Trojanerbefall bei Win 7 wahrscheinlich SpyEye
 

Hallo Leute,

meine Schwiegermutter hat vor ca 4 Tagen eine E-Mail von GMX bekommen das ihr System von SpyEye befallen wurde. Daraufhin hab ich eine vollständige Systemüberprüfung mit Avira durchgeführt, ohne Ergebniss. Daraufin habe ich gedacht es handelt sich bei der E-Mail um einen Hoax handelt. Jetzt ist meine Schwiegermutter beim Homebanking von einem Overlay aufgefordert worden eine TAN einzugeben. Das war aber offensichtlich eine Fälschung und sie hat die Verbindung auch beendet.
Dann habe ich über Google folgende Anleitung gefunden und abegarbeitet. Jetzt habe ich eine Datei mit Namen: B6232F3AE30.exe die sich in einem versteckten Verzeichniss C:\Recycle.Bin\B6232F3AE30.exe befand in Quarantäne verschoben. Danach habe ich das System mit DE_Cleaner von Symantec (vom GMX empfohlen) und Avira überprüft, ohne Ergebnis
Folgende Fragen habe ich jetzt noch:
1. ist das System jetzt sauber?
2. wenn nicht und das System neu aufgesetzt werden muss wie kann ich ausschliesen das die gesicherten Daten befallen sind?
3. welche (möglichst kostenfreie) Anti Vieren Software schütz das System am besten?

Es ist ein Win 7 System

:hallo:

Mein Name ist M-K-D-B und ich werde dir bei der Bereinigung deines Computers helfen.

Bitte beachte folgende Hinweise:

• Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
• Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
• Bitte füge alle Logfiles in sog. Codeboxen ein. Das Symbol dafür findest du über dem Textfeld, es sieht in etwa so aus: #.
• Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
• Für Benutzer von Windows Vista und Windows 7 gilt: Alle Programme mit Rechtsklick "Als Administrator ausführen" starten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.




Und da kommst du erst jetzt zu uns? In bisschen eher wäre auch nicht verkehrt gewesen. :)


Ich kann dir diese Frage nicht beantworten, da du ja keine Logfiles gepostet hast. :( Wenn du dir die anderen Themen einmal durchliest, wirst du schnell feststellen, dass wir immer verschiedene Logfiles benötigen. Auch wir können nicht hellsehen. :)


System neu aufsetzen können wir immer noch.


Dazu kommen wir während der Bereinigung, sofern du/ihr an dieser interessiert seid. ;)


Wenn du/ihr an einer Bereinigung des Rechners interessiert bist/seid, dann arbeite bitte folgendes ab:



Bitte lies dir folgende Themen sorgfältig durch:

• Bitte keine HijackThis Logfiles posten
  und
• Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Erstelle anschließend die gewünschten Logfiles von Defogger, OTL und GMER. Ohne die entsprechenden Logfiles kann und wird dir hier niemand helfen.

Vielen Dank für dein Verständnis. :)

Sorry ich dachte ich hätte die Logfiles angehängt. Aber da hab ich nicht richtig gelesen was da steht. Ihr seid ja lustig empfiehlt ein Zip Programm und dann darf man die damit erstellten Dateinen nicht mal hochladen.
doch zuerst noch die Quelle für die erwähnte Anleitung: SpyEye (Malware-Toolkit) finden und entfernen | botfrei.de

Hier noch der Inhalt der defogger_disable.log:

"defogger_disable by jpshortstuff (23.02.10.1)
Log created at 15:50 on 25/07/2011 (Inga)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-"

Hallo Chewbaccka,



Wie läuft der Rechner derzeit?
Gibt es weitere Auffälligkeiten bzw. Probleme neben der TAN-Aufforderung? Wenn ja, welche?



Schritt # 1: aswMBR.exe ausführen
Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.





Schritt # 2: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• die Beantwortung der gestellten Fragen und
• das Logfile von aswMBR.

Hi,

Also der Rechner läuft stabil und zeigt keine Auffälligkeiten außer der genannten TAN Aufforderung und der im ersten Post erwähnten E-Mail von GMX

Hallo Chewbaccka,






Schritt # 1: ComboFix ausführen

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
• ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
• Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.

**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.

http://i94.photobucket.com/albums/l8...eWHKonsole.jpg

Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:

http://i94.photobucket.com/albums/l8...nstalliert.jpg

Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.





Schritt # 2: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das Logfile von ComboFix.

Hallo Chewbaccka,


aufgrund privater Feierlichkeiten bin ich voraussichtlich ab Sonntag Nachmittag wieder online.

so hier das gewünschte Log file

Hallo Chewbaccka,







Schritt # 1: Kontrollscan mit Malwarebytes' Anti-Malware (MBAM)
Downloade Dir bitte Malwarebytes' Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt # 2: Systemscan mit OTL

• Starte bitte OTL.exe.
• Wähle unter Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.
• Poste die OTL.txt und die Extras.txt hier in deinen Thread.

Schritt # 3: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

• das Logfile von MBAM und
• die beiden neuen Logfiles von OTL (OTL.txt und Extras.txt).

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomme ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen!

So hier die angeforderten logdateien.

Malwarebytes' Anti-Malware hat keine Schadprogramme gefunden, desshalb konnte ich die Schritte 1.4 ff nicht durchführen und hab mit schritt 2 weitergemacht

Hallo Chewbaccka,


wenn du OTL genau so ausgeführt hast, wie beschrieben, so werden 2 Logfiles (OTL.txt und Extras.txt) erzeugt. Letzters fehlt.

Bitte poste das gewünschte Logfile.

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomme ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen!