| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Spyeye - was nun?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
17.08.2011, 21:15
| #1 |
| |  Spyeye - was nun? Hallo liebe Foren-Gemeinde. Ich bin neu hier und habe bereits die Suchfunktion benutzt, habe aber keine konkrete Antwort auf meine Fragen gefunden. Ich muss ein bisschen ausholen, damit man mir besser folgen kann. Eigens für Facebook habe ich mir eine eMail-Adresse angelegt, die ich sonst nirgends angegeben habe. Aus diesem Grund checke ich dort eher selten die eMails. Heute war es mal wieder soweit und mir fiel eine eMail auf, die von GMX stammt. Ich habe sie etwas abgekürzt: [...]Ihr Account: xx@gmx.de Unsere Referenz: [Ticket xx] Hinweis: Ihr Name in der Anrede zeigt Ihnen, dass diese Nachricht tatsächlich von GMX verschickt wurde. Sehr geehrte/r Frau xx, Sie erhalten heute eine dringende Nachricht zu Ihrem GMX Account xx@gmx.de und der Sicherheit Ihrer persönlichen Daten. Unser Team von Sicherheitsexperten hat zwei wichtige Informationen für Sie: - Ein Virus hat das Passwort zu Ihrem GMX Account ausgespäht. - Dieser Virus heißt "spyeye" und befindet sich wahrscheinlich auf Ihrem Computer. [...] Die eMail ist fast eine Woche alt. Kann dieser Virus bereits etwas an meinem Rechner gemacht haben? Ich habe kaum Ahnung von Viren und Trojanern, aber ich lasse regelmäßig meinen PC über AntiVir checken. Momentan läuft AntiVir noch und ich habe bereits 9 Funde (!) Ich bin gerade total verunsichert und habe sämtliche Passwörter geändert (außer für das Online-Banking, da die Bank natürlich geschlossen hat). Aber bringt das etwas? Der PC ist ja bereits infiziert. Muss ich den PC vorher formatieren? Mein Partner und ich teilen uns diesen Rechner. Ist sein Online-Banking dann auch gefährdet? Wie merke ich, ob meine Daten gestohlen worden sind? Ich werde den Fund gleich genauer posten. Braucht ihr auch sowas wie eine Log-File? Wie erstelle ich die? Wie gesagt, ich kenne mich wirklich kaum aus. Brauche etwas Beruhigung, deswegen dieser vorläufige Post. Lieben Gruß, Mel EDIT: Hier das Protokoll: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Mittwoch, 17. August 2011 21:18 Es wird nach 3259297 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 Windowsversion : (Service Pack 1) [6.1.7601] Boot Modus : Normal gebootet Benutzername : Meli Computername : SAMSUNG Versionsinformationen: BUILD.DAT : 10.2.0.700 Bytes 21.07.2011 16:49:00 AVSCAN.EXE : 10.3.0.7 484008 Bytes 28.06.2011 15:45:13 AVSCAN.DLL : 10.0.5.0 57192 Bytes 28.06.2011 15:45:13 LUKE.DLL : 10.3.0.5 45416 Bytes 28.06.2011 15:45:14 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47 AVSCPLR.DLL : 10.3.0.7 119656 Bytes 28.06.2011 15:45:14 AVREG.DLL : 10.3.0.9 88833 Bytes 16.07.2011 18:44:35 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 15:17:45 VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 20:44:16 VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 15:18:14 VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 21:07:30 VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 18:20:01 VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 19:17:37 VBASE007.VDF : 7.11.13.61 2048 Bytes 16.08.2011 19:17:37 VBASE008.VDF : 7.11.13.62 2048 Bytes 16.08.2011 19:17:37 VBASE009.VDF : 7.11.13.63 2048 Bytes 16.08.2011 19:17:37 VBASE010.VDF : 7.11.13.64 2048 Bytes 16.08.2011 19:17:37 VBASE011.VDF : 7.11.13.65 2048 Bytes 16.08.2011 19:17:37 VBASE012.VDF : 7.11.13.66 2048 Bytes 16.08.2011 19:17:37 VBASE013.VDF : 7.11.13.95 166400 Bytes 17.08.2011 19:17:37 VBASE014.VDF : 7.11.13.96 2048 Bytes 17.08.2011 19:17:37 VBASE015.VDF : 7.11.13.97 2048 Bytes 17.08.2011 19:17:37 VBASE016.VDF : 7.11.13.98 2048 Bytes 17.08.2011 19:17:37 VBASE017.VDF : 7.11.13.99 2048 Bytes 17.08.2011 19:17:37 VBASE018.VDF : 7.11.13.100 2048 Bytes 17.08.2011 19:17:37 VBASE019.VDF : 7.11.13.101 2048 Bytes 17.08.2011 19:17:38 VBASE020.VDF : 7.11.13.102 2048 Bytes 17.08.2011 19:17:38 VBASE021.VDF : 7.11.13.103 2048 Bytes 17.08.2011 19:17:38 VBASE022.VDF : 7.11.13.104 2048 Bytes 17.08.2011 19:17:38 VBASE023.VDF : 7.11.13.105 2048 Bytes 17.08.2011 19:17:38 VBASE024.VDF : 7.11.13.106 2048 Bytes 17.08.2011 19:17:38 VBASE025.VDF : 7.11.13.107 2048 Bytes 17.08.2011 19:17:38 VBASE026.VDF : 7.11.13.108 2048 Bytes 17.08.2011 19:17:38 VBASE027.VDF : 7.11.13.109 2048 Bytes 17.08.2011 19:17:38 VBASE028.VDF : 7.11.13.110 2048 Bytes 17.08.2011 19:17:38 VBASE029.VDF : 7.11.13.111 2048 Bytes 17.08.2011 19:17:38 VBASE030.VDF : 7.11.13.112 2048 Bytes 17.08.2011 19:17:38 VBASE031.VDF : 7.11.13.117 70656 Bytes 17.08.2011 19:17:38 Engineversion : 8.2.6.32 AEVDF.DLL : 8.1.2.1 106868 Bytes 09.12.2010 18:17:50 AESCRIPT.DLL : 8.1.3.74 1622393 Bytes 17.08.2011 19:17:42 AESCN.DLL : 8.1.7.2 127349 Bytes 09.12.2010 18:17:50 AESBX.DLL : 8.2.1.34 323957 Bytes 04.06.2011 21:07:38 AERDL.DLL : 8.1.9.13 639349 Bytes 16.07.2011 18:44:34 AEPACK.DLL : 8.2.9.5 676214 Bytes 16.07.2011 18:44:33 AEOFFICE.DLL : 8.1.2.13 201083 Bytes 17.08.2011 19:17:41 AEHEUR.DLL : 8.1.2.155 3617144 Bytes 17.08.2011 19:17:41 AEHELP.DLL : 8.1.17.7 254327 Bytes 17.08.2011 19:17:39 AEGEN.DLL : 8.1.5.7 401778 Bytes 17.08.2011 19:17:39 AEEMU.DLL : 8.1.3.0 393589 Bytes 09.12.2010 18:17:50 AECORE.DLL : 8.1.22.4 196983 Bytes 16.07.2011 18:44:28 AEBB.DLL : 8.1.1.0 53618 Bytes 09.12.2010 18:17:50 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10 AVPREF.DLL : 10.0.3.2 44904 Bytes 28.06.2011 15:45:13 AVREP.DLL : 10.0.0.10 174120 Bytes 20.05.2011 15:18:15 AVARKT.DLL : 10.0.26.1 255336 Bytes 28.06.2011 15:45:13 AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 28.06.2011 15:45:13 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55 RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 28.06.2011 15:45:13 RCTEXT.DLL : 10.0.64.0 98664 Bytes 28.06.2011 15:45:13 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Lokale Laufwerke Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\alldrives.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, E:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Intelligente Dateiauswahl Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Beginn des Suchlaufs: Mittwoch, 17. August 2011 21:18 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NPSAgent.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PDVD8Serv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! [INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! [INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! [INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: C:\Users\Meli\AppData\Roaming\Tuet\xoukx.exe [FUND] Ist das Trojanische Pferd TR/Gendal.kdv.299945 C:\sdhifshdhfj\E449B406CC7.exe [FUND] Ist das Trojanische Pferd TR/EyeStye.N.1289 Die Registry wurde durchsucht ( '500' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\sdhifshdhfj\E449B406CC7.exe [FUND] Ist das Trojanische Pferd TR/EyeStye.N.1289 C:\Users\Meli\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0\43296140-33b039e3 [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Tharr.C.1 C:\Users\Meli\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23\5ab40f57-25b519ce [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Tharra.G C:\Users\Meli\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27\7061701b-3b1af469 [0] Archivtyp: ZIP --> vload.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Stutter.J --> vmain.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Stutter.I --> b.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0094.D C:\Users\Meli\AppData\Roaming\Tuet\xoukx.exe [FUND] Ist das Trojanische Pferd TR/Gendal.kdv.299945 Beginne mit der Suche in 'D:\' Beginne mit der Suche in 'E:\' Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden! Systemfehler [21]: Das Gerät ist nicht bereit. Beginne mit der Desinfektion: C:\Users\Meli\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27\7061701b-3b1af469 [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0094.D [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b87897f.qua' verschoben! C:\Users\Meli\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23\5ab40f57-25b519ce [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Tharra.G [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '533ca6e9.qua' verschoben! C:\Users\Meli\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0\43296140-33b039e3 [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Tharr.C.1 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '01b3fc33.qua' verschoben! C:\sdhifshdhfj\E449B406CC7.exe [FUND] Ist das Trojanische Pferd TR/EyeStye.N.1289 [HINWEIS] Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\0A6VZJ5HYGZD4DZBBBENAIWJA> wurde erfolgreich repariert. [HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2339853823-2107313754-116825072-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\0A6VZJ5HYGZD4DZBBBENAIWJA> wurde erfolgreich repariert. [HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden! [HINWEIS] Die Datei existiert nicht! C:\Users\Meli\AppData\Roaming\Tuet\xoukx.exe [FUND] Ist das Trojanische Pferd TR/Gendal.kdv.299945 [HINWEIS] Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{64F225C3-EECD-569A-6BAA-ABB946DB2FEB}> wurde erfolgreich repariert. [HINWEIS] Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xoukx.exe> wurde erfolgreich repariert. [HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2339853823-2107313754-116825072-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{64F225C3-EECD-569A-6BAA-ABB946DB2FEB}> wurde erfolgreich repariert. [HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2339853823-2107313754-116825072-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xoukx.exe> wurde erfolgreich repariert. [HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden! [HINWEIS] Die Datei existiert nicht! Ende des Suchlaufs: Mittwoch, 17. August 2011 22:56 Benötigte Zeit: 1:37:04 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 30071 Verzeichnisse wurden überprüft 736144 Dateien wurden geprüft 9 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 3 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 736135 Dateien ohne Befall 9919 Archive wurden durchsucht 0 Warnungen 5 Hinweise Geändert von mel2602 (17.08.2011 um 21:58 Uhr) Grund: Nachtrag |
| Themen zu Spyeye - was nun? |
| antivir, besser, brauch, e-banking, folge, formatieren, formatieren?, frage, fragen, geändert, gmx, gmx.de, infiziert., log-file, neu, nt.dll, online-banking, passwort, passwörter, rechner, sicherheit, sicherheitsexperten, tan, taskhost.exe, total, trojaner, trojanern, verschickt, verweise, viren, virus, virus gefunden, wirklich |
Baum-Darstellung