Frage Wie kann ich den Netzwerkprotokollverlauf einer bestimmten ausführbaren Datei sehen (in diesem Fall Malware)?


Ich habe festgestellt, dass mein Windows 10 PC infiziert ist qorigjsr.exe Malware. Ziemlich sicher war es, nachdem ich meinen weniger Computer versierten Freund USB in meinen PC eingespritzt habe. Ich habe es sofort gelöscht, aber als ich "App History" im Task-Manager überprüfte, scheint es, dass es 7 Sekunden lang lief und eine Netzwerk-Nutzung von 8,9 MB hatte.

enter image description here

Meine Frage ist also - wie kann ich mehr Details dieser Netzwerknutzung sehen, z.B. wann lief es und wie viel davon wurde hochgeladen und wieviel Download und wo genau (ip)?

Übrigens: Habt ihr irgendwelche Erfahrungen mit dieser Malware gemacht? Weißt du vielleicht was es genau macht?


2
2018-01-20 10:16


Ursprung


Sie können diese Daten nicht rückwirkend anzeigen. Da es sich um einen zufälligen Namen handelt, der wirklich die Malware selbst identifiziert, müssten Sie sich etwas genauer ansehen und sie möglicherweise auf einen Dienst wie z virustotal wenn Sie AV besitzen, haben Sie keine weiteren Informationen darüber gemeldet. - Seth
@Seth danke für die Antwort - aber was meinst du damit rückwirkend diese Daten anzeigen? - Dominik Serafin
Es gibt keine Standardaufzeichnung solcher Informationen und da das Programm bereits ausgeführt wurde und seine Sache gemacht hat, können Sie diese Daten nicht rückwirkend anzeigen, da sie nicht wirklich existieren. Was Sie tun könnten, ist die tatsächliche Malware zu identifizieren (wenn Sie diese EXE-Datei noch haben), um zu verstehen, was sie tatsächlich getan hat. Es ist wahrscheinlich, dass es versucht hat, eine Nutzlast herunterzuladen, um weitere Rechte zu erlangen oder irgendeine Art von Schaden (z. B. Ransomware) zu verursachen. - Seth


Antworten:


Während es zu spät ist, über die Netzwerkkommunikation zu erfahren, die in der Vergangenheit aufgetreten ist, können Sie sicher Maßnahmen ergreifen, um sicherzustellen, dass Sie die Verbindung protokollieren, sollte es in Zukunft passieren. Und meine Erfahrung mit Malware sagt mir, dass es in Zukunft passieren wird.

Ihr Problem, d. H. Das Erkennen und Beenden von Netzwerkverbindungen, die von bösartiger Software gemacht werden, ist genau das, was ein Genre von Computer-Software hervorbrachte Persönliche Firewall.

Wenn Sie eine persönliche Firewall wie Comedo Internet Security (Freemium), GlassWire (Freemium), ZoneAlarm (Freemium) oder ESET Internet Security (Commercial) installieren, können Sie nicht nur diese bestimmte Malware, sondern jedes beliebige Programm anzeigen und steuern Das versucht eine Verbindung von Ihrem Computer zur Außenwelt herzustellen. Netzwerkverbinden von Malware wird zu einem Problem der Vergangenheit.

Nun, einige Leute könnten hierher kommen und Ihnen sagen, dass Sie all dies mit Windows selbst machen können. Das wäre teilweise richtig: Was diese Apps von Drittanbietern bieten, ist Komfort und ein beispielloses Maß an Kontrolle.


0
2018-01-20 10:27



Nett, aber das beantwortet die Frage nicht wirklich. - DavidPostill♦
@DavidPostill Die Frage lautet: "Wie kann ich den Netzwerkprotokollverlauf einer bestimmten ausführbaren Datei sehen?" Die Antwort lautet: "Die oben genannten Apps erlauben es Ihnen, dies zu tun".
Damit? Das erlaubt dem OP noch nicht, die Daten "rückwirkend zu betrachten" - DavidPostill♦
Das ist alles sehr gut, aber deine Antwort Beantwortet die Frage nicht Deine Antwort ist also für niemanden von Nutzen. - DavidPostill♦
Warum bist du so feindselig? Scheint wie eine einfache Aufgabe, diese Antwort zu verbessern, wenn der Autor fragt: "Kann ich die Netzwerkverwendung bestimmen, die ein Prozess verwendet, ohne dass die Protokollierung aktiviert ist", ist die Antwort natürlich einfach "Nein, es ist nicht möglich" zu dieser spezifischen Frage . Diese Antwort als "keine Antwort" zu markieren, wäre nicht die richtige Vorgehensweise, David weiß das. Ändert die Tatsache nicht, dass diese Antwort, in seiner gegenwärtigen Form, die Frage des Autors nicht beantwortet. - Ramhound


Vielleicht mit diesem Batch-Skript, um Cache-DNS anzuzeigen, können Sie mehr Informationen geben

@echo off
ipconfig /DisplayDNS > CacheDNS.txt
Start "" CacheDNS.txt

0
2018-03-25 06:52