aktiven poison ivy Trojaner aufspüren!?

Dieses Thema im Forum "Windows" wurde erstellt von pohuist, 22. Mai 2007 .

Schlagworte:
Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 22. Mai 2007
    Hallo RR!

    Ich brauche umbedingt eure hilfe!

    Ich befürchte, dass ich einen trojaner inkl. keylogger mit irgendeinem programm mitinstalliert habe, der jetzt aktiv ist...! wahrscheinlich poisen ivy

    Womit kann man bereits aktive trojaner aufspüren?

    PS: Bitte keine ratschläge wie "formatier deine platte" usw.

    mfg
     
  3. 22. Mai 2007
    AW: aktiven Trojaner aufspüren!?

    Schon einmal Software wie Spybot oder AdAware probiert?
    Empfehlen würde ich ja "Security Task Manager"
    Der prüft alle aktiven Prozesse und zeigt dir, welcher "böse" ist.
     
  4. 22. Mai 2007
    AW: aktiven Trojaner aufspüren!?

    netstat -a -b > C:\logfile.txt

    Dann das logfile hier posten ...

    hf
     
  5. 22. Mai 2007
    AW: aktiven Trojaner aufspüren!?

    Vermutest du, dass es Poisen ivy ist, oder weißt du es sicher?

    Erkennt dein Antivir nichts?


    mfg
     
  6. 26. Mai 2007
    AW: aktiven Trojaner aufspüren!?

    @Mr.dandy, habs nun ausprobiert jedoch finden sie nichts verdächtiges...


    @Ktm123, hier das logfile...

    Spoiler
    Aktive Verbindungen

    Proto Lokale Adresse Remoteadresse Status PID
    TCP Admin:epmap Admin:0 ABH™REN 1692
    c:\windows\system32\WS2_32.dll
    C:\WINDOWS\system32\RPCRT4.dll
    c:\windows\system32\rpcss.dll
    C:\WINDOWS\system32\svchost.exe
    -- unbekannte Komponente(n) --
    [svchost.exe]

    TCP Admin:microsoft-ds Admin:0 ABH™REN 4
    [System]

    TCP Admin:1110 Admin:0 ABH™REN 440
    [avp.exe]

    TCP Admin:1026 Admin:0 ABH™REN 696
    [alg.exe]

    TCP Admin:5354 Admin:0 ABH™REN 460
    [mDNSResponder.exe]

    TCP Admin:netbios-ssn Admin:0 ABH™REN 4
    [System]

    TCP Admin:1110 localhost:4365 HERGESTELLT 440
    [avp.exe]

    TCP Admin:1110 localhost:4381 HERGESTELLT 440
    [avp.exe]

    TCP Admin:1110 localhost:3413 HERGESTELLT 440
    [avp.exe]

    TCP Admin:1110 localhost:4379 HERGESTELLT 440
    [avp.exe]

    TCP Admin:1110 localhost:3570 HERGESTELLT 440
    [avp.exe]

    TCP Admin:1110 localhost:4377 HERGESTELLT 440
    [avp.exe]

    TCP Admin:1110 localhost:3714 HERGESTELLT 440
    [avp.exe]

    TCP Admin:1110 localhost:3394 HERGESTELLT 440
    [avp.exe]

    TCP Admin:1585 localhost:1586 HERGESTELLT 940
    [firefox.exe]

    TCP Admin:1586 localhost:1585 HERGESTELLT 940
    [firefox.exe]

    TCP Admin:1587 localhost:1588 HERGESTELLT 940
    [firefox.exe]

    TCP Admin:1588 localhost:1587 HERGESTELLT 940
    [firefox.exe]

    TCP Admin:3394 localhost:1110 HERGESTELLT 940
    [firefox.exe]

    TCP Admin:3413 localhost:1110 HERGESTELLT 940
    [firefox.exe]

    TCP Admin:3570 localhost:1110 HERGESTELLT 940
    [firefox.exe]

    TCP Admin:3714 localhost:1110 HERGESTELLT 940
    [firefox.exe]

    TCP Admin:4365 localhost:1110 HERGESTELLT 940
    [firefox.exe]

    TCP Admin:4377 localhost:1110 HERGESTELLT 940
    [firefox.exe]

    TCP Admin:4379 localhost:1110 HERGESTELLT 940
    [firefox.exe]

    TCP Admin:4381 localhost:1110 HERGESTELLT 940
    [firefox.exe]

    TCP Admin:3395 mu-in-f164.google.com:http HERGESTELLT 440
    [avp.exe]

    TCP Admin:3414 fg-in-f99.google.com:http HERGESTELLT 440
    [avp.exe]

    TCP Admin:3571 194.25.136.8:http HERGESTELLT 440
    [avp.exe]

    TCP Admin:3715 mu-in-f164.google.com:http HERGESTELLT 440
    [avp.exe]

    TCP Admin:4366 194.25.136.7:http HERGESTELLT 440
    [avp.exe]

    TCP Admin:4378 194.25.136.7:http HERGESTELLT 440
    [avp.exe]

    TCP Admin:4380 194.25.136.7:http HERGESTELLT 440
    [avp.exe]

    TCP Admin:4382 a203-167-223-234.deploy.akamaitechnologies.com:http HERGESTELLT 440
    [avp.exe]

    TCP Admin:1110 localhost:4367 WARTEND 0
    TCP Admin:1110 localhost:4371 WARTEND 0
    TCP Admin:1110 localhost:4375 WARTEND 0
    TCP Admin:1110 localhost:4361 WARTEND 0
    TCP Admin:3612 localhost:1110 WARTEND 0
    TCP Admin:3613 194.25.136.9:http WARTEND 0
    TCP Admin:4387 Elitegroup:netbios-ssn WARTEND 0
    UDP Admin:1967 *:* 360
    C:\WINDOWS\system32\mswsock.dll

    Der Prozess svchost.exe ist mir auffällig! Hab den 5x am laufen einer von denen frisst 25.412 K


    @KillerKarnickel, nun weiß ich, dass ich zu 99,9 % mit dem poison ivy trojaner infiziert bin. Kaspersky Antivirus findet auch nichts. Jedoch merkte ich bei Surfen, dass der rechner in einigen zeiträumen ziemlich langsam wurde, obwohl ich nichts besonderes am laufen hatte. Dies sind wohl die zeiträume, in denen der "Hacker" bei mir auf dem desktop zuschaut oder irgendwas von mir saugt!

    Bitte um Hilfe, da ich den infizierten Rechner nun nicht benutzen kann. ;(
    Möchte gerne an die IP die Angreifers kommen, und um Schadensersatz klagen!
     
  7. 31. Mai 2007
    AW: aktiven Trojaner aufspüren!?

    kann denn niemand weiterhelfen?
     
  8. 31. Mai 2007
    AW: aktiven poison ivy Trojaner aufspüren!?

    Hallo,


    Ich habe mich mal ein wenig umgehört, ob jemand den Trojaner poison ivy kennt.

    Die haben alle nur gemeint, dass man so schnell es geht das System neu aufsetzen sollte^^
    Also würde ich das auch machen, vor allem wenn es sich um Trojaner handelt sollte man schnell formatieren.


    ---> Viel Spaß beim formatieren


    mfg Kaniggl
     
  9. 31. Mai 2007
    AW: aktiven poison ivy Trojaner aufspüren!?

    wird wohl der einzige ausweg aus dem problem sein....

    jedoch habe ich nun alle wichtigen daten vom rechner entfernt und möchte an die ip des angreifers kommen. wie gehe ich vor? mit welchem programmen kann ich den netzwerkverkehr kontrollieren?

    Und was kann man als vorbeugung tun? um nicht wieder opfer eines trojaner angriffs zu werden? (Neben der benutzung eines antivirus programms!?)


    mfg s
    stasik!
     
  10. 31. Mai 2007
    AW: aktiven poison ivy Trojaner aufspüren!?

    du könntest mit vmware einen Virtuellen pc erstellen und windows installieren.Der virtuelle pc bekommt sein internet über einen "echten" pc.Du kannst unter netzwerkumgung einstellen, ob pcs im netzwerk ihr internet von diesem pc beziehen können.Dann installierst du auf einem "echten" pc ein programm, mit dem man sämtliche ports überwachen kann.Wenn du dann auf dem virtuellen pc den trojaner ausführst, und der angreifer zu dir connectet, dann wird automatisch seine Ip angezeigt bzw. gespeichert.

    ziehmlich schlecht erklärt ^^
     
  11. 31. Mai 2007
    AW: aktiven poison ivy Trojaner aufspüren!?

    1. poison ivy ist remote access - malware
    wie du shcon erkannt hast, kann damit jmd anderer über das internet nahezu alles am pc machen.
    darunter fällt auch, dass er seine eigene anwesenheit derartig maskieren kann, dass du ihn weder sehen noch bemerken kannst.

    wenn er etwas von seinem handwerk versteht, wirst du ihn nicht finden können.
    wenn er etwas mehr von seinem handwerk versteht, verbindet er sich mit dir nur über einen proxy,
    wenn er wirklich gut ist, nutzt er einen proxy, auf dem keine log dateien gespeichert werden.
    dann hast du keine chance mehr, ausser ihn ebenfalls mit malware zu belasten.
    davon rate ich dir aber ab. und dabei wird dir hier keiner helfen.

    nun, was du machen solltest,
    alle deine festplatten formatieren.
    und dann einen blick in meine "faq" werfen.
    dort stehen ein paar tipps, wie man seinen pc etwas komfortabler installiert,
    und was man machen muss, um sich vor malware zu schützen.

    etc etc.

    mfg
     
  12. 2. Juni 2007
    AW: aktiven poison ivy Trojaner aufspüren!?

    So alles erledigt... danke euch alle bw sind raus!

    Irgendein noob hatte sich auf meinem rechner verirrt
    Naja jedenfalls konnte ich seine IP über Kaspersky Anti-Hacker auslesen, als er einen von mir Programmierten php-Script Runterladen wollte dumm!

    Hab nun ne anzeige gegen den typen erstattet... X(
     
  13. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.