1. Artikel
  2. Mitglieder
    1. Letzte Aktivitäten
    2. Benutzer online
    3. Team
    4. Mitgliedersuche
  3. Forum
  • Anmelden oder registrieren
  • Suche
Dieses Thema
  • Alles
  • Dieses Thema
  • Dieses Forum
  • Artikel
  • Seiten
  • Forum
  • Erweiterte Suche
  1. Paules-PC-Forum.de
  2. Forum
  3. PC-Sicherheit
  4. Viren-Forum

Win32/Eye.Stye.N nach Win32/Obfuscator.PX

  • hutzabock
  • 15. August 2011 um 14:37
Aufgrund von notwendigen Wartungsarbeiten am Server kann es zu kurzen Downtimes und längeren Ladezeiten kommen.
  • hutzabock
    Anfänger
    Beiträge
    87
    • 15. August 2011 um 14:37
    • #1

    Hallo Zusammen - Hallo WhiteKnight

    Hier nun der neue Thread, der sich auf diesen:

    https://www.paules-pc-forum.de/forum/viren-fo…uscator-px.html

    und seine Vorgeschichte bezieht.

    Ich werde, nach und nach Phase1 und Phase2 abarbeiten und hier posten, sollte ich was anderes tun, bitte einfach melden.

    So der Anfang mit nem Screen von meinem AV:
    Pic-Upload.de - Kostenlos Bilder & Fotos hochladen

    Lg Hutza

  • hutzabock
    Anfänger
    Beiträge
    87
    • 15. August 2011 um 14:43
    • #2

    Malwarebytes' Anti-Malware 1.50.1.1100
    Malwarebytes : Free anti-malware, anti-virus and spyware removal download

    Datenbank Version: 7469

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    15.08.2011 14:43:13
    mbam-log-2011-08-15 (14-43-13).txt

    Art des Suchlaufs: Vollständiger Suchlauf (C:\|J:\|)
    Durchsuchte Objekte: 248886
    Laufzeit: 1 Stunde(n), 7 Minute(n), 25 Sekunde(n)

    Infizierte Speicherprozesse: 0
    Infizierte Speichermodule: 0
    Infizierte Registrierungsschlüssel: 0
    Infizierte Registrierungswerte: 0
    Infizierte Dateiobjekte der Registrierung: 0
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 0

    Infizierte Speicherprozesse:
    (Keine bösartigen Objekte gefunden)

    Infizierte Speichermodule:
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungsschlüssel:
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungswerte:
    (Keine bösartigen Objekte gefunden)

    Infizierte Dateiobjekte der Registrierung:
    (Keine bösartigen Objekte gefunden)

    Infizierte Verzeichnisse:
    (Keine bösartigen Objekte gefunden)

    Infizierte Dateien:
    (Keine bösartigen Objekte gefunden)

  • hutzabock
    Anfänger
    Beiträge
    87
    • 15. August 2011 um 14:47
    • #3

    Logfile of random's system information tool 1.09 (written by random/random)
    Run by Administrator at 2011-08-15 14:45:46
    Microsoft Windows XP Professional Service Pack 3
    System drive C: has 55 GB (72%) free of 76 GB
    Total RAM: 3071 MB (59% free)

    Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 14:46:09, on 15.08.2011
    Platform: Windows XP SP3 (WinNT 5.01.2600)

    Einmal editiert, zuletzt von Volkmar (17. Mai 2018 um 16:41)

  • hutzabock
    Anfänger
    Beiträge
    87
    • 15. August 2011 um 15:02
    • #4

    Hallo, da Risit beim ersten Versuch keinen (oder ich hab ihn nicht gefunden) Info.TXT erstellt hat - gelöscht und neu geladen...

  • hutzabock
    Anfänger
    Beiträge
    87
    • 15. August 2011 um 15:03
    • #5

    Logfile of random's system information tool 1.09 (written by random/random)
    Run by Administrator at 2011-08-15 14:59:48
    Microsoft Windows XP Professional Service Pack 3
    System drive C: has 55 GB (72%) free of 76 GB
    Total RAM: 3071 MB (62% free)

    Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 15:00:08, on 15.08.2011
    Platform: Windows XP SP3 (WinNT 5.01.2600)

    Einmal editiert, zuletzt von Volkmar (17. Mai 2018 um 16:41)

  • hutzabock
    Anfänger
    Beiträge
    87
    • 15. August 2011 um 15:03
    • #6

    info.txt logfile of random's system information tool 1.09 2011-08-15 15:00:10

    Einmal editiert, zuletzt von Volkmar (17. Mai 2018 um 16:42)

  • AxT
    Dauergast
    Reaktionen
    2.978
    Beiträge
    33.384
    • 15. August 2011 um 15:05
    • #7

    Man hast du ein Glück - auch da scheint nicht viel passiert zu sein.

    Mach noch mal das hier zur Sicherheit:

    • Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
    • Danach die PPFScan.exe starten.
    • Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
    • Wähle im Untermenü Script laden und ausführen.
    • Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa.
    • Auf Nachfrage Dateien überschreiben lassen.
    • Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.





    Der PPFScanner ist auf Sachen wie SpyEye und diese Abart, die du dir eingefangen hast, spezialisiert. Ich will da auch mal schauen.

  • hutzabock
    Anfänger
    Beiträge
    87
    • 15. August 2011 um 15:11
    • #8

    Hallo AHT,

    schön zu hören, das ich Glück hatte (dachte sowas gibt es bei mir gar nicht)

    Kurze Frage: soll ich erst mit Phase2 weitermachen, wie angekündigt, oder direkt deine weiteren Anweisungen befolgen und mit PPF Scanner weitermachen?

    Lg Hutza

  • AxT
    Dauergast
    Reaktionen
    2.978
    Beiträge
    33.384
    • 15. August 2011 um 15:18
    • #9

    Mach erst meine Sachen, danach Phase zwei. Wollte WhiteNight da auch nicht ins Handwerk pfuschen. Da aber gerade dieser Stye Trojaner auch externe Datenträger befällt, sollte man sicher gehen, dass da nichts ist. Das Ding ist ein Banker (RootKit).

  • hutzabock
    Anfänger
    Beiträge
    87
    • 15. August 2011 um 15:39
    • #10

    ...ok, lass den Scanner gerade laufen...

    ...hab nun im Netz (unter anderem auch bei Euch) einiges über diesen Eye.Stye.N gelesen.

    Viele sagen da ja System neuauflegen, ist die einzige sichere Möglichkeit, stimmt das? Oder bekommen wir das so hin?

    Ich hatte seit der Infektion nur meine SDHC Speicherkarte meiner Kamera am Rechner, soll ich diese Formatieren, oder kann ich die Bilddaten darauf verwenden?

    Muss ich meine Bank informieren?
    Als info: Ich nutze das Tan Generator verfahren, die Banken sagen ja es ist sicher gegen diese "Art" Trojaner.
    Darf man das so glauben?

    ...und nun noch ne ganz blöde Frage, da am gleichen Router auch der Laptop (System is aktuell) meiner Freundin (auch Onlinebanking), und ne PS3 mit dran hängt, soll ich oder muss ich da auch Tätig werden?

    Lg Hutza

    P.S. PPF Scanner läuft noch...

  • hutzabock
    Anfänger
    Beiträge
    87
    • 15. August 2011 um 15:54
    • #11

    ... so, hier nun die gewünschten Links...

    File-Upload.net - Drivers.txt

    File-Upload.net - Eventlog.txt

    File-Upload.net - Files.txt

    File-Upload.net - Firewall.txt

    File-Upload.net - Hidden.txt

    File-Upload.net - MD5.txt

    File-Upload.net - Modules.txt

    File-Upload.net - ppFiles.txt

    File-Upload.net - ppRegistry.txt

    File-Upload.net - Processes.txt

    File-Upload.net - Scripting.txt

    File-Upload.net - Services.txt

    File-Upload.net - Threads.txt

    File-Upload.net - Warnings.txt

  • hutzabock
    Anfänger
    Beiträge
    87
    • 15. August 2011 um 16:11
    • #12

    ...so nun gehts weiter mit Phase 2

    Windowsscan

    File-Upload.net - WS.rtf

    ...was mich hier allerdings sehr verwundert ist, dass unter den "Host" Dateien Seiten sind auf dennen ich niemals war...mhhh....

    ...kann das sein, das dies die geblockten (immunisierten) Seiten von Sbyboot Search and Destroy sind, die da aufgelistet sind?

    Lg Hutza

  • hutzabock
    Anfänger
    Beiträge
    87
    • 15. August 2011 um 16:19
    • #13

    Hi,

    habe ein kleines Problem, ich finde nichts um meinen AV zu deaktivieren?
    Microsoft Security Essentials.

    finde im Taskmanager nix was so klingt...*schäm

    Danke für die Hilfe..

    Lg

  • AxT
    Dauergast
    Reaktionen
    2.978
    Beiträge
    33.384
    • 15. August 2011 um 22:09
    • #14
    Zitat von hutzabock;868293


    ...kann das sein, das dies die geblockten (immunisierten) Seiten von Sbyboot Search and Destroy sind, die da aufgelistet sind?


    Ja, sind geblockte Seiten.
    Melde mich morgen wieder, hab hier noch zwei Rechner mit BKA Trojanern zum Fixen. Was ich mir bislang angesehen habe, sieht OK aus.

  • AxT
    Dauergast
    Reaktionen
    2.978
    Beiträge
    33.384
    • 16. August 2011 um 11:21
    • #15

    Hast Glück gehabt - der Zeus Trojaner ist schon etwas älter. AntiVir hat den erkannt und bei dem Versuch sich zu installieren geblockt.
    Bis auf dieses Mal machst du das eigentlich vollkommen richtig - du surfst mit Sandbox, dir kann da recht wenig passieren.

  • hutzabock
    Anfänger
    Beiträge
    87
    • 17. August 2011 um 09:36
    • #16

    Hi AHT,

    ...also Thread geschlossen und alles OK?

    Freut mich super.....Danke für Eure Hilfe...schön das es Euch gibt.

    Einens würde mich aber noch interessieren, wie bekomme ich meinen AV (Microsoft Security Essentials) abgeschalten?

    Danke nochmal an WhiteKnight und AHT

    Lg Hutza

  • hutzabock
    Anfänger
    Beiträge
    87
    • 17. August 2011 um 09:50
    • #17

    ...und doch noch eine Frage an AHT, wir haben ja schonmal das Windows Gültigkeitstool wegen der AV laufen lassen, in einem anderen Thread,

    der Meldet aber ja schon wieder:

    2.8.2011 11:26 Uhr 0s
    Record #20362
    Computername->C3PO
    Microsoft Antimalware:
    Warning
    Microsoft Antimalware befindet sich in der Karenzzeit und läuft bald ab. Nach Ablauf wird der Schutz vor Viren, Spyware und anderer potenziell unerwünschter Software deaktiviert.

    Grund für den Ablauf: Fehler bei der Echtheitsüberprüfung mit der Windows-Aktivierungstechnologie.

    Ablaufdatum (UTC): 01.09.2011 09:26:00

    Einfach den Echtheitscheck wiederholen, oder neuen AV?
    Wo sehe ich dann das meine Aktion erfolgreich war und wo sehe ich wenn "Er" das nächste Mal zickt?
    Schaltet der dann echt ohne Vorwarnung ab?

    Danke Hutza

  • AxT
    Dauergast
    Reaktionen
    2.978
    Beiträge
    33.384
    • 17. August 2011 um 12:25
    • #18

    Die Echtheitsprüfung darfst du nicht abbrechen. Echtheitscheck wiederholen.
    Ob du einen anderen Scanner nimmst, überlasse ich dir. M$ ist, soweit ich weiß, bei der Erkennungsrate etwas lau, dafür aber sehr zuverlässig.

  • hutzabock
    Anfänger
    Beiträge
    87
    • 17. August 2011 um 13:31
    • #19
    Zitat von AHT;868556

    Die Echtheitsprüfung darfst du nicht abbrechen. Echtheitscheck wiederholen.
    Ob du einen anderen Scanner nimmst, überlasse ich dir. M$ ist, soweit ich weiß, bei der Erkennungsrate etwas lau, dafür aber sehr zuverlässig.

    Wir haben aber doch vor paar Monaten die Echtheitsprüfung gemacht, ich habe da nix abgebrochen, muss ich die nun alle halbe Jahr wiederholen?
    Und wenn ich es vergesse, werd ich erinnert oder wird einfach "abgeschaltet"

    irgendwas stimmt doch da dann nicht, oder?

    Lg Hutza

  • AxT
    Dauergast
    Reaktionen
    2.978
    Beiträge
    33.384
    • 17. August 2011 um 14:24
    • #20

    Wahrscheinlich püft der Scanner das automatisch.
    Du hast um den Zeitpinkt herum auch einige fehlgeschlagene Signaturupdates. Es kann sein, das es Netzwerkprobleme gegeben hat und der Scanner deshalb die Gültigkeitsprüfung nicht korrekt durchführen konnte.
    Beobachte das mal und schau nach, ob es jedes mal vor einem Update diese Meldung gibt (mit aktuellem Datum), oder ob die jetzt wieder fehlt.
    Dieses Script kannst du dafür nehmen:
    https://www.paules-pc-forum.de/forum/hardware…s-auslesen.html

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden

Windows 11

  1. Datenschutzerklärung
  2. Impressum
Community-Software: WoltLab Suite™