Hi


Irgendein Stealer versendet in 30 Sekunden Takt Daten auf einem Ftp Server bei mir

seht selbst-.-

http://img3.imagebanana.com/img/6z65kayh/thumb/Unbenannto.jpg (http://img3.imagebanana.com/view/6z65kayh/Unbenannto.jpg)


Avira und hijackthis haben rein gar nichts gebracht;(
Wäre echt nett,wenn jemand mir sagen könnte,wie ich es wegbekomme bzw mir dabei zur Hand geht

Lade die Datei am besten mal hoch und Poste sie hier, dann können wir dir vill. besser weiterhelfen.

hmmm vmware + wireshark = FTP info ??? oda hat der anti-wireshark. IS ja dann auch net wirklich ein Problem

EDIT: was willst du eigentlich. Ich mein die FTP info oda ihn vom PC löschen XD ?

Avira und hijackthis haben rein gar nichts gebracht;(
Wäre echt nett,wenn jemand mir sagen könnte,wie ich es wegbekomme bzw mir dabei zur Hand geht
?

Hi


Irgendein Stealer versendet in 30 Sekunden Takt Daten auf einem Ftp Server bei mir

seht selbst-.-

http://img3.imagebanana.com/img/6z65kayh/thumb/Unbenannto.jpg (http://img3.imagebanana.com/view/6z65kayh/Unbenannto.jpg)


Avira und hijackthis haben rein gar nichts gebracht;(
Wäre echt nett,wenn jemand mir sagen könnte,wie ich es wegbekomme bzw mir dabei zur Hand geht

wenn der fud is was ich annehme erkenn die auch nix;)

Ich habe mit den beiden Sachen es nicht wegkriegen können
und
Ich habe das Programm leider nicht mehr

Dann finde raus wo die exe liegt, Probier sie manuell zu löschen und wenns ned geht ziehst du einfach netzwerkkabel raus und fährst den pc im abgesicherten modus hoch und löschst sie dann so manuell. In der Msconfig im autostart noch die exe rausnehmen und gut is ;)

@Sarge_stoni

Wie kann ich die exe ausfindig machen?[und aus autostart löschen?]
Und wie starte ich den Pc imabgesicherten Modus?
Sry für die n00b Fragen....

Du schaust halt im Task mngr ob ein Task ist der ned zu windows gehört z.b "svchost.exe" ist der normale Windows prozess, im stealer heisst er vllt "svhost" Dann halt Msconfig im tab "Systemstart" und den Prozess rausklicken einfach das häcken weg...

Abgesicherter modus gleich am anfang mit F8 Hau einfach mehrmals drauf, sonnst kommt die Auswahl was du als 1es Starten sollst, also wenn du Windows installierst oder so, das wollen wir ja nicht.


/ du hast ja seine FTP daten, wo ist eigentlich dein Problem daran, seine email addy zu ändern und neues FTP Pw zu nehmen ?

Du hast die ganzen Daten und hast noch nichtmal den FTP hops genommen? Als erstes würde ich mal den FTP so konfigurieren, sodass der nichts mehr vom Stealer annehmen kann (->Logindaten ändern), sodass alle weiteren Verbindungen des Stealers fehlschlagen. Dann die gesendeten Daten löschen.

Und dann formatierste besser mal, um wirklich alles wegzuhauen und nicht doch noch irgendwo einen Stealer zu haben.

lad dir mal cain runter und sniff mal die netzwerkdaten mit dann bekommste mit ein wenig glück den ftp acc

lad dir mal cain runter und sniff mal die netzwerkdaten mit dann bekommste mit ein wenig glück den ftp acc

OMFG, schau doch den Screen an bevor du Spamst.
Alles wurde schon gesagt das er machen kann.

also ich würde dir raten einfach nru mal

spybot runterzuladen und mal durchlaufen zu lassen^^

das sagt dir sehr schnell wenn was nich stimmt^^und findet SEHR VIEL!

mehrmals durchlaufen lassen^^!

Ja das Problem ist,ich kann mich nciht einloggen<.<
Sonst hätte ich schon Pw geändert:(


Ich finde nichts verdächtiges im task manager

http://img3.imagebanana.com/img/f6hlsah8/thumb/1.jpg (http://img3.imagebanana.com/view/f6hlsah8/1.jpg) http://img3.imagebanana.com/img/unikzmzy/thumb/77.jpg (http://img3.imagebanana.com/view/unikzmzy/77.jpg)

Naja, wenn du dich nicht einloogen kannst mit den Daten, dann wird es der Stealer auch nicht können. Das würde auch erklären, warum er sich so häufig verbindet.

Zu den Prozessen kann ich nichts sagen, da ich mich mit vista nicht so auskenne. Wenn der Stealer aber mit Adminrechten ausgeführt wurde, kann es sein, dass er sich als Service eingtragen hat. Ist zumindest bei XP möglich und üfhrt dazu, dass er nicht im Taskmanager aufgelistet wird.

abgesicherter modus: f8 drücken bevor der windows-ladebildschirm kommt.

Hol dir mal tcpview.
Schließ alle Programme die unnötig sind und schau dir in tcpview an welche Datei sich zu dem ftp verbindet.

Und besorg dir mal ne Firewall. Zumindestens ist mir nicht aufgefallen das du eine hast.
Mit Sygate z.B. würdest du auch sehen welche Datei sich dorthin verbindet.

Und noch was. Wenn du die Datei findest, muß dass aber nicht unbedingt der Übeltäter sein. Wahrscheinlich injeziert sich der Stealer in den Prozess.

@mainstream: Autostart löschen: Start>Ausführen...>msconfig>Tab "Systemstart"

Ich habe mit den beiden Sachen es nicht wegkriegen können
und
Ich habe das Programm leider nicht mehr
warum leider? xD

Richtig TCP Viewer holen und dann mal durchchecken lassen.
Alle Verbindungen die als schädlich erkannt werden logischerweise löschen , weil ich fürchte du hast dir einen Keylogger eingefangen.
Da er exakt alle 30 Sekunden sendet.

mfG

netstat -o -n 1 | find "66.220.9.50"

gib das in die cmd ein und warte bis ein eintrag klommt (sollte kommen sobald wieder auf die ip verbunden wird)

bei dem eintrag (vlt kommen auch recht viele, immer wieder der gleiche) steht ganz rechts ne Zahl, das ist die PID die kannst du im taskmanager suchen (vorher im taskmanager->prozesse->ansicht->spalten auswählen nen hacken bei PID machen) wenn du dort die PID gefunden hast, hast du auch den prozessnamen.

den kannst du erstmal killen oder guckst in nem besseren taskmanager (z.b. "security task manager") nach dem pfad der datei und löscht sie!

http://66.220.9.50/ , du hast ja username und pass, log dich ein und ändere pass, notlösung ;)

also wenns ein keylogger is xD

öffne notepad

und schreib ihm einen kleinen text^^

Nimm auch mal alle unnötigen Programme bzw. die Programme ausdem Autosatrt die du nicht kennst.

Start->Ausführen->msconfig->Systemstart

Könnte weiterhelfen. Das behebt zwar das Problem nicht an der Wurzel, aber du gewinnst mehr Zeit um den Stealer ausfindig zu machen.

MFG

LOL,es ist mein virtual Pc

FORMATIEREN klärt .

ich würde auch erstma gucken dass ich die datei so wegkriege aber wenn ich mir nich sicher wäre würde ich auch formatiern, weil das is immernoch das sicherste^^
zwar nen bisschen aufwändig aber dann wirste vielleciht noch andere sachen los^^

mfg

Barny

Guckt mal meinen letzten Post an-.-
Wtf,warum ist das Virus mein Virutal Pc?<.<