Trojaner: Trojan.Spyeye!conf
 

Hallo,
ich habe mir wohl mal wieder einen Trojaner mit einer e-mail die ich aus Versehen geöffnet habe eingefangen.Sypthome:Beim hochfahren will der Trojaner eine Verbindung aufbauen.Und immer wieder aufs neue ein Zugriffversuch während des Betriebes.Norton blockiert diesen Zugriffsversuch.Möchte aber das "Ding" trotzdem entfernen.Könnt ihr mir helfen?

Solche Angaben reichen nicht, bitte poste die vollständigen Angaben/Logs der Virenscanner.

Hallo,
also der Norton schreibt:
Kategorie:Behobene Sicherheitsrisiken
Datum/Uhrzeit,Risiko,Aktivität,Status,Empfohlene Aktion
04.02.2012 08:47:56,Hoch,c51cab19c2a339f (Trojan.Spyeye!conf) erkannt von Auto-Protect,Blockiert,Behoben - Keine Aktion erforderlich

und:
Kategorie:Intrusion Prevention
Datum/Uhrzeit,Risiko,Aktivität,Status,Empfohlene Aktion,Name der IPS-Warnung,Standardaktionen,Durchgeführte Aktion,Angreifender Computer,Angreifer-URL,Zieladresse,Quelladresse,Beschreibung des Datenverkehrs
04.02.2012 01:43:57,Hoch,Ein Eindringversuch von 93.222.172.234 wurde blockiert.,Blockiert,Keine Aktion erforderlich,System Infected: Trojan SpyEye Activity,Keine Aktion erforderlich,Keine Aktion erforderlich,"93.222.172.234, 1891",itismybestsite.in/italy/gate.php,"194.60.242.73, 80",93.222.172.234,"TCP, Port 1891"
Netzwerkverkehr von <b>itismybestsite.in/italy/gate.php</b> entspricht der Signatur eines bekannten Angriffs. Der Angriff wurde von \DEVICE\HARDDISKVOLUME1\WINDOWS\EXPLORER.EXE verursacht. Sie entscheiden, ob Sie Benachrichtigungen über diese Art von Netzwerkverkehr deaktivieren möchten. Wenn Sie die Benachrichtigungen wieder aktivieren möchten, klicken Sie unter <b>"Aktionen"</b> auf <b>"Benachrichtigen"</b>.

hoffe das war jetzt das Richtige,bin nicht so fit in PC-Technik.
Grüsse
HubertK

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

anbei erst mal die Malware-ergebnisse
Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6963

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

27.06.2011 23:48:43
mbam-log-2011-06-27 (23-48-43).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 257291
Laufzeit: 1 Stunde(n), 41 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
c:\Recycle.Bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Anwender\anwendungsdaten\Adobe\shed\thr1.chm (Malware.Trace) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Anwender\anwendungsdaten\Adobe\plugs\mmc158.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Anwender\anwendungsdaten\Adobe\plugs\mmc19030296.txt (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Anwender\anwendungsdaten\Adobe\plugs\mmc89.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\Recycle.Bin\config.bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6963

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

28.06.2011 10:25:59
mbam-log-2011-06-28 (10-25-59).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 239238
Laufzeit: 1 Stunde(n), 11 Minute(n), 53 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6966

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

28.06.2011 19:42:02
mbam-log-2011-06-28 (19-42-02).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 239296
Laufzeit: 1 Stunde(n), 1 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

22:02:27 Anwender MESSAGE Protection started successfully
22:02:49 Anwender MESSAGE IP Protection started successfully
22:07:07 Anwender IP-BLOCK 60.173.10.27 (Type: incoming)
22:07:08 Anwender IP-BLOCK 60.173.10.27 (Type: incoming)
22:29:19 Anwender IP-BLOCK 121.10.241.10 (Type: incoming)

00:18:46 Anwender IP-BLOCK 222.186.20.61 (Type: incoming)
08:16:55 Anwender MESSAGE Protection started successfully
08:17:06 Anwender MESSAGE IP Protection started successfully
10:48:52 Anwender MESSAGE IP Protection stopped
10:48:53 Anwender MESSAGE Scheduled update executed successfully
10:49:01 Anwender MESSAGE Database updated successfully
10:49:27 Anwender MESSAGE IP Protection started successfully
11:16:07 Anwender IP-BLOCK 221.192.199.49 (Type: incoming)
11:16:07 Anwender IP-BLOCK 221.192.199.49 (Type: incoming)
11:16:07 Anwender IP-BLOCK 221.192.199.49 (Type: incoming)
11:16:07 Anwender IP-BLOCK 221.192.199.49 (Type: incoming)
11:16:07 Anwender IP-BLOCK 221.192.199.49 (Type: incoming)
11:16:08 Anwender IP-BLOCK 221.192.199.49 (Type: incoming)
11:53:20 Anwender IP-BLOCK 58.218.199.227 (Type: incoming)
11:53:21 Anwender IP-BLOCK 58.218.199.227 (Type: incoming)
11:53:21 Anwender IP-BLOCK 58.218.199.227 (Type: incoming)
11:53:21 Anwender IP-BLOCK 58.218.199.227 (Type: incoming)
11:53:21 Anwender IP-BLOCK 58.218.199.227 (Type: incoming)
12:58:54 Anwender IP-BLOCK 221.192.199.49 (Type: incoming)
12:58:54 Anwender IP-BLOCK 221.192.199.49 (Type: incoming)
12:58:55 Anwender IP-BLOCK 221.192.199.49 (Type: incoming)
12:58:55 Anwender IP-BLOCK 221.192.199.49 (Type: incoming)
12:58:55 Anwender IP-BLOCK 221.192.199.49 (Type: incoming)
12:58:55 Anwender IP-BLOCK 221.192.199.49 (Type: incoming)
13:13:35 Anwender IP-BLOCK 58.218.199.227 (Type: incoming)
13:13:35 Anwender IP-BLOCK 58.218.199.227 (Type: incoming)
14:32:33 Anwender IP-BLOCK 58.218.199.227 (Type: incoming)
14:32:33 Anwender IP-BLOCK 58.218.199.227 (Type: incoming)
14:32:33 Anwender IP-BLOCK 58.218.199.227 (Type: incoming)
14:39:10 Anwender IP-BLOCK 221.192.199.49 (Type: incoming)
14:39:10 Anwender IP-BLOCK 221.192.199.49 (Type: incoming)
14:39:10 Anwender IP-BLOCK 221.192.199.49 (Type: incoming)
14:39:10 Anwender IP-BLOCK 221.192.199.49 (Type: incoming)
15:52:57 Anwender IP-BLOCK 58.218.199.227 (Type: incoming)
15:52:57 Anwender IP-BLOCK 58.218.199.227 (Type: incoming)
15:52:58 Anwender IP-BLOCK 58.218.199.227 (Type: incoming)
16:09:30 Anwender MESSAGE IP Protection stopped
21:55:22 Anwender MESSAGE Protection started successfully
21:56:08 Anwender MESSAGE IP Protection started successfully

08:21:32 Anwender MESSAGE Protection started successfully
08:22:30 Anwender MESSAGE IP Protection started successfully
08:56:59 Anwender MESSAGE Protection started successfully
08:57:45 Anwender MESSAGE IP Protection started successfully
08:59:17 Anwender MESSAGE IP Protection stopped
10:23:18 Anwender MESSAGE Protection started successfully
10:23:52 Anwender MESSAGE IP Protection started successfully
10:31:29 Anwender MESSAGE IP Protection stopped
10:52:07 Anwender ERROR Scheduled update failed: Timeout failed with error code 536870914

19:07:20 Anwender ERROR Scheduled update failed: Host not found failed with error code 11001

Es hat sich leider bestätigt, dass du SpyEyes-Befall hast :(

Wenn du auch noch andere Dinge erledigen willst als nur Zocken oder Solitär spielen wie zB E-Mails abrufen oder alles was Logins erfordert dann solltest du deine Daten sichern, den Rechner komplett plätten und eine Neuinstallation von Windows durchführen.
Anschließend auch sämtliche Passwörter ändern!!!

Mit komplett plätten wird gemeint: alle Partitionen auflösen, neu erstellen und formatieren. Helfen kann dabei ein Tool wie DBAN oder die Laufwerksverwaltung in einem Ubuntu im Ausprobiermodus.

Praktischerweise kann man mit diesem Live-Linux auch ziemlich gefahrlos all seine wichtigen Daten auf eine externe Platte sichern.
kopiere nur persönliche Dateien, Musik, Videos, etc. auf die Backupplatte, KEINE ausführbaren Dateien wie Programme/Spiele/Setups!!