Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Spyeye Befall Rechner A - Neuinstallation über Rechner B (https://www.trojaner-board.de/104214-spyeye-befall-rechner-a-neuinstallation-rechner-b.html)

tweekzter 16.10.2011 17:11
Spyeye Befall Rechner A - Neuinstallation über Rechner B
 
Hi Leute!

Szenario:
Rechner A wurde von Spyeye befallen. Denke, dass ich alles runterbekommen habe, aber um 100% sicher zu gehen würde ich gerne folgend vorgehen.

Auf Rechner B Ubuntu downloaden - brennen. Daten auf Rechner A mit Ubuntu live sichern. Neuinstallation.

Da Rechner B zuvor aber ziemlich lieblos behandelt wurde (sprich: wohl ein mehrfaches Malware-Opfer war) danach aber platt gemacht wurde und recht so gut wie nie benutzt wird (Virenschutz, Updates und Firewall sind nun up), wäre es dennoch besser, wenn mir erfahrene User das System nochmal checken könnten.

Dazu hier das GMER - Log:
GMER Logfile:
Code:
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-10-04 13:33:32
Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 SAMSUNG_HM100JC rev.YN100-08
Running: 44q4jub5.exe; Driver: C:\DOKUME~1\JOHNDO~1\LOKALE~1\Temp\axlyapog.sys


---- System - GMER 1.0.15 ----

SSDT  BA7CA2AC                                ZwClose
SSDT  BA7CA266                                ZwCreateKey
SSDT  BA7CA2B6                                ZwCreateSection
SSDT  BA7CA25C                                ZwCreateThread
SSDT  BA7CA26B                                ZwDeleteKey
SSDT  BA7CA275                                ZwDeleteValueKey
SSDT  BA7CA2A7                                ZwDuplicateObject
SSDT  BA7CA27A                                ZwLoadKey
SSDT  BA7CA248                                ZwOpenProcess
SSDT  BA7CA24D                                ZwOpenThread
SSDT  BA7CA284                                ZwReplaceKey
SSDT  BA7CA27F                                ZwRestoreKey
SSDT  BA7CA2BB                                ZwSetContextThread
SSDT  BA7CA270                                ZwSetValueKey
SSDT  BA7CA257                                ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

init  C:\WINDOWS\system32\drivers\tifm21.sys  entry point in "init" section [0xB9BB0DBF]

---- EOF - GMER 1.0.15 ----
--- --- ---



Später poste ich noch den Log von Rechner A da ich noch gerne wüsste, ob ich den MBR unangetastet lassen kann.

Vielen Dank schon mal!

PS: Malwarebytes bescheinigte übrigens auf beiden Rechnern keinen Befall.

markusg 17.10.2011 15:30
nen otl von rechner b wäre schon besser, aber wenn du die daten von rechner a nicht unter rechner b öffnest, dann geht das schon.
wenn du willst erkläre ich dir, wie du beide pcs in zukunft vernünftig absicherst.

tweekzter 19.10.2011 09:19
So, danke erst mal für deine Antwort.

Mittlerweile habe ich auch den befallenen Rechner mit GMER überprüft. Hierbei ergab der Scan überhaupt kein Resultat - es wurde mit der Meldung beendet, dass eben nichts gefunden werden konnte, das Log selbst war leer.

Zur grundsätzlichen Situation und dem Beweggrund warum ich nur GMER verwende sollte ich vielleicht anmerken, dass Rechner B wie erwähnt vor kurzem platt gemacht wurde, aber ohne MBR-format, deswegen wollte ich nur überprüfen ob der MBR nicht auch befallen war.

Auf Rechner A lies ich schon einiges laufen... Malwarebytes, der auch anfangs Spyeye entfernte (AntiVir machte mich darauf aufmerksam, vermochte es allerdings nicht alles zu löschen, da ich im Taskmanager einen Fake-Prozess fand ging ich dann eben zu Malwarebytes über), nochmals Malwarebytes (diesmal clean), Combofix (ohne Ergebnis) usw. Nun geht es darum ob auch hier der MBR in Ordnung ist oder nicht -> deswegen GMER, ansonsten muss ich den MBR ja nicht mit formatieren, richtig?

Die grundsätzliche Frage also:
Ist der MBR von Rechner B befallen (kann ich dort Ubuntu für das Sichern der Daten auf Rechner A brennen)?

markusg 19.10.2011 09:49
nein spyeye befällt den mbr nicht.
du kannst ihn natürlich, wenn dir das lieber ist, neu schreiben.
aber gegen das datensichern bzw brennen ist nichts einzuwenden.

tweekzter 19.10.2011 10:26
Dankeschön!

Der Punkt ist einzig der, ich traue mir zu mein System nicht monatlich zu infizieren / zuzumüllen, daher würde ich gerne zgunsten der Performance auf eine vergelcihsweise komplette Abschottung, wie ich sie schon oft an anderer Stelle "gelesen" habe, verzichten.
Updates sind logisch (vor Internetverbindung), Firewall, Antiviren Software (evtl Norton anstatt Antivir, da dieser einer der wenigen war, der meine Spyeye Variante erkannte) und unter Umständen eine Sandbox für den Browser könnte ich mir vorstellen.

Weitere Anregungen/Optimierungsvorschläge sind gerne gesehen. :)

markusg 19.10.2011 10:48
hi, anstelle von norton, nimm lieber emsisoft. die haben bessere signaturen, und ne wesendlich bessere verhaltensanalyse.
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware

wenn du diese tipps:
http://www.trojaner-board.de/96344-a...-rechners.html
umsetzt, wirst du kaum mehr ram verbrauch haben als vorher.
also windows 7, allgemeines, aus xp, noch dep aktivieren, und, wenn du onlinebanking machst, dann diesen abschnitt ebenfalls lesen.
als browser würde ich auf opera setzen, deswegen schreib ich die sandboxie anleitung erst mal für opera.
Download:
http://filepony.de/download-sandboxie/
anleitung:
Sandbox*Einstellungen |
(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. lebenslang gültige lizenz die du auf allen deinen pcs nutzen kannst!
2. kannst du erzwungende programmstarts festlegen, heißt, alle browser zb starten immer in der sandbox.
so musst du immer auf "sandboxed web browser" klicken.
wegen zu müllen, achte drauf was du im autostart hast, dass ist bei den meisten zu viel häufig.
opera spart dir zb auch gleich mal mindestens 100 mb ram gegenüber firefox.
emsisoft braucht nicht viel mehr als avira, sandboxie auch kaum 800 kb.
wenn du nicht 2 update checker haben willst, dann nimm halt nur einen, aber einen solltest du auf jeden fall zur unterstützung nutzen.
und wichtig, backup programm, dann sparst dir beim nächsten mal viel arbeit.


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:39 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131