Computer nimmt Kontakt zu komischen Webserver auf |
||
---|---|---|
#0
| ||
21.03.2012, 22:40
Member
Beiträge: 28 |
||
|
||
22.03.2012, 07:17
Member
Beiträge: 1543 |
#2
Lustig.
Null Ahnung, warum man da so einfach drauf kommt. Denke mal, das sollte nicht sein... Die Dateieindung .crl bedeutet: Certificate Revocation List Datei, die die Seriennummern von gesperrten Zertifikaten in PKI-Umgebungen enthält T S |
|
|
||
22.03.2012, 09:01
Member
Themenstarter Beiträge: 28 |
#3
Was ich ganz vergessen hab zu sagen: Der Prozess der diesen Kontakt herstellt ist der Windowseigene "Service Host Process" oder kurz svchost.exe. Viren geben sich ja gern als dieser aus...
Mfg |
|
|
||
31.03.2012, 19:41
Member
Beiträge: 4730 |
#4
Aber Viren können sich auch als Modul von sicheren Prozessen (svchost.exe, explorer.exe, usw.) laden lassen. Dazu reichen ein paar Registry-Einträge.
Aber wenn Du überprüfst, wem die IP-Adresse gehört, dann wirst Du beruhigt sein: http://whois.domaintools.com/194.7.155.82 __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
ich habe vorhin den UXTheme Multi Patcher benutzt um meinen PC für das Verwenden von Win7 Themes vorzubereiten. Nach einem Neustart habe ich durch meine Firewall zufällig mitbekommen, dass der PC eine Verbindung zur IP: 194.7.155.82 aufgenommen hat. Da das ganze auf Port 80 geschah habe ich mir gedacht, dass das ein Webserver sein muss und bin mal drauf gegangen. Auf dem Server liegen verdammt viele *.crl Dateien. Die haben i-was mit Zertifikaten zu tun (SSL?), denn wenn man so eine Datei versucht runterzuladen meldet sich Windows gleich mit i-welchem Stammzertifikat-blabla. Kann es sein, dass dies gefälschte Zertifikate oder so sind, die ein Trojaner auf meinen PC lädt um in SSL gesicherte Verbindungen zu lauschen. WHOIS und Co hab ich schon gemacht, werd ich aber nicht schlau draus... Kann das mal jemand "abchecken"?
Danke