Win32/Eye.Stye.N nach Win32/Obfuscator.PX

  • Malwarebytes' Anti-Malware 1.50.1.1100
    Malwarebytes : Free anti-malware, anti-virus and spyware removal download


    Datenbank Version: 7469


    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702


    15.08.2011 14:43:13
    mbam-log-2011-08-15 (14-43-13).txt


    Art des Suchlaufs: Vollständiger Suchlauf (C:\|J:\|)
    Durchsuchte Objekte: 248886
    Laufzeit: 1 Stunde(n), 7 Minute(n), 25 Sekunde(n)


    Infizierte Speicherprozesse: 0
    Infizierte Speichermodule: 0
    Infizierte Registrierungsschlüssel: 0
    Infizierte Registrierungswerte: 0
    Infizierte Dateiobjekte der Registrierung: 0
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 0


    Infizierte Speicherprozesse:
    (Keine bösartigen Objekte gefunden)


    Infizierte Speichermodule:
    (Keine bösartigen Objekte gefunden)


    Infizierte Registrierungsschlüssel:
    (Keine bösartigen Objekte gefunden)


    Infizierte Registrierungswerte:
    (Keine bösartigen Objekte gefunden)


    Infizierte Dateiobjekte der Registrierung:
    (Keine bösartigen Objekte gefunden)


    Infizierte Verzeichnisse:
    (Keine bösartigen Objekte gefunden)


    Infizierte Dateien:
    (Keine bösartigen Objekte gefunden)

  • Logfile of random's system information tool 1.09 (written by random/random)
    Run by Administrator at 2011-08-15 14:45:46
    Microsoft Windows XP Professional Service Pack 3
    System drive C: has 55 GB (72%) free of 76 GB
    Total RAM: 3071 MB (59% free)


    Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 14:46:09, on 15.08.2011
    Platform: Windows XP SP3 (WinNT 5.01.2600)

    Einmal editiert, zuletzt von Volkmar ()

  • Logfile of random's system information tool 1.09 (written by random/random)
    Run by Administrator at 2011-08-15 14:59:48
    Microsoft Windows XP Professional Service Pack 3
    System drive C: has 55 GB (72%) free of 76 GB
    Total RAM: 3071 MB (62% free)


    Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 15:00:08, on 15.08.2011
    Platform: Windows XP SP3 (WinNT 5.01.2600)

    Einmal editiert, zuletzt von Volkmar ()

  • Man hast du ein Glück - auch da scheint nicht viel passiert zu sein.


    Mach noch mal das hier zur Sicherheit:

    • Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
    • Danach die PPFScan.exe starten.
    • Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
    • Wähle im Untermenü Script laden und ausführen.
    • Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa.
    • Auf Nachfrage Dateien überschreiben lassen.
    • Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.





    Der PPFScanner ist auf Sachen wie SpyEye und diese Abart, die du dir eingefangen hast, spezialisiert. Ich will da auch mal schauen.

  • Hallo AHT,


    schön zu hören, das ich Glück hatte (dachte sowas gibt es bei mir gar nicht)


    Kurze Frage: soll ich erst mit Phase2 weitermachen, wie angekündigt, oder direkt deine weiteren Anweisungen befolgen und mit PPF Scanner weitermachen?


    Lg Hutza

  • Mach erst meine Sachen, danach Phase zwei. Wollte WhiteNight da auch nicht ins Handwerk pfuschen. Da aber gerade dieser Stye Trojaner auch externe Datenträger befällt, sollte man sicher gehen, dass da nichts ist. Das Ding ist ein Banker (RootKit).

  • ...ok, lass den Scanner gerade laufen...


    ...hab nun im Netz (unter anderem auch bei Euch) einiges über diesen Eye.Stye.N gelesen.


    Viele sagen da ja System neuauflegen, ist die einzige sichere Möglichkeit, stimmt das? Oder bekommen wir das so hin?


    Ich hatte seit der Infektion nur meine SDHC Speicherkarte meiner Kamera am Rechner, soll ich diese Formatieren, oder kann ich die Bilddaten darauf verwenden?


    Muss ich meine Bank informieren?
    Als info: Ich nutze das Tan Generator verfahren, die Banken sagen ja es ist sicher gegen diese "Art" Trojaner.
    Darf man das so glauben?


    ...und nun noch ne ganz blöde Frage, da am gleichen Router auch der Laptop (System is aktuell) meiner Freundin (auch Onlinebanking), und ne PS3 mit dran hängt, soll ich oder muss ich da auch Tätig werden?


    Lg Hutza


    P.S. PPF Scanner läuft noch...

  • ...so nun gehts weiter mit Phase 2


    Windowsscan


    File-Upload.net - WS.rtf


    ...was mich hier allerdings sehr verwundert ist, dass unter den "Host" Dateien Seiten sind auf dennen ich niemals war...mhhh....


    ...kann das sein, das dies die geblockten (immunisierten) Seiten von Sbyboot Search and Destroy sind, die da aufgelistet sind?


    Lg Hutza

  • Hi,


    habe ein kleines Problem, ich finde nichts um meinen AV zu deaktivieren?
    Microsoft Security Essentials.


    finde im Taskmanager nix was so klingt...*schäm


    Danke für die Hilfe..


    Lg

  • Zitat von hutzabock;868293


    ...kann das sein, das dies die geblockten (immunisierten) Seiten von Sbyboot Search and Destroy sind, die da aufgelistet sind?


    Ja, sind geblockte Seiten.
    Melde mich morgen wieder, hab hier noch zwei Rechner mit BKA Trojanern zum Fixen. Was ich mir bislang angesehen habe, sieht OK aus.

  • Hast Glück gehabt - der Zeus Trojaner ist schon etwas älter. AntiVir hat den erkannt und bei dem Versuch sich zu installieren geblockt.
    Bis auf dieses Mal machst du das eigentlich vollkommen richtig - du surfst mit Sandbox, dir kann da recht wenig passieren.

  • Hi AHT,


    ...also Thread geschlossen und alles OK?


    Freut mich super.....Danke für Eure Hilfe...schön das es Euch gibt.


    Einens würde mich aber noch interessieren, wie bekomme ich meinen AV (Microsoft Security Essentials) abgeschalten?


    Danke nochmal an WhiteKnight und AHT


    Lg Hutza

  • ...und doch noch eine Frage an AHT, wir haben ja schonmal das Windows Gültigkeitstool wegen der AV laufen lassen, in einem anderen Thread,


    der Meldet aber ja schon wieder:


    2.8.2011 11:26 Uhr 0s
    Record #20362
    Computername->C3PO
    Microsoft Antimalware:
    Warning
    Microsoft Antimalware befindet sich in der Karenzzeit und läuft bald ab. Nach Ablauf wird der Schutz vor Viren, Spyware und anderer potenziell unerwünschter Software deaktiviert.


    Grund für den Ablauf: Fehler bei der Echtheitsüberprüfung mit der Windows-Aktivierungstechnologie.


    Ablaufdatum (UTC): 01.09.2011 09:26:00


    Einfach den Echtheitscheck wiederholen, oder neuen AV?
    Wo sehe ich dann das meine Aktion erfolgreich war und wo sehe ich wenn "Er" das nächste Mal zickt?
    Schaltet der dann echt ohne Vorwarnung ab?


    Danke Hutza

  • Die Echtheitsprüfung darfst du nicht abbrechen. Echtheitscheck wiederholen.
    Ob du einen anderen Scanner nimmst, überlasse ich dir. M$ ist, soweit ich weiß, bei der Erkennungsrate etwas lau, dafür aber sehr zuverlässig.

  • Zitat von AHT;868556

    Die Echtheitsprüfung darfst du nicht abbrechen. Echtheitscheck wiederholen.
    Ob du einen anderen Scanner nimmst, überlasse ich dir. M$ ist, soweit ich weiß, bei der Erkennungsrate etwas lau, dafür aber sehr zuverlässig.


    Wir haben aber doch vor paar Monaten die Echtheitsprüfung gemacht, ich habe da nix abgebrochen, muss ich die nun alle halbe Jahr wiederholen?
    Und wenn ich es vergesse, werd ich erinnert oder wird einfach "abgeschaltet"


    irgendwas stimmt doch da dann nicht, oder?


    Lg Hutza

  • Wahrscheinlich püft der Scanner das automatisch.
    Du hast um den Zeitpinkt herum auch einige fehlgeschlagene Signaturupdates. Es kann sein, das es Netzwerkprobleme gegeben hat und der Scanner deshalb die Gültigkeitsprüfung nicht korrekt durchführen konnte.
    Beobachte das mal und schau nach, ob es jedes mal vor einem Update diese Meldung gibt (mit aktuellem Datum), oder ob die jetzt wieder fehlt.
    Dieses Script kannst du dafür nehmen:
    http://www.paules-pc-forum.de/…von-windows-auslesen.html

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!