Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Mehrfacher Befall (Spy.BANKER.RS - EXP/Wimad.J - JS/Expack.VS)

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 11.07.2012, 17:38   #1
Rheanna
 
Mehrfacher Befall (Spy.BANKER.RS - EXP/Wimad.J - JS/Expack.VS) - Standard

Mehrfacher Befall (Spy.BANKER.RS - EXP/Wimad.J - JS/Expack.VS)



Hallo allerseits,

nachdem ich heute von einem Kurztrip wiederkam berichtete mir mein Neffe, er habe an meinem Rechner Viren gehabt (sollte eigentlich unser Haus sitten). Vor ein paar Tagen hatten wir das bemerkt, als ich meine Emails mit dem Handy abfragte und komischerweise keine Emails (auch die gelesenen nicht) angezeigt wurden. Ein Anruf beim Neffen ergab: Er hat den Rechner angelassen, das Emailprogramm aber nicht geöffnet. Als er vom Fussball nach Hause kam habe aber das Emailprogramm (Windows Live Mail) offen gestanden und die erste Virenmeldung war angegeben mit Spy.Banker.rs. Mit Hilfe eines Forums habe er versucht alles wieder "gerade zu bügeln".
Verschiedene Programme waren ja schon von meiner Seite installiert (HJT, CCleaner, Anti-Malwarebytes und ESET). Als dann heute erneut eine Virenmeldung von AVIRA einging hat er dann auf Anraten eines "Profis" aus irgendeinem Forum das Programm Combofix drüber laufen lassen.

Nun bin ich wieder zu Hause, fühle mich "schutzlos" und nackt, denn wenn ein Virus/Trojaner/Weißdergeier mein Emailprogramm öffnen kann...dann ist das System vermutlich derart verseucht, oder?

Mein Anliegen ist also folgendes - könnte mir jemand behilflich sein und mir sagen inwieweit mein System noch zu retten ist? Ich habe, geschockt wie ich war, all meine Bilder (die ich noch nicht vor dem Kurztrip gesichert hatte) einfach auf meine externe FP geschoben...ich weiß, das war ziemlich bescheuert, zumal diese FP die einzige Rücksicherung ist momentan nach FP-Crash.

Ich kann leider nicht alle Logs posten, da er vieles vermutlich gelöscht hat. Aber vielleicht "nimmt mich mal jemand an die Hand" und sagt mir, was für ihn wirklich wichtig ist.

LG, Rheanna

Edit: Dies ist das MWB-Log von vorgestern ohne Fund:
Code:
ATTFilter
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.07.06.11

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Zicke :: ZICKE-PC [Administrator]

09.07.2012 12:10:43
mbam-log-2012-07-09 (12-10-43).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 344979
Laufzeit: 57 Minute(n), 41 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         
Avira sagte "Alles in Ordnung", danach einen MWB-Suchlauf gestartet und bei der Hälfte ist bereits eine infizierte Datei. Sobald das Logfile vorhanden ist editiere ich erneut.

Geändert von Rheanna (11.07.2012 um 18:16 Uhr) Grund: Log eingegliedert

Alt 11.07.2012, 18:45   #2
markusg
/// Malware-holic
 
Mehrfacher Befall (Spy.BANKER.RS - EXP/Wimad.J - JS/Expack.VS) - Standard

Mehrfacher Befall (Spy.BANKER.RS - EXP/Wimad.J - JS/Expack.VS)



hi
öffne malwarebytes,logdateien, poste logs mit funden.
öffne avira, ereignisse poste fundmeldungen.
öffne avira, berichte, poste logs mit funden.
nutzt du den pc für oninebanking, zum einkaufen, für sonstige zahlungsabwicklungen, oder ähnlich wichtiges, wie berufliches?
__________________

__________________

Alt 11.07.2012, 19:27   #3
Rheanna
 
Mehrfacher Befall (Spy.BANKER.RS - EXP/Wimad.J - JS/Expack.VS) - Standard

Mehrfacher Befall (Spy.BANKER.RS - EXP/Wimad.J - JS/Expack.VS)



Hi,

danke für deine kurze Meldung. Ich habe einen erneuten Fund, Antimalwarebytes spuckte soeben das Log hier aus:
Code:
ATTFilter
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.07.11.08

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Zicke :: ZICKE-PC [Administrator]

11.07.2012 18:55:36
mbam-log-2012-07-11 (18-55-36).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 349771
Laufzeit: 1 Stunde(n), 11 Minute(n), 36 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Qoobox\Quarantine\C\Users\Zicke\AppData\Roaming\Lifezu\igvag.exe.vir (Trojan.Phex.THAGen1) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
Avira Ereignisse: Chronologisch (das Neueste zuerst) Ergebnisse vom 11.7. (ältester Eintrag 6.7. mit Banker):

Code:
ATTFilter
Die Datei 'C:\Users\Zicke\AppData\Local\Mozilla\Firefox\Profiles\ag8osv4v.default\Cache\D\41\2E7CDd01'
enthielt einen Virus oder unerwünschtes Programm 'JS/Expack.VS' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '567fd2d2.qua' verschoben!
         
Code:
ATTFilter
In der Datei 'C:\Users\Zicke\AppData\Local\Mozilla\Firefox\Profiles\ag8osv4v.default\Cache\D\41\2E7CDd01'
wurde ein Virus oder unerwünschtes Programm 'JS/Expack.VS' [virus] gefunden.
Ausgeführte Aktion: Übergeben an Scanner
         
Code:
ATTFilter
Die Datei 'I:\Datensicherung PC\Platte Freecom\006 Musik-Alben\Clint Mansell\Requiem for a Dream\Green Lizard - Requiem 2.wma'
enthielt einen Virus oder unerwünschtes Programm 'EXP/Wimad.J' [exploit].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '554b96f3.qua' verschoben!
         
Code:
ATTFilter
Die Datei 'C:\Users\Zicke\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\51\e25bc33-7a5255d7'
enthielt einen Virus oder unerwünschtes Programm 'EXP/2008-5353.CP' [exploit].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '553aa49f.qua' verschoben!
         
Code:
ATTFilter
Datei 'C:\Users\Zicke\AppData\Local\Temp\jar_cache3438174426015309143.tmp'
enthielt einen Virus oder unerwünschtes Programm 'JAVA/Dldr.Treams.BI' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4de88b0f.qua' verschoben!
         
Code:
ATTFilter
Die Datei 'C:\Users\Zicke\AppData\Local\Temp\mor.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.Banker.RS' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '576e5d31.qua' verschoben!
         
Code:
ATTFilter
In der Datei 'C:\Users\Zicke\AppData\Local\Temp\mor.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Spy.Banker.RS' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
         

Die Quarantäne hat mein Neffe scheinbar gelöscht!
Berichte:
Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Mittwoch, 11. Juli 2012  15:22

Es wird nach 3859198 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Home Premium
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : ZICKE-PC

Versionsinformationen:
BUILD.DAT      : 12.0.0.1125    41829 Bytes  02.05.2012 16:34:00
AVSCAN.EXE     : 12.3.0.15     466896 Bytes  08.05.2012 16:11:07
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  08.05.2012 16:11:07
LUKE.DLL       : 12.3.0.15      68304 Bytes  08.05.2012 16:11:08
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  08.05.2012 16:11:08
AVREG.DLL      : 12.3.0.17     232200 Bytes  10.05.2012 18:50:18
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 09:07:39
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 17:00:22
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 13:57:25
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 12:02:30
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 17:08:59
VBASE006.VDF   : 7.11.34.117     2048 Bytes  29.06.2012 17:08:59
VBASE007.VDF   : 7.11.34.118     2048 Bytes  29.06.2012 17:08:59
VBASE008.VDF   : 7.11.34.119     2048 Bytes  29.06.2012 17:08:59
VBASE009.VDF   : 7.11.34.120     2048 Bytes  29.06.2012 17:08:59
VBASE010.VDF   : 7.11.34.121     2048 Bytes  29.06.2012 17:08:59
VBASE011.VDF   : 7.11.34.122     2048 Bytes  29.06.2012 17:08:59
VBASE012.VDF   : 7.11.34.123     2048 Bytes  29.06.2012 17:08:59
VBASE013.VDF   : 7.11.34.124     2048 Bytes  29.06.2012 17:09:00
VBASE014.VDF   : 7.11.34.201   169472 Bytes  02.07.2012 17:08:38
VBASE015.VDF   : 7.11.35.19    122368 Bytes  04.07.2012 17:08:38
VBASE016.VDF   : 7.11.35.87    146944 Bytes  06.07.2012 21:41:52
VBASE017.VDF   : 7.11.35.143   126464 Bytes  09.07.2012 19:17:19
VBASE018.VDF   : 7.11.35.144     2048 Bytes  09.07.2012 19:17:19
VBASE019.VDF   : 7.11.35.145     2048 Bytes  09.07.2012 19:17:19
VBASE020.VDF   : 7.11.35.146     2048 Bytes  09.07.2012 19:17:19
VBASE021.VDF   : 7.11.35.147     2048 Bytes  09.07.2012 19:17:19
VBASE022.VDF   : 7.11.35.148     2048 Bytes  09.07.2012 19:17:20
VBASE023.VDF   : 7.11.35.149     2048 Bytes  09.07.2012 19:17:20
VBASE024.VDF   : 7.11.35.150     2048 Bytes  09.07.2012 19:17:20
VBASE025.VDF   : 7.11.35.151     2048 Bytes  09.07.2012 19:17:20
VBASE026.VDF   : 7.11.35.152     2048 Bytes  09.07.2012 19:17:20
VBASE027.VDF   : 7.11.35.153     2048 Bytes  09.07.2012 19:17:20
VBASE028.VDF   : 7.11.35.154     2048 Bytes  09.07.2012 19:17:20
VBASE029.VDF   : 7.11.35.155     2048 Bytes  09.07.2012 19:17:20
VBASE030.VDF   : 7.11.35.156     2048 Bytes  09.07.2012 19:17:20
VBASE031.VDF   : 7.11.35.194    92160 Bytes  10.07.2012 19:17:29
Engineversion  : 8.2.10.108
AEVDF.DLL      : 8.1.2.10      102772 Bytes  10.07.2012 19:17:47
AESCRIPT.DLL   : 8.1.4.32      455034 Bytes  05.07.2012 17:08:55
AESCN.DLL      : 8.1.8.2       131444 Bytes  27.01.2012 18:50:54
AESBX.DLL      : 8.2.5.12      606578 Bytes  15.06.2012 10:57:47
AERDL.DLL      : 8.1.9.15      639348 Bytes  08.09.2011 21:16:06
AEPACK.DLL     : 8.3.0.12      807286 Bytes  10.07.2012 19:17:47
AEOFFICE.DLL   : 8.1.2.40      201082 Bytes  28.06.2012 11:22:03
AEHEUR.DLL     : 8.1.4.64     5009782 Bytes  05.07.2012 17:08:54
AEHELP.DLL     : 8.1.23.2      258422 Bytes  28.06.2012 11:21:49
AEGEN.DLL      : 8.1.5.32      434548 Bytes  06.07.2012 21:41:56
AEEXP.DLL      : 8.1.0.60       86388 Bytes  05.07.2012 17:08:55
AEEMU.DLL      : 8.1.3.2       393587 Bytes  10.07.2012 19:17:37
AECORE.DLL     : 8.1.27.2      201078 Bytes  10.07.2012 19:17:32
AEBB.DLL       : 8.1.1.0        53618 Bytes  01.09.2011 21:46:01
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  08.05.2012 16:11:07
AVPREF.DLL     : 12.3.0.15      51920 Bytes  08.05.2012 16:11:07
AVREP.DLL      : 12.3.0.15     179208 Bytes  08.05.2012 16:11:08
AVARKT.DLL     : 12.3.0.15     211408 Bytes  08.05.2012 16:11:07
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  08.05.2012 16:11:07
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  08.05.2012 16:11:08
AVSMTP.DLL     : 12.3.0.15      63440 Bytes  08.05.2012 16:11:07
NETNT.DLL      : 12.3.0.15      17104 Bytes  08.05.2012 16:11:08
RCIMAGE.DLL    : 12.3.0.15    4447952 Bytes  08.05.2012 16:11:07
RCTEXT.DLL     : 12.3.0.15      98512 Bytes  08.05.2012 16:11:07

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4ffd501e\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Mittwoch, 11. Juli 2012  15:22

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igvag.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'java.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jp2launcher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcroRd32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcroRd32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_3_300_262.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_3_300_262.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wlcomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wlmail.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LitModeCtrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HealthCare.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LitModeSwitch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hotkey.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorIcon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'distnoted.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'gStart.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ubd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KiesPDLR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KiesTrayAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CVHSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftlist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sftvsa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LenovoCOMSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FileBackupSVC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\Zicke\AppData\Local\Mozilla\Firefox\Profiles\ag8osv4v.default\Cache\D\41\2E7CDd01'
C:\Users\Zicke\AppData\Local\Mozilla\Firefox\Profiles\ag8osv4v.default\Cache\D\41\2E7CDd01
  [0] Archivtyp: GZ
  --> object
      [FUND]      Enthält Erkennungsmuster des Java-Scriptvirus JS/Expack.VS
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '567fd2d2.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 11. Juli 2012  15:23
Benötigte Zeit: 00:40 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
     44 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
     43 Dateien ohne Befall
      1 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise
         
Merkwürdigerweise kann ich die Logs mit den Infizierungen davor nicht mehr herstellen...Die Datei kann nicht gefunden werden.

Ich benutze den PC zum Einkaufen, Onlinebanking auch (ist aber schon bisschen was her das ich da mal was überwiesen habe via SMSTan) und am Wichtigsten für meine Fotos. Hobbyfotografin mit dem Hang etwas nachlässig in der Datensicherung zu sein...Einkaufen Zahlungen via Paypal, Kundenkonten bei Amazon und Ebay.

Danke schon mal...
__________________

Alt 13.07.2012, 14:46   #4
markusg
/// Malware-holic
 
Mehrfacher Befall (Spy.BANKER.RS - EXP/Wimad.J - JS/Expack.VS) - Standard

Mehrfacher Befall (Spy.BANKER.RS - EXP/Wimad.J - JS/Expack.VS)



hi, da du mid dem pc einkaufst, müssen alle passwörter geendert werden, aber erst einmal:

der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:2. Formatieren, Windows neu instalieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 16.07.2012, 07:35   #5
Rheanna
 
Mehrfacher Befall (Spy.BANKER.RS - EXP/Wimad.J - JS/Expack.VS) - Standard

Mehrfacher Befall (Spy.BANKER.RS - EXP/Wimad.J - JS/Expack.VS)



Hallo markusg,

sorry, hatte das Wochenende ordentlich zu tun und keine Muße an den Rechner zu gehen. Firmentechniker meint, ein Neuaufsetzen sei nicht unbedingt notwendig - ich werde es trotzdem machen. Passwörter sind vom Handy bereits geändert worden, Malwarebytes findet keine Meldung mehr (hatte nach dem letzten Trojaner noch 2 Mal laufen lassen).

Ich nutze einen Lenovo Ideacentre 5irgendwas mit Recovery-Partition und Lenovo-Rescuesystem. Eine Windows7-DVD war nicht dabei, brauche ich ja dann aber auch nicht.

Onlinebanking brauchst du nichts zu sagen, ich werde mir kein Starmoney und auch keinen Chipcardreader zulegen (SMSTan war bis jetzt ok zum Handy aufladen und um die zwei Überweisungen zu machen), denn ab sofort werden die Handies und auch jede Überweisung wieder bei der Bank erledigt.

Ich werde jetzt erst noch meine wichtigen Emails drucken (sichern werde ich sie mit Sicherheit nicht), die Bilder sind ja leider bereits auf der externen FP (in der Hoffnung sie sind nicht infiltriert).

Mit einem Betriebssystem auf USB könnte man den Rechner aber doch ebenfalls auf Infiltrierung prüfen, oder? Dann wüsste ich jetzt schon ob die externe sauber ist (wobei Malwarebytes ja sagt alles ist sauber), ich brauche nämlich eigentlich diese Woche noch zwei Ordner davon...und da ich heute und auch morgen erst spät von der Arbeit komme und vermutlich dann keine Lust mehr aufs Neuaufsetzen habe Die örtliche Presse wird sich bedanken wenn sie einen verseuchten Speicherstick mit Open Air-Bildern bekommen

Ich danke dir schon mal herzlich für deine Zeit und Geduld


Alt 16.07.2012, 12:04   #6
markusg
/// Malware-holic
 
Mehrfacher Befall (Spy.BANKER.RS - EXP/Wimad.J - JS/Expack.VS) - Standard

Mehrfacher Befall (Spy.BANKER.RS - EXP/Wimad.J - JS/Expack.VS)



hi,
mit nem gut konfiguriertem pc kann man schon onlinebanking machen, ist aber natürlich deine entscheidung. oben hatte ich dir doch einen link zu einem linux system gepostet, du könntest auch wahlweise ubuntu versuchen:
ubuntu live cd:
https://help.ubuntu.com/community/LiveCD
diese brennen und im probier modus starten und dort die wichtigen daten vom stick kopieren.
damm könnte man den usb stick neu formatieren, im fat32 format:
Formatieren
oder man kopiert die daten auf nen stick, der während des befalls nicht am pc war,und wir kümmern uns nach absicherung um das laufwerk, welches angeschlossen gewesen ist.
__________________
--> Mehrfacher Befall (Spy.BANKER.RS - EXP/Wimad.J - JS/Expack.VS)

Alt 16.07.2012, 23:01   #7
Rheanna
 
Mehrfacher Befall (Spy.BANKER.RS - EXP/Wimad.J - JS/Expack.VS) - Standard

Mehrfacher Befall (Spy.BANKER.RS - EXP/Wimad.J - JS/Expack.VS)



Hi Markusg,

bis auf die Updatechecker habe ich jetzt alles erledigt (Nacht und Nebel-Aktion) und hoffe alles richtig gemacht zu haben. Als Virenscanner ist vorerst Kaspersky aus der Computerbild installiert mit 1-Jahres-Lizenz. Was hälst du davon?

Auch ein neues Benutzerkonto ist nun installiert - dieses nutze ich jetzt ausschliesslich zum Surfen und Co.

Jetzt gehts vermutlich ans Eingemachte...Autostart ist überall deaktiviert - die Speicherkarten, die zwischen den Befällen aktiv waren sind bereits formatiert - aber ich habe einen USB-Stick und eine externe FP (400GB, davon 100GB mit Fotos beladen), die während des Befalls dran waren oder eben die Daten einfach rübergeschubst bekamen. Ich alleine traue mich da nicht ran...Da weder AntiMalwarebytes noch irgendwas anderes installiert ist bitte ich um kurze Anweisung mit welchen programmen ich arbeiten sollte und wie ich die Inhalte sicher rüberbekomme...

Vielen Dank dir schon einmal, ich bin wirklich froh über die Hilfe!

Alt 17.07.2012, 23:41   #8
Rheanna
 
Mehrfacher Befall (Spy.BANKER.RS - EXP/Wimad.J - JS/Expack.VS) - Standard

Mehrfacher Befall (Spy.BANKER.RS - EXP/Wimad.J - JS/Expack.VS)



So, alles auf dem neuesten Stand...nun muss ich mich nur noch um die möglicherweise befallenen Festplatten und ein Backup kümmern...allerdings hatte ich kein Servicepack vorab geladen, da ich nur mit dem Handy online war und schon gestartet hatte. Die ganzen diversen updates habe ich dann bis 4 Uhr geladen und installiert und danach noch mal fix gechecked. Panda will noch nicht so wie ich - gestern auf dem Admin-Account führte er mit Kaspersky zu einem Fehler. Aber wird schon...

Alt 18.07.2012, 17:09   #9
markusg
/// Malware-holic
 
Mehrfacher Befall (Spy.BANKER.RS - EXP/Wimad.J - JS/Expack.VS) - Standard

Mehrfacher Befall (Spy.BANKER.RS - EXP/Wimad.J - JS/Expack.VS)



hi
hast du die update checker drauf?
ich möchte erst mal anhand einer checkliste prüfen ob du alles hast.
- instalieren von optionalen und wichtigen updates.
- konfigurieren von windows updates.
- dep für alle prozesse aktivieren.
- sehop aktivieren.
- chrome instalieren.
- sandboxie instalieren.
- autorun deaktivieren.
- panda vaccine instalieren.
- secunia instalieren.
- file hippo instalieren.
beachte:
secunia und file hippo bieten englische updates, überall wo du auf die nutzeroberfläche zugreifst, wie zb reader, browser, etc benötigst du deutsche updates, also hier die hersteller seiten in den favoriten deines browsers speichern und wenn ein update gezeigt wird, von dort hohlen, bei java, flash quicktime, ist es egal ob deutsch oder englisch.
- backup software instalieren, backup und rettungsdvd erstellen.
hier ne kurze anleitung:
Anleitung: Systemabbild mit Paragon Drive Backup - NETZWELT
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 18.07.2012, 17:15   #10
Rheanna
 
Mehrfacher Befall (Spy.BANKER.RS - EXP/Wimad.J - JS/Expack.VS) - Standard

Mehrfacher Befall (Spy.BANKER.RS - EXP/Wimad.J - JS/Expack.VS)



Hi Markusg,

- instalieren von optionalen und wichtigen updates. --> Check
- konfigurieren von windows updates. --> Check
- dep für alle prozesse aktivieren. --> Was ist das?
- sehop aktivieren. --> Check
- chrome instalieren. --> Chrome mag ich nicht, Firefox ist installiert
- sandboxie instalieren. --> Was ist das?
- autorun deaktivieren. --> Check
- panda vaccine instalieren. --> Check
- secunia instalieren. --> Check
- file hippo instalieren. --> Check

Backup erstelle ich sofort nach Download der Software.

LG, Rheanna

Alt 18.07.2012, 17:19   #11
markusg
/// Malware-holic
 
Mehrfacher Befall (Spy.BANKER.RS - EXP/Wimad.J - JS/Expack.VS) - Standard

Mehrfacher Befall (Spy.BANKER.RS - EXP/Wimad.J - JS/Expack.VS)



und hier noch ein paar zusatz infos
als antimalware programm würde ich emsisoft empfehlen.
diese haben für mich den besten schutz kostet aber etwas.
http://store.computeractive.co.uk/?act=search&brand=289
testversion:
http://www.emsisoft.de/de/software/antimalware/?id=5987352
insbesondere wenn du onlinebanking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches machst, also sensible daten zu schützen sind, solltest du in sicherheitssoftware investieren.
vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen.

kostenlos, aber eben nicht ganz so gut wäre avast zu empfehlen.
http://www.trojaner-board.de/110895-avast-free-antivirus.html

sag mir welches du nutzt, dann gebe ich konfigurationshinweise.
bitte dein bisheriges av deinstalieren
die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch!

http://www.trojaner-board.de/96344-a...-rechners.html
Starte bitte mit der Passage, Windows Vista und Windows 7
Bitte beginne damit, Windows Updates zu instalieren.
Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst.
Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist:
- Updates automatisch Instalieren,
- Täglich
- Uhrzeit wählen
- Bitte den gesammten rest anhaken, außer:
- detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist.
Klicke jetzt die Schaltfläche "OK"
Klicke jetzt "nach Updates suchen".
Bitte instaliere zunächst wichtige Updates.
Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren.
Mache das selbe bitte mit den optionalen Updates.
Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist.
aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen.
als browser rate ich dir zu chrome:
http://support.google.com/chrome/bin/answer.py?hl=de&answer=118663
anleitung lesen bitte
falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung


Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.
Download Link:
http://filepony.de/download-sandboxie/

anleitung:
http://www.trojaner-board.de/71542-a...sandboxie.html
ausführliche anleitung als pdf, auch abarbeiten:
Sandbox Einstellungen |

bitte folgende zusatz konfiguration machen:
sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
chrome.exe
dann gehe auf anwendungen, webbrowser, chrome.
dort aktiviere alles außer gesammten profil ordner freigeben.
Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen.
Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate.
Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten.
Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten.
Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar.

Weiter mit:
Maßnahmen für ALLE Windows-Versionen
alles komplett durcharbeiten
anmerkung zu file hippo.
in den settings zusätzlich auswählen:
hide beta updates.
Run updateChecker when Windows starts

Backup Programm:
in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an:
www.trojaner-board.de/82962-windows-7-systemabbild-erstellen-backup.html
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern
bitte auch lesen, wie mache ich programme für alle sichtbar:
Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe
surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox.
wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird Sandboxie immer gestartet wenn du nen browser aufrufst.
wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 18.07.2012, 18:41   #12
Rheanna
 
Mehrfacher Befall (Spy.BANKER.RS - EXP/Wimad.J - JS/Expack.VS) - Standard

Mehrfacher Befall (Spy.BANKER.RS - EXP/Wimad.J - JS/Expack.VS)



Danke für deine ausführliche Berichterstattung!!!

Ich verwende zur Zeit Kaspersky und würde es eigentlich gern behalten - muss ich also zwingend auf Avast umsteigen? Und soll Antimalwarebytes wieder installiert werden?

Mein Neffe hat mir gestanden, dass er bei mir öfter auf Streamingseiten unterwegs war, vermutlich rührt da mein Ärgernis her - da ich in Zukunft auf Online Banking verzichten möchte und ansonsten eben bei Amazon, ebay und einem Wollshop bestelle, denke ich bin ich also weitestgehend schon mal sicherer als je zuvor mit all den Massnahmen.

Alles ab Sandboxie nehme ich heute abend vor - muss erst Mal Essen machen...die Fotos von der FP, die ich heute gebraucht hätte, habe ich "verschieben" können. Habe mein problem geschildert und man war nachsichtig mit mir (die wollten sich sicher auch nicht dem Risiko aussetzen sich was einzufangen).

Und noch mal ich...hatte heute Nachmittag fein im TurboLister 36 Auktionen erstellt. Benutzer gewechselt zwecks Aktualisierung von zwei Sachen und komme zurück, alle Auktionen weg und musste mich erneut anmelden wie zum ersten Programmstart.

Ebenso wie noch anderen Dinge anders laufen (und viel komplizierter) bin ich jetzt etwas sauer, denn den ganzen Nachmittag habe ich auf die Auktionen verwendet und kann jetzt alles schon wieder machen. Im Admin-Konto startet TurboLister überhaupt nicht, nur so zur Info. Woran es liegt steht in den Sternen...

Auch Updates...ich habe zwei Nächte lang alles runtergeladen, immer wieder runtergefahren und so weiter...und dennoch heute schon wieder 4x? So viele Updates kanns doch gar nicht geben...

Vorher lief mein System stabil und rund, im jetzigen Zustand macht es nicht mal mehr Spaß Auktionen zu machen. Falls du eine Vermutung hast was mit TurboLister nicht harmoniert so wäre ich über eine Info dankbar. Ansonsten habe ichs chon überlegt setze ich das System erneut auf und führe die Standard-Anweisungen durch und belasse alles andere beim Alten. Insgesamt habe ich seit 2005 dreimal Viren gehabt und zweimal davon durch Fremdnutzung meines Rechners - seit ich mich absichere wie Fort Knox läuft eigentlich gar nichts mehr rund....
Ich bin dankbar für deine Hilfe, aber so kann ich den Rechner nicht nutzen ohne Angst zu haben, dass etwas in die Hose geht.

Alt 20.07.2012, 20:31   #13
markusg
/// Malware-holic
 
Mehrfacher Befall (Spy.BANKER.RS - EXP/Wimad.J - JS/Expack.VS) - Standard

Mehrfacher Befall (Spy.BANKER.RS - EXP/Wimad.J - JS/Expack.VS)



kaspersky kannst du behalten.
updates gibts viele, wenn man nie welche instaliert dauert das.
tritt das problem mit turbo lister noch auf?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu Mehrfacher Befall (Spy.BANKER.RS - EXP/Wimad.J - JS/Expack.VS)
avira, befall, ccleaner, combofix, emails, eset, exp/wimad.j, folge, gelöscht, handy, heuristiks/extra, heuristiks/shuriken, live, meldung, nicht geöffnet., offen, programme, rechner, retten, seite, system, trojaner, verseucht, viren, virus, wichtig, windows, windows live, windows live mail, öffnen



Ähnliche Themen: Mehrfacher Befall (Spy.BANKER.RS - EXP/Wimad.J - JS/Expack.VS)


  1. Schädlinge trotz mehrfacher Scans
    Log-Analyse und Auswertung - 02.06.2015 (19)
  2. Unter Win 7 HomePremium mehrfacher Trojaner-Befall
    Plagegeister aller Art und deren Bekämpfung - 09.07.2014 (19)
  3. Mehrfacher Befall von Trojanern
    Plagegeister aller Art und deren Bekämpfung - 06.09.2013 (15)
  4. Download Converter --> Absturz Mozilla-Programme nach mehrfacher Neuinstallation
    Plagegeister aller Art und deren Bekämpfung - 16.05.2013 (1)
  5. Mehrfacher Befall BKA Trojaner
    Plagegeister aller Art und deren Bekämpfung - 28.01.2013 (34)
  6. Trojanisches Pferd TR/Spy.Banker.Gen5 & EXP/CVE-2012-1723.BU & Java-Scriptvirus JS/Dldr.Expack.BA.3
    Plagegeister aller Art und deren Bekämpfung - 05.08.2012 (3)
  7. Trojan.Banker / Spy.Banker - weitere Vorgehensweise?
    Plagegeister aller Art und deren Bekämpfung - 17.07.2012 (7)
  8. EXP/CVE-2010-4451 und Tr.spy.banker.gen2 Befall
    Plagegeister aller Art und deren Bekämpfung - 05.04.2012 (13)
  9. Laptop-Befall mit TR/Trash.Gen, TR/PSW.Banker.O.25, TR/Agent.AOGG und EXP/JAVA.Ternub.Gen
    Plagegeister aller Art und deren Bekämpfung - 02.04.2012 (8)
  10. erst TR/Spy.Banker.Gen2 gefunden, dann TR/PSW.Banker.O.33
    Log-Analyse und Auswertung - 28.03.2012 (26)
  11. Befall mit mehreren Schadprogrammen, u.a Spy.Banker.Gen2
    Plagegeister aller Art und deren Bekämpfung - 09.12.2011 (9)
  12. 4-5 FIREFOXPROZESSE inkl mehrfacher Absturz beim Startup
    Plagegeister aller Art und deren Bekämpfung - 15.06.2011 (5)
  13. Mehrfacher Virenbefall mit z.B. BDS/Cycbot.B.1860
    Log-Analyse und Auswertung - 04.05.2011 (14)
  14. Trojanisches Pferd TR/Banker.Banker.aywq gefunden
    Plagegeister aller Art und deren Bekämpfung - 10.11.2010 (7)
  15. TR/Banker.MultiBanker.acv, TR/Banker/MultiBankerack und TR/Kazy.2369.7
    Plagegeister aller Art und deren Bekämpfung - 09.11.2010 (1)
  16. TROJANER BEFALL! TR/Spy.Banker.bnk.2 und TR/Dldr.Age.apv.7.b
    Log-Analyse und Auswertung - 28.07.2006 (4)
  17. Ad Aware läuft nicht mehr trotz mehrfacher Neuinstallation
    Antiviren-, Firewall- und andere Schutzprogramme - 20.06.2006 (3)

Zum Thema Mehrfacher Befall (Spy.BANKER.RS - EXP/Wimad.J - JS/Expack.VS) - Hallo allerseits, nachdem ich heute von einem Kurztrip wiederkam berichtete mir mein Neffe, er habe an meinem Rechner Viren gehabt (sollte eigentlich unser Haus sitten). Vor ein paar Tagen hatten - Mehrfacher Befall (Spy.BANKER.RS - EXP/Wimad.J - JS/Expack.VS)...
Archiv
Du betrachtest: Mehrfacher Befall (Spy.BANKER.RS - EXP/Wimad.J - JS/Expack.VS) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.