Hallo Zusammen - Hallo WhiteKnight
Hier nun der neue Thread, der sich auf diesen:
http://www.paules-pc-forum.de/…-win32-obfuscator-px.html
und seine Vorgeschichte bezieht.
Ich werde, nach und nach Phase1 und Phase2 abarbeiten und hier posten, sollte ich was anderes tun, bitte einfach melden.
So der Anfang mit nem Screen von meinem AV:
Pic-Upload.de - Kostenlos Bilder & Fotos hochladen
Lg Hutza
Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes : Free anti-malware, anti-virus and spyware removal download
Datenbank Version: 7469
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
15.08.2011 14:43:13
mbam-log-2011-08-15 (14-43-13).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|J:\|)
Durchsuchte Objekte: 248886
Laufzeit: 1 Stunde(n), 7 Minute(n), 25 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Logfile of random's system information tool 1.09 (written by random/random)
Run by Administrator at 2011-08-15 14:45:46
Microsoft Windows XP Professional Service Pack 3
System drive C: has 55 GB (72%) free of 76 GB
Total RAM: 3071 MB (59% free)
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14:46:09, on 15.08.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
Hallo, da Risit beim ersten Versuch keinen (oder ich hab ihn nicht gefunden) Info.TXT erstellt hat - gelöscht und neu geladen...
Logfile of random's system information tool 1.09 (written by random/random)
Run by Administrator at 2011-08-15 14:59:48
Microsoft Windows XP Professional Service Pack 3
System drive C: has 55 GB (72%) free of 76 GB
Total RAM: 3071 MB (62% free)
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 15:00:08, on 15.08.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
info.txt logfile of random's system information tool 1.09 2011-08-15 15:00:10
Man hast du ein Glück - auch da scheint nicht viel passiert zu sein.
Mach noch mal das hier zur Sicherheit:
Der PPFScanner ist auf Sachen wie SpyEye und diese Abart, die du dir eingefangen hast, spezialisiert. Ich will da auch mal schauen.
Hallo AHT,
schön zu hören, das ich Glück hatte (dachte sowas gibt es bei mir gar nicht)
Kurze Frage: soll ich erst mit Phase2 weitermachen, wie angekündigt, oder direkt deine weiteren Anweisungen befolgen und mit PPF Scanner weitermachen?
Lg Hutza
Mach erst meine Sachen, danach Phase zwei. Wollte WhiteNight da auch nicht ins Handwerk pfuschen. Da aber gerade dieser Stye Trojaner auch externe Datenträger befällt, sollte man sicher gehen, dass da nichts ist. Das Ding ist ein Banker (RootKit).
...ok, lass den Scanner gerade laufen...
...hab nun im Netz (unter anderem auch bei Euch) einiges über diesen Eye.Stye.N gelesen.
Viele sagen da ja System neuauflegen, ist die einzige sichere Möglichkeit, stimmt das? Oder bekommen wir das so hin?
Ich hatte seit der Infektion nur meine SDHC Speicherkarte meiner Kamera am Rechner, soll ich diese Formatieren, oder kann ich die Bilddaten darauf verwenden?
Muss ich meine Bank informieren?
Als info: Ich nutze das Tan Generator verfahren, die Banken sagen ja es ist sicher gegen diese "Art" Trojaner.
Darf man das so glauben?
...und nun noch ne ganz blöde Frage, da am gleichen Router auch der Laptop (System is aktuell) meiner Freundin (auch Onlinebanking), und ne PS3 mit dran hängt, soll ich oder muss ich da auch Tätig werden?
Lg Hutza
P.S. PPF Scanner läuft noch...
...so nun gehts weiter mit Phase 2
Windowsscan
...was mich hier allerdings sehr verwundert ist, dass unter den "Host" Dateien Seiten sind auf dennen ich niemals war...mhhh....
...kann das sein, das dies die geblockten (immunisierten) Seiten von Sbyboot Search and Destroy sind, die da aufgelistet sind?
Lg Hutza
Hi,
habe ein kleines Problem, ich finde nichts um meinen AV zu deaktivieren?
Microsoft Security Essentials.
finde im Taskmanager nix was so klingt...*schäm
Danke für die Hilfe..
Lg
Zitat von hutzabock;868293
...kann das sein, das dies die geblockten (immunisierten) Seiten von Sbyboot Search and Destroy sind, die da aufgelistet sind?
Ja, sind geblockte Seiten.
Melde mich morgen wieder, hab hier noch zwei Rechner mit BKA Trojanern zum Fixen. Was ich mir bislang angesehen habe, sieht OK aus.
Hast Glück gehabt - der Zeus Trojaner ist schon etwas älter. AntiVir hat den erkannt und bei dem Versuch sich zu installieren geblockt.
Bis auf dieses Mal machst du das eigentlich vollkommen richtig - du surfst mit Sandbox, dir kann da recht wenig passieren.
Hi AHT,
...also Thread geschlossen und alles OK?
Freut mich super.....Danke für Eure Hilfe...schön das es Euch gibt.
Einens würde mich aber noch interessieren, wie bekomme ich meinen AV (Microsoft Security Essentials) abgeschalten?
Danke nochmal an WhiteKnight und AHT
Lg Hutza
...und doch noch eine Frage an AHT, wir haben ja schonmal das Windows Gültigkeitstool wegen der AV laufen lassen, in einem anderen Thread,
der Meldet aber ja schon wieder:
2.8.2011 11:26 Uhr 0s
Record #20362
Computername->C3PO
Microsoft Antimalware:
Warning
Microsoft Antimalware befindet sich in der Karenzzeit und läuft bald ab. Nach Ablauf wird der Schutz vor Viren, Spyware und anderer potenziell unerwünschter Software deaktiviert.
Grund für den Ablauf: Fehler bei der Echtheitsüberprüfung mit der Windows-Aktivierungstechnologie.
Ablaufdatum (UTC): 01.09.2011 09:26:00
Einfach den Echtheitscheck wiederholen, oder neuen AV?
Wo sehe ich dann das meine Aktion erfolgreich war und wo sehe ich wenn "Er" das nächste Mal zickt?
Schaltet der dann echt ohne Vorwarnung ab?
Danke Hutza
Die Echtheitsprüfung darfst du nicht abbrechen. Echtheitscheck wiederholen.
Ob du einen anderen Scanner nimmst, überlasse ich dir. M$ ist, soweit ich weiß, bei der Erkennungsrate etwas lau, dafür aber sehr zuverlässig.
Zitat von AHT;868556Die Echtheitsprüfung darfst du nicht abbrechen. Echtheitscheck wiederholen.
Ob du einen anderen Scanner nimmst, überlasse ich dir. M$ ist, soweit ich weiß, bei der Erkennungsrate etwas lau, dafür aber sehr zuverlässig.
Wir haben aber doch vor paar Monaten die Echtheitsprüfung gemacht, ich habe da nix abgebrochen, muss ich die nun alle halbe Jahr wiederholen?
Und wenn ich es vergesse, werd ich erinnert oder wird einfach "abgeschaltet"
irgendwas stimmt doch da dann nicht, oder?
Lg Hutza
Wahrscheinlich püft der Scanner das automatisch.
Du hast um den Zeitpinkt herum auch einige fehlgeschlagene Signaturupdates. Es kann sein, das es Netzwerkprobleme gegeben hat und der Scanner deshalb die Gültigkeitsprüfung nicht korrekt durchführen konnte.
Beobachte das mal und schau nach, ob es jedes mal vor einem Update diese Meldung gibt (mit aktuellem Datum), oder ob die jetzt wieder fehlt.
Dieses Script kannst du dafür nehmen:
http://www.paules-pc-forum.de/…von-windows-auslesen.html
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!