-> habe in der hosts den Eintrag 127.0.0.1 mx.inkiev.net eingetragen....wird der erst nach dem PC-Neustart wirksam, damit der Aufruf auf Localhost umgeleitet wird?
Zuletzt bearbeitet:
