Moin zusammen,
erstmal der Grund für dieses Post:
Letzte Woche bekam ich eine Mail vom Rechenzentrum, das einer meiner Rechner auf unerwünschten Ports Dateien per
FTP versendet bzw. empfängt. Da weder ich noch der User an diesem Rechner einen
FTP aufgesetzt hatten hab ich mir das ganze natürlich direkt angeschaut. Nach einigem Suchen konnte ich in der Registry Pfadangaben zu einem gewissen ioftpd-server finden. Kommen wir nun zu den Kuriosen Dingen. Der Pfad den ich in der Registry gefunden habe existierte augenscheinlich nicht, genau so wenig wie ein unerwünschter Prozess oder Dienst. Es wurde aber trotzdem munter weiter auf den gemeldeten Ports gefunkt. Erst als ich über Shell per cd in das Verzeichnis wechseln wollte hatte ich Erfolg. Der Ordner wurde allerdings auch nicht per dir /ah gelistet. Aber es wurde immer wilder. Ich konnte weder das Verzeichnis noch die Registry-Einträge löschen. Die einzige erklärung, die ich für diesen Hokuspokus habe ist ein rootkit, das Verzeichnisse und Prozesse versteckt, bzw. deren Löschung verhindert.
Jetzt meine Fragen: Der befallene PC ist ein Win2k Recchner. Soweit ich weiß ist es nur bei
Win9x möglich Prozesse zu verstecken. Bin ich da falsch informiert? Wie kann ich versteckte Prozesse anzeigen und beenden? Wie hat der miese kleine Hacker es geschafft die Verzeichnisse so gut zu schützen und was kann ich dagegen tun? Ist euch auch schonmal sowas passiert?
Gruß,
Fischy
PS: Ich hoffe mal das ich das richtige Forum erwischt habe. Ich denke aber mal, daß das Ganze einiges mit
WinAPI zu tun hat.