Habe gerade die Datei hamid.txt im (vorher nicht vorhandenen) Ordner c:\hacked\ gefunden. :eek: In der Datei steht als Inhalt nur "hamid" drin. Was soll das?
Das einzige was Google hergab war ein Thread in einem russischen Total Commander Forum (http://forum.wincmd.ru/viewtopic.php?p=20367&sid=d93af7a302d82ab1e1999dac23994b4f), da waren aber noch viele Treffer in asiatischen Sprachen.

Neben XP SP2 habe ich einen Router, McAfee-AV, Brain1.0 und gerade vor ein paar Minuten mit dem leider eingestellten AdAwareSE einen erfolglosen Scan gemacht.
HijackThis zeigt auch nix an was da nicht hingehört, alles grün.

:confused:

MfG
Rooter

anscheinend ist brain 1.0 zu alt. update mal auf ne höhere version ;)

anscheinend ist brain 1.0 zu alt. update mal auf ne höhere version ;)
Ist nur RC2... X-D

Hab die Datei mal zum Spaß bei Virustotal und Jotti hochgeladen, haben aber nichts gemeldet. Ja, die ganzen 5 Bytes... einer der verschiedenen Scanner meldete sogar "File not found" :rolleyes:

MfG
Rooter

die datei an sich ist nix böses, aber ich würde das mal so deuten dass jemand der sich selbst "hamid" nennt zugriff auf deinen computer hatte und dir diese nette nachricht hinterlassen hat. theoretisch wär jetzt formatieren der festplatte und neuinstallation angesagt, da du nicht sicher sein kannst was der typ außer der textdatei noch so hinterlassen hat...

An Router, AntiVirus und HijackThis vorbei...!?

Zumal im Forenthread den ich oben verlinkt habe steht:
and if you press YES , you trigger an Directory traversal vulnerability and you can find hamid.txt in X:\hacked\
winzip and winrar patch their bug (but i am sure still many people click on YES as i test (-: )
old version of winzip have Directory traversal vulnerability while extracting TAR file
Scheint eher irgend ein Proof-of-concept-Tool gewesen zu sein, aber ich wüßte jetzt nicht wo ich YES geklickt hätte...

MfG
Rooter

Schau mal im Router nach, ob du Ports freigegeben hast, die du nicht unbedingt brauchst. Durch einen laufenden Apache-Server (z.B. xampp) könntest du auch Besuch bekommen (vorausgesetzt Port 80 ist im Router freigegeben).

An Router, AntiVirus und HijackThis vorbei...!?
warum nicht? schließlich ist die datei ja wohl irgendwie auf deinen rechner gekommen.

Schau mal im Router nach, ob du Ports freigegeben hast, die du nicht unbedingt brauchst. Durch einen laufenden Apache-Server (z.B. xampp) könntest du auch Besuch bekommen (vorausgesetzt Port 80 ist im Router freigegeben).
Freigegeben sind ein paar Ports im 5000er Bereich für P2P, aber keines der Programme lief in den letzten Tagen. Ausserdem 5800 + 5900 für VNC aber der Server ist nicht als Dienst installiert und auch nicht gestartet. Dann noch 50000-50002 für Sonstiges, Chat ect., da läuft aber ATM auch nichts.


Zur Zeit aktive Port:
Unknown 0 192.168.1.1 2592 80.237.210.54 80 TIME_WAIT TCP
Unknown 0 192.168.1.1 2591 80.237.210.54 80 TIME_WAIT TCP
System 4 192.168.1.1 138 LISTEN UDP
System 4 192.168.1.1 137 LISTEN UDP
System 4 0.0.0.0 445 LISTEN UDP
System 4 192.168.1.1 139 LISTEN TCP
System 4 0.0.0.0 445 LISTEN TCP
FrameworkService.exe 604 192.168.1.1 2470 213.160.98.167 80 CLOSE_WAIT TCP C:\Programme\Common Framework\FrameworkService.exe
svchost.exe 1256 192.168.1.1 123 LISTEN UDP C:\WINDOWS\System32\svchost.exe
alg.exe 2380 127.0.0.1 1031 LISTEN TCP C:\WINDOWS\System32\alg.exe


Sind die alle i.O.?

MfG
Rooter

http://www.cs.odu.edu/~ibl/public/colloquium/spr06/hamid.txt

hilft dir das? :confused:

Welches Datum haben Ordner und Datei? Vielleicht hilft dir das dich an irgendwas zu erinnern.

Welches Datum haben Ordner und Datei? Vielleicht hilft dir das dich an irgendwas zu erinnern.

So würd ichs auch machen. Zusätzlich würde ich das System nach Dateien suchen, die das selbe Erstelldatum haben - evtl gewinnt man Rückschlüsse dadurch.

Welches Datum haben Ordner und Datei? Vielleicht hilft dir das dich an irgendwas zu erinnern.
Gestern Abend 18:53. IIRC habe ich um die Zeit nur rumgesurft, auf meinen "täglichen Seiten" - also hier. ;)

Zusätzlich würde ich das System nach Dateien suchen, die das selbe Erstelldatum haben - evtl gewinnt man Rückschlüsse dadurch.
Gute Idee, habe mal nach Dateien von gestern gesucht und das Ergebniss nach Erstellungsdatum sortiert:

...
18:50 - C:\Programme\Opera\profile\cache4\opr0R9KA
18:53 - C:\hacked\hamid.txt
18:57 - C:\Programme\Opera\profile\cache4\opr0R9KC
...
Habe also tatsächlich gesurft, habe mir die Cachedateien mal angesehen, war die Homepage von Spybot S&D sowie http://www.neuber.com/taskmanager/deutsch/prozess/index.html. Ausserdem lief laut Log in der Zeit der Scan von AdAware (von 18:41 bis 19:13).

Jetzt bin ich leider auch nicht weiter. :(

MfG
Rooter