Spyeye-Warnung
 

Hallo liebe Helfer,

ich bekam heute von meinem E-Mail Dienst (web.de) folgende Nachricht:

Sehr geehrte/r ***,

Sie erhalten heute eine dringende Nachricht zu Ihrem WEB.DE Postfach
"***@web.de" und der Sicherheit Ihrer persönlichen Daten.

Unser Team von Sicherheitsexperten hat zwei wichtige Informationen für Sie:

- Ein Virus hat das Passwort zu Ihrem WEB.DE Postfach ausgespäht.

- Dieser Virus heißt "spyeye" und befindet sich wahrscheinlich
auf Ihrem Computer.

In dieser E-Mail finden Sie alle notwendigen Informationen um die Sicherheit
Ihres Postfaches und Ihres Computers wiederherzustellen.

So gewinnen Sie den Kampf gegen den Virus:

***************************************************************************
1. Ändern Sie das Passwort zu Ihrem WEB.DE-Postfach:
***************************************************************************
Loggen Sie sich von einem sicheren Computer in Ihr Postfach ein.

Klicken Sie im linken Menü auf 'Meine Daten'. Sie gelangen in das WEB.DE
Kundencenter und ändern hier sicher Ihr Passwort.

***************************************************************************
2. Erkennen Sie, welcher Computer mit dem Virus infiziert ist:
***************************************************************************
Haben Sie in den letzten Tagen über unterschiedliche Computer auf Ihr Postfach
zugegriffen? Dann hilft Ihnen die folgende Angabe dabei den betroffenen Computer
zu finden:

Sie haben den Computer zum folgenden Zeitpunkt benutzt: 04.03.2011 00:08:04 Uhr

***************************************************************************
3. Löschen Sie den Virus:
***************************************************************************
Damit Sie den Virus gleich erkennen und ganz einfach von Ihrem Computer
entfernen können, nutzen Sie den praktischen und kostenlosen DE-Cleaner.

Dieses Programm stellt Ihnen die deutsche Initiative botfrei.de mit freundlicher
Unterstützung von Norton Symantec zur Verfügung.

Und hier geht es zum DE-Cleaner: https://www.botfrei.de/decleaner.html

Sollten Sie bei der Anwendung des DE-Cleaners und beim Löschen des Virus
Unterstützung brauchen, hilft Ihnen das Anti-Botnet-Beratungszentrum gerne weiter.

Sie erreichen die Experten des Anti-Botnet-Beratungszentrums unter der folgenden
Rufnummer: 0209 - 605 060

Wichtig: Geben Sie bei Ihrem Anruf bitte die folgende Voucher-Nummer an:


***************************************************************************
4. Ändern Sie anschließend alle Ihre Passwörter:
***************************************************************************
Nachdem Sie den Virus erfolgreich entfernt haben, ändern Sie zur Sicherheit das
Passwort erneut.

Ändern Sie auch alle Ihre anderen Passwörter. Denken Sie an Ihre Passwörter zu:
- Ihrem Online-Banking-Zugang
- Ihren Konten bei eBay und Paypal
- Ihren anderen E-Mail-Konten

***************************************************************************
5. Sichern Sie Ihren Computer für die Zukunft:
***************************************************************************
Um Ihren Computer zukünftig optimal zu schützen, empfehlen wir Ihnen die
Installation einer professionellen Anti-Viren-Software, wie dem WEB.DE
PC-Sicherheits-Paket.

Weitere Informationen finden Sie hier: hxxp://www.pc-sicherheit.web.de

***************************************************************************

Haben Sie noch Fragen an uns? Dann antworten Sie einfach auf diese E-Mail und
belassen bitte unsere Referenz [Ticket] in Ihrer Nachricht.

Wir freuen uns, mit Ihnen gemeinsam für die Sicherheit Ihres Postfaches zu
sorgen - vielen Dank für Ihre Mitarbeit!

Mit freundlichen Grüßen

Ihr Abuse-Team

--
Abuse-Abteilung
WEB.DE

_____________________________________________________________


Ich hoffe, ich erstelle nicht ein Thema, welches hier schon tausendfach behandelt wurde. Ich brauche Eure Hilfe da ich mit dem Laptop auch Online-Einkäufe tätige. Nun habe ich diesen Trojaner - Spyeye drauf und bin total verunsichert...

Schon mal vielen Dank im Voraus

Liebe Grüße

Alexandra

Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten

Hallo Markus,

danke für deine schnelle Antwort. Ich habe die OTL.exe ausgeführt, aber es werden ja auch private Daten aufgeführt. Diesen Laptop habe ich "vererbt" bekommen:rolleyes: d.h. es sind eine Menge Daten drauf, die nicht von mir sind. Vielleicht wäre da die bessere Lösung alles Nötige zu sichern und danach neu aufzusetzen? Hättest du einen Ratschlag für mich, wie ich vorgehen sollte?

LG

in den otl logs sehen wir nichts privates.
bitte poste sie erst einmal.

Hier sind sie.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
:files
C:\moonxxxxxx.exe
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.

öffne computer, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
lade das archiv in unserem upload channel hoch.
http://www.trojaner-board.de/54791-a...ner-board.html

Hier die Daten

ok dann bitte den upload im upload channel

So erledigt...

jetzt kannst du dich ans daten sichern machen. dieses system war sehr unsicher, keine windows updates etc!
ich möchte dir, falls du nichts dagegen hast, erklären wie du das in zukunft besser absicherst.
wenn du mit dem daen sichern fertig bist, melde dich bitte.

Dankeschön für deine Hilfe,

ich weiß, dass ich in Sachen Sicherheit noch sehr viel aufholen muss. Ich würde mich sehr freuen wenn du mir ein paar Tipps geben könnstest.

LG

kein problem und das war kein vorwurf, ich habe das nur angemerkt, und lernen kann nie schaden :d

also, sichere alle deine wichtigen daten die auf c:, der partition mit windows liegen. dann melde dich.

Hallo, ich habe jetzt alle wichtigen Daten abgesichert. Heute habe ich noch einmal das System mit einem Anti-Spyware Programm gescannt und siehe da, es hat nicht gefunden. Man sollte wahrscheinlich trotzdem auf Nummer sicher gehen;) Als nächstes käme die Neuinstallation des Systems - für die, die "Betriebssystem-CD" nötig wäre. Diese müsste ich mir neu kaufen.

LG

ja das müsstest du wohl.
wobei ich dann gleich auf windows 7 umsteigen würde, ist wesendlich schneller finde ich.
aber nicht windows 7 starter, zu stark eingeschrenkt, die home ist ok.

So jetzt habe ich W-7/ Home installiert. Warte auf Anweisungen mein System sicherer zu machen:D Was ist mit den Windows-Old Daten. Sollte ich einfach löschen? Ich hoffe, ich habe jetzt mit dieser Neuinstallation alles Gewurm beseitigt:) P.S. Einige alte Daten sind immer noch da... Nicht das der Trojaner auch überlebt hat!?!?

LG

hast du windows.old?
dann hast du nicht richtig formatiert und kannst windows gleich noch mal instalieren.
diesmal wie folgt:
bei instalation auf benutzerdefiniert einstellen.
dann wenn du bei den partitionen bist, wähle optionen und formatieren.
und wenn du dann windows instaliert darf keine warnmeldung erscheinen das alte daten nach windows.old verschoben werden.

Ich musste zuerst die Bootreihenfolge ändern... Ich hatte die Möglichkeit die Partition 1: Recovery; Typ = Primär zu löschen, habe mich aber dann doch nicht getraut:) (Hätte ich diese löschen können?) Die beiden anderen Partitionen 2 und 3: System bzw. Logisch, habe ich formatiert. Die Meldung, dass die bestehenden Windows-Daten in den Ordner Windows.old verschoben werden, kam diesmal nicht! Was ist mit den Updates, ich habe die "empfohlenen eintellungen" genommen. Nun habe ich gelesen, dass diese Einstellung mein System bremst, da Daten mit Microsoft im Hintergrund ausgetauscht werden und welche Daten man am Ende sendet ist auch nicht bekannt. Sollte ich diese Eintellung ändern und selber für die richtigen Updates sorgen (was Computercracks wahrscheinlich auch tun). Ich bin jetzt auf den Geschmack gekommen, jetzt will ich es ganz verstehen;)

nein, bitte lasse die updates automatisc instalieren, das verlangsamt den pc nicht.
außerdem ists einfach praktischer.
das mit dem daten austausch solltest du nicht so eng sehen, selbst wenn du die update seite per hand aufrufst könnten daten ausgetauscht werden,
aber microsoft wird kaum persönliche daten sammeln, wenn das raus käme wäre es ein ziemlicher image schaden für die.

Ich habe mich auf dieser Seite umgeschaut, zum Thema Antivirus wurde die folgende Kombination als sinnvoll angesehen: "MSE + Firewall + Malwarebytes". Was hälst du davon? Gibt es jetzt vielleicht sicherere Alternativen? War die Entscheidung, die Recovery - Partition stehen zu lassen richtig?