hay.
ich habe gestern eine Datei geöffnet, wo eine Fehlermeldung kam und die sich dann geschlossen hat und kurze Zeit später ein neues Fenster für ca 1sek aufging.
Dann habe ich die Datei mit Sandboxie gescannt und gesehen, dass sich erst die exe Datei öffnet und dann eine Datei namens "Build.exe"
dann habe die internetverbindung beendet und netstat-n gecheckt aber waren nur meine remote-ips zu sehen und sonst steht da ja die ip und dann status WARTEND_ABHÖREN oder halt HERGESTELLT wenn der huso mit dem client verbunden ist.
Wie kann ich sicherstellen, ob ich einen Trojaner/Stealer draufhabe und wie kann ich ihn dann entfernen?
Bitte ist echt dringend...

ich sag mal so, die einzige möglichkeit ist systemformatierung . keine andere lösung ^^

nein, natürlich nit :lol:

mach doch einfach einen system scan mit dem AV

Hm, mach dir am besten eine Boot-CD mit aktuellenm Kaspersky AV (oder lad dir eine solche runter) und scanne dann mit vollen Heuristics. Desweiteren würde ich die Autostarts durchsuchen (Sysinternals hat da ein gutes Tool) sowie die System Files reparieren (bei eingelegter Windows-CD in der Konsole sfc /SCANNNOW eingeben).

Hast du Wiederherstellungspunkte?

versuch verschiedene tool aus. angefangen mit den normalen (kaspersky,dann hijack this, spybot search and destroy). wenn das nen stealer war,biste natürlich doof dran...hast du das ding noch?

kannst mir ja mal ne pn mit dem rapidshare link schicken. ich gucke,ob es was böswilliges war....

AV Tools bringen doch garnix oder.. einfach ep verschieben(fast bei jedem stealer) und es ist ud gegen kaspersky.
mit spybot hab ich gescannt.. nix gefunden
hijackthislog:
http://brownyy.bplaced.net/hijackthis.log

Die Datei:
http://uploaded.to/?id=emz56e

Danke für eure Hilfe bis jetzt.
Hoffe auf weitere so hilfreiche Antworten.

Gruß

Nun gut, KIS hat zumindest einen guten Runtime-Schutz, irgendwann werden aber auch Modfikationen wie EntryPoint-Movement in die Scans mit einbezogen. :>

HijackThis sieht normal aus, jetzt wissen wir auch alle, wie es um dein Windows steht:

O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
Nimm das lieber mal raus. :P

Sofern keine deiner Systemdateien geändert wurden (zB. ersetzt mit malicious code), solltest du nichts drauf haben (sag ich mal so anhand des HijackThis-Logs).

ich sag mal so, die einzige möglichkeit ist systemformatierung . keine andere lösung ^^

nein, natürlich nit :lol:

mach doch einfach einen system scan mit dem AV

wenn man sich einwenig auskennt gibt es genügend loesungen z.b:

In der registry HKLM (Localmachine..) Software\Microsoft\Active Setup\Installed Components\ hier alle ordner einmal per hand durchgehen und nach ner verdächtigen datei suchen, falls du was findest den ordner löschen....

Danke.
Wenn ich die Datei löschen will, bekomme ich die Meldung das das nicht möglich ist, da die winlogon.exe darauf zugreift.
Soll ich den Prozess freigeben und die Datei trodzdem löschen?

Gruß

Wie heißt das File denn, bzw. wo liegt es?

anzumerken ist aber auch noch wenn du was an deiner registry ändern wills immer baq up machen ^^ des weiteren gibts noch ein thread glaub unter viren würmer mailware der heist infiziert...
saug dir die tools mal von ieiner ware side und scanne dein pc mal damit.
und ps wenn du dein rechner vom netzt nimmst bringt nestat nicht mehr viel (verbessert mich wenn ich falsch liege) restarte dein rechner mal warte 10 ohne mit einer anwendung ins nezt zu gehen und checke netstat nochmal
auch mal mit -b dann siehst du dort was wo hin geht.

Die datei kannst du wahrscheinlich im Abgesicherten Modus löschen (allerdings solltest du sie erst mal nur umbenennen) fals sie doch zum system gehört und du später probleme hast mit deinem system.
Desweiteren solltest du dir wie f0Gx schon sagte eine BartPE CD basteln oder besorgen die einen guten virenscanner an board hat weil die logs usw. ja ordendlich aussehen aber du trotzdem den verdacht hast das was nicht stimmt.
Also wäre für mich der erste logische schluß >Rootkit< und das findet man am einfachsten wenn man von einem sauberen medium (BartPE CD) startet und scannt.
Zweite möglichkeit, dein system ist sauber und du zu paranoid ;)