Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner:Crypt.EPAC.Gen2, Spy.SpyEyes.isk, ... - Online-Banking gesperrt

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 22.06.2011, 23:08   #1
hohlespferd
 
Trojaner:Crypt.EPAC.Gen2, Spy.SpyEyes.isk, ... - Online-Banking gesperrt - Standard

Trojaner:Crypt.EPAC.Gen2, Spy.SpyEyes.isk, ... - Online-Banking gesperrt



Vorneweg: Ich möchte mich für das Crossposting entschuldigen, aber ich habe zu spät gelesen, dass man nach Problemvorstellung auf seine eigenen Threads nicht antworten soll, weil sonst angenommen wird, dass das Thema bereits in Bearbeitung ist. Ich habe zwar nicht "Pushen" wollen, habe jedoch die Logfiles in einzelne Posts gegliedert, sodass schon durch mich 6 Antworten vorhanden sind.
Leider ist es sehr dringlich und deshalb wollte ich es nicht riskieren, dass das Thema fälschlicher Weise übersehen wird.

---

Ich wurde von meiner Bekannten um Hilfe gebeten, weil deren Online-Banking Konto von der Bank gesperrt wurde, aufgrund des Verdachts auf eine Infektion des Systems.

Das System läuft an sich stabil, die CPU-Auslastung ist normal, stutzig machte mich, dass scheinbar kein Antivirenprogramm installiert war (meine Bekannte konnte nicht sagen, warum).

Ich habe mit der ct' Desinfect CD 2011 mal Avira laufen lassen und der hat einiges gefunden.

TR/Crypt.EPACK.Gen2
TR/Luser.B
TR/Spy.SpyEyes.isk
TR/Diple.qrr
TR/Diple.rtc
TR/Diple.rrp
TR/VBKrypt.drff
APPL/HideWindows.31232

In den folgenden Postings werde ich folgende Logfiles posten:

1. ct' Desinfect 2011 Avira
2. defogger
3. OTL
4. Extras
5. Gmer

Ich danke schon vorab herzlichst für kommende Unterstützung und hoffe, dass wir das gemeinsam in den Griff bekommen!

hohlespferd

Alt 23.06.2011, 09:52   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner:Crypt.EPAC.Gen2, Spy.SpyEyes.isk, ... - Online-Banking gesperrt - Standard

Trojaner:Crypt.EPAC.Gen2, Spy.SpyEyes.isk, ... - Online-Banking gesperrt



Zitat:
weil deren Online-Banking Konto von der Bank gesperrt wurde, aufgrund des Verdachts auf eine Infektion des Systems.
Bei Onlinebanking solltest du generell sehr vorsichtig sein und überlegen ob du den Kompromiss einer Bereinigung wirklich eingehen willst.
Normalerweise empfiehlt man bei sowas eine Neuinstallation von Windows.
__________________

__________________

Alt 23.06.2011, 10:15   #3
hohlespferd
 
Trojaner:Crypt.EPAC.Gen2, Spy.SpyEyes.isk, ... - Online-Banking gesperrt - Standard

Trojaner:Crypt.EPAC.Gen2, Spy.SpyEyes.isk, ... - Online-Banking gesperrt



Hallo cosinus!

Das habe ich auch schon überlegt, ich werde es mal mit denen besprechen. Was sagt denn die Erfahrung, ist eine manuelle Reinigung nie 100% abdeckend? Versuchen könnte man es doch, oder?

Leider habe ich zu den genannten Schädlingen keine nennenstwerte Anleitung gefunden. Manchmal gibt es die ja, weil die Schädlinge immer nach dem gleichen Prinzip Dateien verändern, anlegen usw. Hier aber bräuchte ich wohl mal Profirat ;-)
__________________

Alt 23.06.2011, 10:27   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner:Crypt.EPAC.Gen2, Spy.SpyEyes.isk, ... - Online-Banking gesperrt - Standard

Trojaner:Crypt.EPAC.Gen2, Spy.SpyEyes.isk, ... - Online-Banking gesperrt



Zitat:
Was sagt denn die Erfahrung, ist eine manuelle Reinigung nie 100% abdeckend? Versuchen könnte man es doch, oder?
Ein Restrisiko gibt es immer
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 23.06.2011, 10:31   #5
hohlespferd
 
Trojaner:Crypt.EPAC.Gen2, Spy.SpyEyes.isk, ... - Online-Banking gesperrt - Standard

Trojaner:Crypt.EPAC.Gen2, Spy.SpyEyes.isk, ... - Online-Banking gesperrt



Das sehe ich ein. Ich würde es dennoch probieren. Es sollte doch möglich sein, am Ende mit etlichen Scannern einen Suchlauf zu starten (z.B: per Desinfect) und dann relativ sicher sagen zu können, dass das System Keimfrei ist.


Alt 23.06.2011, 10:35   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner:Crypt.EPAC.Gen2, Spy.SpyEyes.isk, ... - Online-Banking gesperrt - Standard

Trojaner:Crypt.EPAC.Gen2, Spy.SpyEyes.isk, ... - Online-Banking gesperrt



Ok. Dann Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!
__________________
--> Trojaner:Crypt.EPAC.Gen2, Spy.SpyEyes.isk, ... - Online-Banking gesperrt

Alt 23.06.2011, 12:05   #7
hohlespferd
 
Trojaner:Crypt.EPAC.Gen2, Spy.SpyEyes.isk, ... - Online-Banking gesperrt - Standard

Trojaner:Crypt.EPAC.Gen2, Spy.SpyEyes.isk, ... - Online-Banking gesperrt



Ok. Mamb ist gerade fertig geworden. Das logfile gezippt im Anhang.

Alt 23.06.2011, 12:23   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner:Crypt.EPAC.Gen2, Spy.SpyEyes.isk, ... - Online-Banking gesperrt - Standard

Trojaner:Crypt.EPAC.Gen2, Spy.SpyEyes.isk, ... - Online-Banking gesperrt



Zitat:
-> No action taken.
Die Funde müssen mit Malwarebytes entfernt waren! Bitte nachholen falls noch nicht getan!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 23.06.2011, 12:38   #9
hohlespferd
 
Trojaner:Crypt.EPAC.Gen2, Spy.SpyEyes.isk, ... - Online-Banking gesperrt - Standard

Trojaner:Crypt.EPAC.Gen2, Spy.SpyEyes.isk, ... - Online-Banking gesperrt



Laut Malwarebytes wurden alle Infekte erfolgreich entfernt.
Siehe Logfile.

Kleines Update: Meine Bekannte teilte mir gerade mit, dass wenn man Opera startet, nicht Oper ausgeführt wird, sondern der Internet Explorer. Zurzeit verwende ich Firefox.

Alt 23.06.2011, 12:45   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner:Crypt.EPAC.Gen2, Spy.SpyEyes.isk, ... - Online-Banking gesperrt - Standard

Trojaner:Crypt.EPAC.Gen2, Spy.SpyEyes.isk, ... - Online-Banking gesperrt



Dann mach bitte ein neues OTL-Log:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 23.06.2011, 12:56   #11
hohlespferd
 
Trojaner:Crypt.EPAC.Gen2, Spy.SpyEyes.isk, ... - Online-Banking gesperrt - Standard

Trojaner:Crypt.EPAC.Gen2, Spy.SpyEyes.isk, ... - Online-Banking gesperrt



Gesagt, getan.

Die Erscheinung mit Opera und Internet Explorer ist übrigens seit dem Entfernen mit Malwarebytes passé.

Geändert von hohlespferd (23.06.2011 um 12:57 Uhr) Grund: Computernamen durch *** ersetzt.

Alt 23.06.2011, 13:13   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner:Crypt.EPAC.Gen2, Spy.SpyEyes.isk, ... - Online-Banking gesperrt - Standard

Trojaner:Crypt.EPAC.Gen2, Spy.SpyEyes.isk, ... - Online-Banking gesperrt



Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.08.16 00:24:01 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{f35192c8-ed1a-11dd-819a-001966497fcd}\Shell - "" = AutoRun
O33 - MountPoints2\{f35192c8-ed1a-11dd-819a-001966497fcd}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{f35192c8-ed1a-11dd-819a-001966497fcd}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a
@Alternate Data Stream - 24 bytes -> C:\WINDOWS:1520CB7BD81C1607
@Alternate Data Stream - 229 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:8FF81EB0
:Commands
[purity]
[resethosts]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 23.06.2011, 13:24   #13
hohlespferd
 
Trojaner:Crypt.EPAC.Gen2, Spy.SpyEyes.isk, ... - Online-Banking gesperrt - Standard

Trojaner:Crypt.EPAC.Gen2, Spy.SpyEyes.isk, ... - Online-Banking gesperrt



Ok, gesagt, getan. Hier das Logfile. Ein Neustart war nicht erforderlich.

Alt 23.06.2011, 14:34   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner:Crypt.EPAC.Gen2, Spy.SpyEyes.isk, ... - Online-Banking gesperrt - Standard

Trojaner:Crypt.EPAC.Gen2, Spy.SpyEyes.isk, ... - Online-Banking gesperrt



Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 23.06.2011, 15:53   #15
hohlespferd
 
Trojaner:Crypt.EPAC.Gen2, Spy.SpyEyes.isk, ... - Online-Banking gesperrt - Standard

Trojaner:Crypt.EPAC.Gen2, Spy.SpyEyes.isk, ... - Online-Banking gesperrt



Hier das Log vom TDSSKiller. Scheinbar hat er nichts gefunden.

Geändert von hohlespferd (23.06.2011 um 15:57 Uhr) Grund: Computernamen durch *** ersetzt.

Antwort

Themen zu Trojaner:Crypt.EPAC.Gen2, Spy.SpyEyes.isk, ... - Online-Banking gesperrt
antivirenprogramm, antworten, avira, bearbeitung, cpu-auslastung, desinfect, e-banking, einzelne, folge, folgende, gesperrt, griff, infektion, installiert, konto, laufen, logfiles, online-banking, posten, programm, schei, thema, threads, trojaner, unterstützung, vorhanden, warum, worte



Ähnliche Themen: Trojaner:Crypt.EPAC.Gen2, Spy.SpyEyes.isk, ... - Online-Banking gesperrt


  1. Online-Banking-Account gesperrt - Verdacht auf Trojaner
    Plagegeister aller Art und deren Bekämpfung - 06.09.2015 (25)
  2. Sparkassen-Trojaner - Online Banking gesperrt
    Plagegeister aller Art und deren Bekämpfung - 22.07.2013 (33)
  3. Sparkasse hat das Online-Banking gesperrt, Hinweis: Trojaner
    Log-Analyse und Auswertung - 24.05.2013 (12)
  4. Online Banking gesperrt durch Trojaner
    Plagegeister aller Art und deren Bekämpfung - 28.12.2012 (3)
  5. Trojaner-Online Banking gesperrt
    Plagegeister aller Art und deren Bekämpfung - 04.09.2012 (1)
  6. Online-Banking gesperrt wegen torpig-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 09.02.2012 (22)
  7. Online-Banking gesperrt : Verdacht auf Trojaner
    Plagegeister aller Art und deren Bekämpfung - 03.02.2012 (27)
  8. Trojaner TR/Dropper.Gen bzw. Trojan.SpyEyes.R bei Online-Banking Sparkasse
    Log-Analyse und Auswertung - 27.08.2011 (28)
  9. 2. Strang (alter PC): Trojaner TR/Dropper.Gen bzw. Trojan.SpyEyes.R bei Online-Banking Sparkasse
    Log-Analyse und Auswertung - 24.08.2011 (3)
  10. trojaner an bord! online-banking gesperrt
    Plagegeister aller Art und deren Bekämpfung - 26.07.2011 (25)
  11. Online Banking Volksbank gesperrt, wegen Trojaner !
    Plagegeister aller Art und deren Bekämpfung - 15.07.2011 (1)
  12. Ebenfalls Trojaner an Bord - Online-banking gesperrt
    Plagegeister aller Art und deren Bekämpfung - 13.07.2011 (11)
  13. trojaner an bord! online-banking gesperrt
    Plagegeister aller Art und deren Bekämpfung - 30.06.2011 (33)
  14. TR/Jorik.SpyEyes.nb, Online-Banking betroffen
    Log-Analyse und Auswertung - 24.05.2011 (3)
  15. Online-Banking gesperrt. Trojaner hat Zugangsdaten abgefangen.
    Plagegeister aller Art und deren Bekämpfung - 18.11.2010 (22)
  16. Online-Banking gesperrt - Trojaner Gozi?
    Plagegeister aller Art und deren Bekämpfung - 15.11.2010 (18)
  17. Gozi-Trojaner Online Banking gesperrt
    Plagegeister aller Art und deren Bekämpfung - 04.11.2010 (8)

Zum Thema Trojaner:Crypt.EPAC.Gen2, Spy.SpyEyes.isk, ... - Online-Banking gesperrt - Vorneweg: Ich möchte mich für das Crossposting entschuldigen, aber ich habe zu spät gelesen, dass man nach Problemvorstellung auf seine eigenen Threads nicht antworten soll, weil sonst angenommen wird, dass - Trojaner:Crypt.EPAC.Gen2, Spy.SpyEyes.isk, ... - Online-Banking gesperrt...
Archiv
Du betrachtest: Trojaner:Crypt.EPAC.Gen2, Spy.SpyEyes.isk, ... - Online-Banking gesperrt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.