Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Spyeye Befall Rechner A - Neuinstallation über Rechner B

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 16.10.2011, 18:11   #1
tweekzter
 
Spyeye Befall Rechner A - Neuinstallation über Rechner B - Standard

Spyeye Befall Rechner A - Neuinstallation über Rechner B



Hi Leute!

Szenario:
Rechner A wurde von Spyeye befallen. Denke, dass ich alles runterbekommen habe, aber um 100% sicher zu gehen würde ich gerne folgend vorgehen.

Auf Rechner B Ubuntu downloaden - brennen. Daten auf Rechner A mit Ubuntu live sichern. Neuinstallation.

Da Rechner B zuvor aber ziemlich lieblos behandelt wurde (sprich: wohl ein mehrfaches Malware-Opfer war) danach aber platt gemacht wurde und recht so gut wie nie benutzt wird (Virenschutz, Updates und Firewall sind nun up), wäre es dennoch besser, wenn mir erfahrene User das System nochmal checken könnten.

Dazu hier das GMER - Log:
GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-10-04 13:33:32
Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 SAMSUNG_HM100JC rev.YN100-08
Running: 44q4jub5.exe; Driver: C:\DOKUME~1\JOHNDO~1\LOKALE~1\Temp\axlyapog.sys


---- System - GMER 1.0.15 ----

SSDT  BA7CA2AC                                ZwClose
SSDT  BA7CA266                                ZwCreateKey
SSDT  BA7CA2B6                                ZwCreateSection
SSDT  BA7CA25C                                ZwCreateThread
SSDT  BA7CA26B                                ZwDeleteKey
SSDT  BA7CA275                                ZwDeleteValueKey
SSDT  BA7CA2A7                                ZwDuplicateObject
SSDT  BA7CA27A                                ZwLoadKey
SSDT  BA7CA248                                ZwOpenProcess
SSDT  BA7CA24D                                ZwOpenThread
SSDT  BA7CA284                                ZwReplaceKey
SSDT  BA7CA27F                                ZwRestoreKey
SSDT  BA7CA2BB                                ZwSetContextThread
SSDT  BA7CA270                                ZwSetValueKey
SSDT  BA7CA257                                ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

init  C:\WINDOWS\system32\drivers\tifm21.sys  entry point in "init" section [0xB9BB0DBF]

---- EOF - GMER 1.0.15 ----
         
--- --- ---



Später poste ich noch den Log von Rechner A da ich noch gerne wüsste, ob ich den MBR unangetastet lassen kann.

Vielen Dank schon mal!

PS: Malwarebytes bescheinigte übrigens auf beiden Rechnern keinen Befall.

Geändert von tweekzter (16.10.2011 um 18:17 Uhr)

Alt 17.10.2011, 16:30   #2
markusg
/// Malware-holic
 
Spyeye Befall Rechner A - Neuinstallation über Rechner B - Standard

Spyeye Befall Rechner A - Neuinstallation über Rechner B



nen otl von rechner b wäre schon besser, aber wenn du die daten von rechner a nicht unter rechner b öffnest, dann geht das schon.
wenn du willst erkläre ich dir, wie du beide pcs in zukunft vernünftig absicherst.
__________________

__________________

Alt 19.10.2011, 10:19   #3
tweekzter
 
Spyeye Befall Rechner A - Neuinstallation über Rechner B - Standard

Spyeye Befall Rechner A - Neuinstallation über Rechner B



So, danke erst mal für deine Antwort.

Mittlerweile habe ich auch den befallenen Rechner mit GMER überprüft. Hierbei ergab der Scan überhaupt kein Resultat - es wurde mit der Meldung beendet, dass eben nichts gefunden werden konnte, das Log selbst war leer.

Zur grundsätzlichen Situation und dem Beweggrund warum ich nur GMER verwende sollte ich vielleicht anmerken, dass Rechner B wie erwähnt vor kurzem platt gemacht wurde, aber ohne MBR-format, deswegen wollte ich nur überprüfen ob der MBR nicht auch befallen war.

Auf Rechner A lies ich schon einiges laufen... Malwarebytes, der auch anfangs Spyeye entfernte (AntiVir machte mich darauf aufmerksam, vermochte es allerdings nicht alles zu löschen, da ich im Taskmanager einen Fake-Prozess fand ging ich dann eben zu Malwarebytes über), nochmals Malwarebytes (diesmal clean), Combofix (ohne Ergebnis) usw. Nun geht es darum ob auch hier der MBR in Ordnung ist oder nicht -> deswegen GMER, ansonsten muss ich den MBR ja nicht mit formatieren, richtig?

Die grundsätzliche Frage also:
Ist der MBR von Rechner B befallen (kann ich dort Ubuntu für das Sichern der Daten auf Rechner A brennen)?
__________________

Alt 19.10.2011, 10:49   #4
markusg
/// Malware-holic
 
Spyeye Befall Rechner A - Neuinstallation über Rechner B - Standard

Spyeye Befall Rechner A - Neuinstallation über Rechner B



nein spyeye befällt den mbr nicht.
du kannst ihn natürlich, wenn dir das lieber ist, neu schreiben.
aber gegen das datensichern bzw brennen ist nichts einzuwenden.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 19.10.2011, 11:26   #5
tweekzter
 
Spyeye Befall Rechner A - Neuinstallation über Rechner B - Standard

Spyeye Befall Rechner A - Neuinstallation über Rechner B



Dankeschön!

Der Punkt ist einzig der, ich traue mir zu mein System nicht monatlich zu infizieren / zuzumüllen, daher würde ich gerne zgunsten der Performance auf eine vergelcihsweise komplette Abschottung, wie ich sie schon oft an anderer Stelle "gelesen" habe, verzichten.
Updates sind logisch (vor Internetverbindung), Firewall, Antiviren Software (evtl Norton anstatt Antivir, da dieser einer der wenigen war, der meine Spyeye Variante erkannte) und unter Umständen eine Sandbox für den Browser könnte ich mir vorstellen.

Weitere Anregungen/Optimierungsvorschläge sind gerne gesehen.


Alt 19.10.2011, 11:48   #6
markusg
/// Malware-holic
 
Spyeye Befall Rechner A - Neuinstallation über Rechner B - Standard

Spyeye Befall Rechner A - Neuinstallation über Rechner B



hi, anstelle von norton, nimm lieber emsisoft. die haben bessere signaturen, und ne wesendlich bessere verhaltensanalyse.
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware

wenn du diese tipps:
http://www.trojaner-board.de/96344-a...-rechners.html
umsetzt, wirst du kaum mehr ram verbrauch haben als vorher.
also windows 7, allgemeines, aus xp, noch dep aktivieren, und, wenn du onlinebanking machst, dann diesen abschnitt ebenfalls lesen.
als browser würde ich auf opera setzen, deswegen schreib ich die Sandboxie anleitung erst mal für opera.
Download:
Sandbox*Einstellungen |
(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. lebenslang gültige lizenz die du auf allen deinen pcs nutzen kannst!
2. kannst du erzwungende programmstarts festlegen, heißt, alle browser zb starten immer in der sandbox.
so musst du immer auf "sandboxed web browser" klicken.
wegen zu müllen, achte drauf was du im autostart hast, dass ist bei den meisten zu viel häufig.
opera spart dir zb auch gleich mal mindestens 100 mb ram gegenüber firefox.
emsisoft braucht nicht viel mehr als avira, sandboxie auch kaum 800 kb.
wenn du nicht 2 update checker haben willst, dann nimm halt nur einen, aber einen solltest du auf jeden fall zur unterstützung nutzen.
und wichtig, backup programm, dann sparst dir beim nächsten mal viel arbeit.
__________________
--> Spyeye Befall Rechner A - Neuinstallation über Rechner B

Antwort

Themen zu Spyeye Befall Rechner A - Neuinstallation über Rechner B
100%, befall, c:\windows, checken, code, driver, firewall, folge, gmer, harddisk, ide, leute, live, log, neuinstallation, rechner, scan, schutz, service pack 2, system, system32, temp, ubuntu, updates, virenschutz



Ähnliche Themen: Spyeye Befall Rechner A - Neuinstallation über Rechner B


  1. Befall mit TR/BProtector.Gen auf Windows 7 64-bit Rechner
    Log-Analyse und Auswertung - 10.02.2014 (7)
  2. Nach Neuinstallation von Win XP - Rechner startet anscheinend von fremder Festplatte
    Plagegeister aller Art und deren Bekämpfung - 31.08.2013 (1)
  3. Rechner surft "selbständig" nicht existierende Seiten an, Mahnschreiben Telekom über Hackingversuche von diesem Rechner aus
    Plagegeister aller Art und deren Bekämpfung - 26.07.2013 (7)
  4. Der Rechbaran seinen Rechner, da der Rechner von einem Virus "Zahlundsaufforderung angeblich von der GVU" hat den Rechner
    Plagegeister aller Art und deren Bekämpfung - 30.04.2013 (2)
  5. Trojaner Befall Firmen Rechner Neuinstallation wird abgelehnt
    Antiviren-, Firewall- und andere Schutzprogramme - 20.11.2012 (11)
  6. ZeroAccess Rootkit auf Win XP PC - weitere Rechner befallen? Komplette Neuinstallation geplant..
    Plagegeister aller Art und deren Bekämpfung - 27.10.2012 (8)
  7. hrt54is56ijfgte Befall auf Vista Rechner
    Plagegeister aller Art und deren Bekämpfung - 21.01.2012 (7)
  8. SpyEye-Virus auf dem Rechner
    Plagegeister aller Art und deren Bekämpfung - 11.07.2011 (13)
  9. Rechner vermutlich mit SPYEYE oder ZEUS 2 befallen
    Log-Analyse und Auswertung - 06.07.2011 (16)
  10. SpyEye auf dem Rechner - Ist der Versuch einer Bereinigung sinnhaft
    Diskussionsforum - 10.04.2011 (11)
  11. Gozi im Netzwerk. Neuinstallation aller Rechner notwendig?
    Plagegeister aller Art und deren Bekämpfung - 15.11.2010 (3)
  12. Rechner mit Palevo-Wurm infeziert - Neuinstallation notwendig?
    Log-Analyse und Auswertung - 09.05.2010 (3)
  13. Ah VirusMein Rechner hängt sich bei der Windows Neuinstallation auf
    Plagegeister aller Art und deren Bekämpfung - 13.02.2009 (2)
  14. Rechner/Laptop verseucht? Neuinstallation nötig?
    Plagegeister aller Art und deren Bekämpfung - 02.09.2008 (15)
  15. hab verdacht von befall meines rechner's
    Plagegeister aller Art und deren Bekämpfung - 05.06.2007 (7)
  16. Rechner ruckelt rhythmisch, kurz nach Neuinstallation
    Log-Analyse und Auswertung - 25.04.2007 (4)
  17. Rechner friert ein über Explorer
    Alles rund um Windows - 09.07.2005 (4)

Zum Thema Spyeye Befall Rechner A - Neuinstallation über Rechner B - Hi Leute! Szenario: Rechner A wurde von Spyeye befallen. Denke, dass ich alles runterbekommen habe, aber um 100% sicher zu gehen würde ich gerne folgend vorgehen. Auf Rechner B Ubuntu - Spyeye Befall Rechner A - Neuinstallation über Rechner B...
Archiv
Du betrachtest: Spyeye Befall Rechner A - Neuinstallation über Rechner B auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.