Programm will Trojaner nachladen

[mumpel]

Meine Freundin hat seit gestern das Problem, dass NOD32 in regelmäßigen Abständen meldet, irgendetwas versuche einen Trojaner von einer bestimmten URL zu laden. Das wird dann auch unterbunden.

Ich habe darauf hin ihr System mit NOD32 und ClamAV komplett gescannt (auch im Abgesicherten Modus) und noch mal mit McAfee Stinger, Spybot und MS Defender ebenfalls Komplettscans gemacht. Alle haben nichts gefunden. Trotzdem kommt die Meldung weiterhin. Ich gehe davon aus, dass das Programm auf dem PC selbst nicht schädlich ist und deshalb nicht als Schädling erkannt wird. Erst wenn es den eigentlichen Schädling laden will, greift der NOD32 ein.

Gerade habe ich mal eine HiJackThis-Log erstellt (siehe Anhang), die auch nichts Außergewöhnliches zeigt. Ich habe außerdem die Benutzerkonto-Steuerung erhöht und trotzdem kommt die Warnmeldung von NOD32.

Kann mir irgendjemand helfen? Wie kann ich an das Programm rankommen und es löschen?

Ich suche zur Zeit ein Tool, mit dem ich sehen kann, welches Programm auf welche Internet-Ressourcen zugreifen will. Ich habe schon TCPView getestet, aber so richtig helfen tut es mir nicht, weil alleine der Versuch die Datei runterzuladen viel zu schnell ist und auch keine direkte Endverbindung (http://x.x.x.x/verzeichnis/datei.exe) angezeigt wird. Das ist ziemlich kompliziert

Hat jemand Ideen, wie ich dem Spuck beikommen kann? Danke.

 

[Riker]

Ich suche zur Zeit ein Tool, mit dem ich sehen kann, welches Programm auf welche Internet-Ressourcen zugreifen will.

--> Wireshark ist dort dein Freund.
Allerdings erfordert dies auch ein wenig Einarbeitungszeit...

 

[Invader Zim]

Ja, Wireshark ist das was du suchst, vllt kannst du damit schnell was erreichen, wenn du ein passendes Tutorial zu deinem Fall findest.
Habe gerade mal schnell geguckt aber nichts gefunden

 

[mumpel]

Uha, das ist aber echt ne harte Nummer. Bei Wireshark sehe ich ja das Programm gar nicht, dass die Anfrage auslöst und auch nicht den Endpunkt (.exe), sondern nur die IP des Ziels.

Vielleicht hat ja jemand ein Tutorial parat oder kennt sich mit dem Tool besser aus.

 

[Wakanaka]

http://www.wireshark.org/docs/
http://wiki.wireshark.org/


Damit sollte sichtbar werden welches Programm welchen Port benutzt:

netstat -aonb

 

[mumpel]

Ok, wenn ich das richtig sehe, dann gebe ich in WireShark als Filter ein:

http.request.uri matches "not.exe$"

("not.exe" ist die Datei, die er runterladen will)

Damit sollte sichtbar werden welches Programm welchen Port benutzt:
netstat -aonb

Damit sehe ich das aber nur für diesen Augenblick, oder? Wenn der Zugriff vor 5 min war, wie kann ich das nachträglich mit WireShark erfahren?

Kompliziert, kompliziert ... Aber danke bis hierhin.

 

[Riker]

Du musst Wireshark deinen Traffic sniffen lassen.
Am besten grenzt Du das ganze auf den Traffic der IP ein, mit der Du dich ins Internet verbindest.

Dann warten, bis der Aufruf kommt und dich durch die Logs schlagen

 

[mumpel]

Tja, irgendwie kommt kein Zugriffsversuch und keine Meldung mehr. Ich weiß auch gar nicht, ob das nicht eine Fehlmeldung vom NOD32 war, denn laut seinen Logs gab's den letzten Zugriff vorgestern Nachmittag. Aber seitdem kamen trotzdem Meldungen. Ungefähr seitdem meine Freundin den Bot bei Eset eingereicht hat, ist auch Ruhe mit den Meldungen. Komisch, komisch. Ich behalte das im Auge.

 

[Riker]

Vllt. hat dieses Programm diesen Thread mitgelesen und Angst bekommen...?

 

[mumpel]

Sie hat ab und zu Bluescreens und im Firefox öffnet sich ab und zu mal ungefragt eine Seite. Ich mach den Rechner gerade platt und versuch ein älteres Image einzuspielen. Ich wollte mich zwar eigentlich davor drücken, aber sicher ist sicher.