Trojaner-Board - TR/Spy.Ipsius.BC in C/windows/System32/oebc32gt.dll noch da?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - TR/Spy.Ipsius.BC in C/windows/System32/oebc32gt.dll noch da? (https://www.trojaner-board.de/104111-tr-spy-ipsius-bc-c-windows-system32-oebc32gt-dll-noch.html)

TR/Spy.Ipsius.BC in C/windows/System32/oebc32gt.dll noch da?

Guten Tag!
Wie oben schon beschrieben, befindet(befand?) sich auf dem Laptop meiner Freundin anscheinend ein Trojaner. Die Meldungen von Antivir ignorierte sie eine Zeit lang, anschließend bat sie mich um Hilfe, obwohl ich selbst recht wenig Ahnung von Trojaner-Bekämpfung habe. Was ich bis jetzt unternommen habe:

-Entfernen der Datei aus Antivir-Quarantäne durch Löschen, Meldung kam aber wieder, also hab ich versucht die Datei selbst zu löschen, Antivir blockierte jedoch den Zugriff. Deswegen konnte ich die Datei (denke ich) auch nicht online bei Virustotal.com scannen lassen(?).
-Scan mit Superantispyware -> kein Fund
-Ccleaner laufen lassen, Ausmisten vom Autostart, Deinstallation div. Toolbars
-Scan mit Malwarebytes' Antimalware -> kein Fund
-Windows Update (u.A: Internet Explorer 8)
-Antivit meldete sich erneut, prüfte und reparierte das System
- -> Neustart
- -Scan mit LukeFilewalker -> kein Fund
-erneut Windwos Update (uA: Service Pack 2)
- -> Neustart
- -ab diesem Punkt war die Datei oebc32gt.dll nicht mehr vorhanden!
-Disk Defrag laufen lassen (Defragmentierung + Optimierung)
-Anschließend bin ich nach
http://www.trojaner-board.de/69886-a...-beachten.html
vorgegangen:
- -Defogger -> keine Fehlermeldung, keine Aufforderung zum Neustart und kein Log-File nach "manuellem" Neustart
  hiernach war kurz nach dem Neustart ein Fenster namens AsScrProlog.exe sichtbar
- -OTL laufen lassen, OTL.txt und Extras.txt erstellt
- -Gmer laufen lassen, gmer.txt erstellt

Parallel dazu hab ich auf meinem eigenen Laptop im Internet nach ähnlichen Vorfällen gesucht. Ein anderer Nutzer dieses Forums hatte auch ein Problem mit der Datei oebc32gt.dll :
http://www.trojaner-board.de/48453-a...aufrufbar.html

Bei meiner Freundin funktionierte in letzter Zeit das Internet nicht gut, insbesondere Google brauchte lange zum laden.

Im Anhang hab ich die drei Logfiles (OTL.txt, Extras.txt und gmer.txt) angehängt.

Danke schonmal im Voraus für Hilfe!
taco

warum ignoriert man meldungen seines antimalware programms? wofür hat man es denn dann, wenn man nicht entsprechend auf warnungen reagiert...
macht deine freundin onlinebanking einkäufe oder sonst was wichtiges, ob privat oder beruflich, mit dem gerät?

Frag mich nicht, warum sie sowas ignoriert, finde es auch nicht gerade brilliant... Online-Banking macht sie nicht, nutzt den PC eher in der Freizeit (facebook & co) und zum Arbeiten (Word, Power-Point etc).

ok, sie hat nen trojaner mit backdoor funktionalität und einen passwort stealer.
es besteht immer ein gewisses risiko wenn man bereinigt, zb das eine neu infektion erleichtert wird, oder das versteckt malware im system bleibt.
wenn euch das risiko zu hoch ist, würde ich vorschlagen, dass wir das system neu aufsetzen und vernünftig absichern.
so das sie nicht mehr in eine solche situation kommt, zumindest nicht mehr so schnell.

Ok, danke erstmal für die schnelle Antwort :) Wenn ich dich richtig verstehe hat sie also immernoch Probleme^^ Mit dem System neu aufsetzen könnte es allerdings schwieriger werden, da sie das überhaupt nicht kann und ich nur mal bei meinem Vater zugesehen hab, wie das geht... kann man den Trojaner und den Stealer nicht auch anders loswerden? (und wie erkennst du das überhaupt? :))

na beim neu aufsetzen kann ich euch anleiten, in den meisten fällen klappt das ganz gut.
die entscheidung ob ihr dass wollt, müsst ihr treffen, ich wollte dich nur über evtl. risiken aufklären und das man ne bereinigung nicht garantieren kann.
insbesondere wenn wir den pc dann richtig absichern wollen, wäre es günstiger, mit nem frischen garantiert sauberem system zu beginnen.

Ok, gut. Werde sie fragen, wenn sie wieder da ist, das kann aber noch dauern.. Wieviel Zeit nimmt das "Neu-Aufsetzen" denn üblicherweise so in Anspruch? Und wo genau "sitzt" der Trojaner/Stealer, also welche Daten kann sie bedenkenlos auf ne externe Festplatte ziehen?
Wenn ich mich recht erinnere, braucht man beim "Neu-Aufsetzen" eine Windows-CD und jede Menge Treiber, richtig?

also, daten sichern kann sie in ruhe, der stealer stiehlt passwörter zb.
hatt sie einen laptop mit recovery funktion? falls es ein fertig gerät ist, verrate mir mal hersteller + geräte bezeichnung.
je nach dem wie schnell ihr arbeitet, wie aktuell die windows instalation und wie gut die internet verbindung ist, würd ich, mit absicherung des systems und instalation aller programme so 4-8 stunden einrichten.
ich werde euch aber noch programme mit an die hand geben, die so was in zukunft sehr beschläunigen werden.
ne reinigung würde mindestens genauso lange dauern.

Ihr Laptop ist ein Asus X5DAB.
Wenn das insgesamt 4-8 Stunden dauert, müssten wir das aufs Wochenende verlegen, morgen haben wir Uni (vielleicht gehts auch danach, kann ich noch nicht sagen..) Wann hättest du denn theoretisch Zeit? Bzw. hast du vielleicht ne schriftliche Anleitung für sowas? Könnte mir vorstellen, dass du besseres zu tun hast, als 8 Stunden lang mit 2 Mädchen nen PC zu erneuern... ;)

gegen geseltschaft habe ich nichts hehe.
bin aber sonnabend nicht da, sonntag vllt n paar stunden.
morgen den ganzen tag.
der laptop kann auch noch n paar tage laufen, dass passt schon

:D Weiß ja nicht, ob unsere Gesellschaft so angenehm sind, ich fürchte, wir kommen eher leicht neurotisch und natürlich ahnungslos rüber^^ Hab grad nachgesehen, wir haben morgen Uni bis 12, könnten uns also nach der Nahrungsaufnahme dem Laptop widmen. Gesetz dem Fall, das sie zustimmt, wie würde das ablaufen mit deiner Anleitung? Per Chat/Email/Telefon? Gegen Besuch haben wir natürlichh auch nichts^^

nahrungsaufname is immer gut.
na ich werd mich erst mal informieren ob der laptop ne recovery funktion hatt, dann würd ich euch aufschreiben wie das geht und was danach zu tun ist, quasi schritt für schritt.
deswegen mache ich das auch noch nicht jetzt, falls sich bei der datensicherung fragen ergeben möchte ich alles nacheinander abarbeiten :-)
und, ne kleine neurose hat noch niemandem geschadet :-)
edit: das mit dem besuch wird bestimmt nichts, würd wetten wir wohnen weit entfernt von einander :d

Ok :) Ich meld mich dann wieder, wenn sie ihre Meinung dazu abgegeben hat.
Eine Frage noch(mal): Wie liest du aus den logfiles heraus, dass ein Trojaner und ein Passwort-Stealer vorhanden sind? Oder ist das "Berufsgeheimnis"?^^

na ich lese das schon aus der avira meldung.
tr. heißt trojaner.
Spy
das etwas ausgespät wird.
und dann kann man noch mit dem gesammten trojaner namen arbeiten.

Hm. und der passwort-stealer?^^

na spy ist ja spionage, also zum ausspähen von daten wie zb passwörtern.

Achso, dann ist das ein und das selbe.. dachte, sie hätte 2 Schädlinge auf ihrem PC...:stirn:

nein, ich wollte dir nur die bedeutungen der abkürzungen aufzeigen :-)

Bin wieder da.
Meine Freundin meint, ihr Laptop hätte eine Recovery-Funktion und die auch schonmal genutzt. Sie würde diese Lösung dann bevorzugen - wäre das auch sicher genug? Und wenn ja, könnt ich deine Programme evtl. trotzdem haben, für den Fall des Falles? :D

ja, und die anleitung bekommst du natürlich.
wie gesagt wenns so weit ist und ihr mit der recovery anfangt.

okay, super :) ich denke, das wird dann morgen nachmittag sein, ich meld mich dann hier wieder.

schönen abend noch :-)

danke gleichfalls :-)

Hey, da bin ich wieder. Wir würden gleich mit der recovery beginnen, überprüfen aber grad noch die externe Festplatte, weil da zT die gleichen Dateien wie auf dem Laptop sind...Danach wollen wir erstmal die ganzen Programme auf die Festplatte ziehen.

nein, erst mal wird die recovery gemacht, die externe festplatte kommt dann noch nicht an den neuen pc, erst wenn alles umgesetzt wurde.
nach der recovery:
start suchen, tippe:
windows update
enter
gehe auf optionen, updates automatisch instalieren, täglich, suche ne zeit aus wo ihr onine seit.
dann alles andere aktivieren, außer detailierte infos anzeigen.
klicke updates suchen.
instaliere jetzt wichtige updates, solange bis es keine mehr gibt.
pc wird zwischendurch neustarten, dann musst du windows updates erneut aufrufen, updates suchen, instalieren.
das selbe mit optionalen updates.
http://www.trojaner-board.de/96344-a...-rechners.html
anmerkungen:
arbeite erst alles ab, was unter windows 7 bzw vista zu finden ist. aus dem bereich xp folgendes abarbeiten:
Datenausführungsverhinderung:
Maßnahmen für ALLE Windows-Versionen
danach dieses abarbeiten.
emsisoft
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware
der blockiert alle von mir getesteten malware samples.
dies bedeutet natürlich nicht 100 %iger schutz, denn so was gibts nicht.
du hast da ne 30 tage test version zur verfügung, würd ich mir auf jeden fall mal ansehen.
als kostenlosen scanner würde ich avast empfehlen, ist nicht so gut wie emsisoft, aber meiner meinung nach das beste als kostenloser scanner.

als browser würde ich persönlich opera einsetzen. er hat erst mal mehr ausstattung als der ff, ist weniger fehler anfällig, heißt weniger lücken in den letzten jahren.
und er ist, meines erachtens nach, schneller.
nächste anmerkung:
sandboxie.
das programm sandboxie ist ein programm, in dem du deinen browser isuliert vom system laufen lassen kannst.
da heut zu tage häufig legitime seiten ziehl von angriffen werden, um zb so viele user mit schadcode zu infizieren damit sie teil eines botnetzes werden, muss man, auch als privat person, seinen pc best möglich schützen.
dies haben wir natürlich bereits getan, in dem wir bekannte lücken schließen und weitere maßnamen getroffen haben.
trotz alle dem, kann immer mal was "durch rutschen".
wenn du jetzt deinen browser in der sandbox gestartet hast, rutscht diese malware nur dort rein, und durch unsere gewählten einstellungen, sollte sie im bestfall überhaupt nicht startenda sie zb durch das av geblockt wird, oder, falls doch, richtet sie in der sandbox keinen schaden an.

um das surfen sicherer zu machen, würde ich sandboxie empfehlen.
Download:
http://filepony.de/download-sandboxie/
anleitung:
Sandbox*Einstellungen |
(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. ist die lizenz dein ganzes leben lang gültig, und du kannst die auf allen pcs nutzen, die sich in deinem haushalt befinden.
2. gibts, wenn du diese lizenz hast, noch einige nützliche funktionen, wie zb, erzwungener programm start.
dies bedeutet, wenn du zb bei erzwungener programm start deine browser, mail programme etc einträgst kannst du diese direkt über das entsprechende symbol in der sandbox starten lassen.
oder, wenn du einen link in einer mail bekommst und diesen anklickst, startet der browser ebenfalls in der sandbox.
wenn du die kostenlose version nutzt, startest du deinen browser absofort immer über das symbol "sandboxed web browser"
und alle programme die du noch in der sandbox laufen lassen willst mit rechtsklick und dann auf in sandboxie starten klicken.
diese kann man also auch nutzen, um neue programme zu testen.

anmerkung 3:
gehe mal nach c:\benutzer.
da müsste jetzt ein ordner sein, der deinen vergebenen nutzer namen trägt.
dort klickst du mal drauf.
dann siehst du verschiedene ordner. wähle desktop
dort alles markieren, kopieren.
dann gehe wieder zurück auf benutzer,
und wähle
c:\benutzer\Default\desktop
dort rechtsklick, einfügen.
evtl das ganze wiederhohlen mit dem startmenü ordner.
damit siehst du alle verknüpfungen im eingeschrenktem nutzerkonto
wenn du jetzt alles umgesetzt hast.
bitte nur noch im eingeschrenkten konto arbeiten, da das admin konto nur für instalationen gedacht ist.
und, wie gesagt, nur noch in sandboxie surfen, mit klick auf "sandboxed web browser"
ich weis, viel arbeit, bei fragen, stelle sie!

Danke erstmal für die Antwort^^ leider waren wir etwas zu schnell und die recovery ist bereits fertig, außerdem ist meine Freundin grad weg, ich kann sie also nicht fragen, was sie zum Rest deiner Sicherheitsmaßnahmen meint... ABER: Ich speichere sie auf meinem PC und werd sie mindestens mal hier durchführen, klingt ja alles recht gut und vernünftig, einiges hatte ich selbst auch schonmal vor (Admin-Konto für Installationen zB)... Danke für den Tipp mit der Sandbox! Wenn ich fragen hab, meld ich mich hier nochmal!
:dankeschoen:

genau, deine freundin soll diese tipps erst mal ausprobieren bevor sie nein sagt. es sieht zwar kompliziert aus, aber eigendlich ist es überhaupt nichts weiter.
das updaten über file hippo und secunia zb wird sie pro woche vllt 10 minuten kosten, und ob sie nun auf das symbol opera bzw firefox klickt oder auf sandboxed web browser, macht ja auch keinen unterschied :-)
aja, was ich vergessen hab, sandboxie die lebenslange lizenz kostet bis 20.10 15 € könnt ihr euch ja rein teilen.
dann könnte man nämlich die funktion "erzwungener programm start" nutzen, dies bedeutet, dort trägst du zb alle browser wie internet explorer, firefox etc ein, und diese starten dann immer in der sandbox, egal ob du das symbol für den browser anklickst oder sandboxed web browser.

okay :-) Danke, zum gefühlt 100.000sten Mal^^ Werd ihr das alles zeigen und sie versuchen zu überreden... Bei mir werd ich das alles evtl heut abend noch machen, oder aber morgen, wenns Probleme gibt, meld ich mich dann nochmal hier (oder ich versuch sie selbst zu lösen via google etc^^ will dir ja nicht das Wochenende vermiesen:nono:).

na ich bin morgen nicht da, und sonntag höchstens erst nachmittags, und, du versaust mir den tag nicht, mache das ja freiwillig.

Ich weiß, dass du morgen nicht da bist und am Sonntag kaum (hast du oben irgendwo geschrieben)^^, aber ich denke mal, dass ich mit deiner Anleitung ganz gut hinkomme und wahrscheinlich nicht nachfragen muss - auch wenn das traurigerweise bedeutet, dass unsere Kooperation damit beendet wäre...
Ansonsten denke ich, kann ich mit meinen Fragen auch bis Montag warten :-)

ja, nehme ich auch an :-)

Ok, dann bis demnächst (vielleicht) :-)

jo kannst ja mal sagen wies läuft und ob du erfolgreich warst würd mich auch interessieren :-)

Okay, schreib ich dann hierhin :-)

Hey..
Bin soweit eigentlich ganz gut klargekommen, nur 2 Fragen:
-Welche Windows Dienste kann /sollte man gefahrlos abschalten/konfigurieren? (der Link hxxp://ntsvcfg.de/svc2kxp.zip funktioniert bei mir nicht :( )
-Welche Programme sollte man in die Liste der Datenausführungsverhinderung aufnehmen?

Ansonsten hoffe ich, du hattest ein erholsames Wochenende!

windows dienste kannst du außer acht lassen.
ebenfalls musst du in die liste "dep" nichts eintragen, dies wäre nur der fall, wenn die datenausführungsverhinderung versehens ein programm blockt, welches legitim ist.

oh super, okay :) dann, mal wieder, danke für alles

ok, kommt ihr mit allen neuen programmen /einstellungen klar?

ich zumindest schon, meine freundin hat die einstellungen noch nicht vorgenommen^^

aso, na dann klopfe ihr auf die finger, sowas sollte so früh wie möglich passieren.

ok :D werd ich machen