Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Maßnahmen gegen Trojaner Spy.Banker.Gen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 22.01.2008, 11:57   #1
PowerDremel
 
Maßnahmen gegen Trojaner Spy.Banker.Gen - Standard

Maßnahmen gegen Trojaner Spy.Banker.Gen



Hallo!

Meine Freundin bekam vorgestern eine mail von einem spanischen Freund mit Anhang...ich fragte sie noch ob die mail auch wirklich von Alberto sei...sie "ja" ich scannte die Datei, kein virus gefunden, klick auf ausführen und patsch! meldet AntiVir eine Infektion. Sie dachte ich meinte die mail an sich, dabei meinte ich natürlich den text...der war nicht von Alberto...

Seitdem logge ich mich sicherheitshalber mit meinem PC nirgends mehr ein. Bei jedem Systemstart meldet mir AntiVir es hätte zwei Dateien gefunden, die mit dem Virus "TR.Spy.Banker.Gen" infiziert seien.

Zum einen handelt es sich um diese Datei:

In der Datei 'C:\WINDOWS\system32\updater.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Spy.Banker.Gen' [TR/Spy.Banker.Gen] gefunden.
Ausgeführte Aktion: Datei löschen

und zum anderen um diese:

In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XF1EJ1BK\eu_72[1].jpg'
wurde ein Virus oder unerwünschtes Programm 'TR/Spy.Banker.Gen' [TR/Spy.Banker.Gen] gefunden.
Ausgeführte Aktion: Datei löschen

Habe den PC schonmal im abgesicherten modus hochgefahren und zumindest den Temorary Internet Files Ordner gelöscht.
Die Datei updater.dll habe ich erst gar nicht gefunden, obwohl bei mir generell alle Dateien angezeigt werden.

Das HJT logfile habe ich angehängt.

Die Lust auf eine Neuinstallation geht natürlich gegen -7. Mein PC verhält sich bis jetzt auch nicht komisch, bis auf die beiden nicht existenten aber dennoch befallenen Dateien.
Falls jedoch Plattmachen die einzige chance ist, wie siehts mit meinen gespeicherten Emails aus...kann ich die auf DVD sichern und zurückspielen nachdem sich ein virenscanner die DVD zur brust genommen hat? Will ja keinen Datenverlust...da lass ich mich ja schon lieber ausspionieren!

Beste Grüße vom

PowerDremel
Angehängte Dateien
Dateityp: txt hijackthis.txt (10,1 KB, 344x aufgerufen)

Alt 22.01.2008, 12:55   #2
Klarser
 
Maßnahmen gegen Trojaner Spy.Banker.Gen - Standard

Maßnahmen gegen Trojaner Spy.Banker.Gen



Hi, ich würd den Rechner plattmachen. Outlookemails werden in der Datei outlook.pst gespeichert. Die musst Du sichern. Sehe da keine Gefahr, wenn die dann mit einem Virenscanner gescannt hast und dann beim Gebrauch nen Virenscanner im Hintergrund laufen hast.
Gruß,
Klarser
__________________


Alt 22.01.2008, 14:08   #3
Chris4You
 
Maßnahmen gegen Trojaner Spy.Banker.Gen - Standard

Maßnahmen gegen Trojaner Spy.Banker.Gen



Hi,

lass mal combfix von der Leine und poste das Log!
Wenn die Dateien nicht zu finden sind, ist normalerweise ein Rootkit im Spiel, und das ist zumindest als "heikel" zu betrachten (man weiss nie ob alles erwischt wurde)...

chris

Combofix:
Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
__________________
__________________

Alt 22.01.2008, 14:38   #4
PowerDremel
 
Maßnahmen gegen Trojaner Spy.Banker.Gen - Standard

Maßnahmen gegen Trojaner Spy.Banker.Gen



Moin,

also Combofix startet, ich drücke "1" und Return, dann schließt das Fenster und ich habe das Internet Explorer icon neu auf dem Desktop...aber sonst passiert nix?!
Habe es jetzt 3 mal probiert, 2 mal nach neustart und wirklich alle Programme inkl Daemon tools und rainlendar geschlossen.


@Klarser

Danke wegen der mails. Verwende aber Thunderbird was bezüglich der mails an sich ja nichts ändern wird?!

Besten Dank soweit,

PD

Alt 22.01.2008, 15:27   #5
Chris4You
 
Maßnahmen gegen Trojaner Spy.Banker.Gen - Standard

Maßnahmen gegen Trojaner Spy.Banker.Gen



Hi,

schlechtes Zeichen!
Der Start wird wahrscheinlich verhindert... .

Mit HJ-fixen
Öffne das HijackThis -- Button "scan" -- vor den unten genannten Einträge(n) Häkchen setzen -- Button "Fix checked" -- PC neustarten
Achtung: Alle Anwendungen bis auf HJ müssen geschlossen sein, ein eventuell aktiver Teatimer von Spybot muss unbedingt deaktiviert sein!)
Zitat:
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
Scanne mit Dr. Web:
Anleitung: Anleitung: DrWeb - CureIt - Trojaner-Board
Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de
Poste das Log, wenn was erkannt wird;

Silentrunner:
Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen.
Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten.
http://www.silentrunners.org/Silent%20Runners.zip

chris

__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 22.01.2008, 18:54   #6
PowerDremel
 
Maßnahmen gegen Trojaner Spy.Banker.Gen - Standard

Maßnahmen gegen Trojaner Spy.Banker.Gen



So,

da bin ich wieder. Hat ne ganze weile gedauert mit DrWeb, habe alle platten schecken lassen. Das Logfile ist daher riesig, zu riesig. Habe es mal um die nötigen Eintragungen gekürzt.
Sieht glaube ich nicht gut aus für mich, obwohl AntiVir beim Systemstart nichts mehr meldet...

Grüße und besten Dank soweit!

PD

P.S.: Stelle gerade fest das die Silentrunner log zu groß ist um sie zu posten...werde da auch noch schnell verkleinern müssen...
Angehängte Dateien
Dateityp: txt drweb.txt (7,4 KB, 435x aufgerufen)
Dateityp: txt DrWeblog.txt (245 Bytes, 337x aufgerufen)

Alt 22.01.2008, 19:09   #7
Chris4You
 
Maßnahmen gegen Trojaner Spy.Banker.Gen - Standard

Maßnahmen gegen Trojaner Spy.Banker.Gen



Hi,

da könntest Du recht haben:
audiohq.exe - Dangerous

Deaktivieren der Systemwiederherstellung und Start in den abgesicherten Modus
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

So, ich bin leider morgen den ganzen Tag unterwegs (ab 05:00 Uhr), d. h.
entweder warten oder einen anderen Fragen ob er sich das Silentrunner-Log anschaut. Wobei wir dem neuaufsetzten immer näher kommen...

Avira "anschärfen":
Stelle Avira wie folgt ein: Antivir und die Heuristik, die aggressive Variante - Virus Hilfe
Führe einen Systemscan durch und poste das Ergebnis!

chris

Ps.: Kennst Du dich mit dem Regedit aus?
Der Key muss noch gerade gebogen werden:
HKCU\Software\Microsoft\Internet Explorer\Download
RunInvalidSignatures sollte den Wert 0
haben... Sonst nutzten alle Signaturen nichts, besonderst die von gefälschten Bankseiten werden dann nicht erkannt...
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Geändert von Chris4You (22.01.2008 um 19:23 Uhr)

Alt 24.01.2008, 19:40   #8
PowerDremel
 
Maßnahmen gegen Trojaner Spy.Banker.Gen - Standard

Maßnahmen gegen Trojaner Spy.Banker.Gen



Hallo!

Hier kommen nun die SilentRunner logs...habe sie aufgesplittet wegen der Größe.
Besten Dank wegen der registry Sache, habe den Wert auf 0 gesetzt. Muss mir jetzt nochmal den log des scharf gestellten AntiVir anschauen...hat glaube ich nur noch Dateien in Quarantäne Verzeichnissen gefunden...mmh. Habe bei Antivir auch die Rootkit überprüfung eingeschaltet...ob die was bringt?

Vielen Dank für die Hilfe Chris4You!

Beste Grüße,

PowerDremel
Angehängte Dateien
Dateityp: txt Startup Programs 2008-01-24 Teil01.txt (18,1 KB, 1395x aufgerufen)
Dateityp: txt Startup Programs 2008-01-24 Teil02.txt (8,5 KB, 425x aufgerufen)

Alt 25.01.2008, 07:29   #9
Chris4You
 
Maßnahmen gegen Trojaner Spy.Banker.Gen - Standard

Maßnahmen gegen Trojaner Spy.Banker.Gen



Hi,

sieht gut aus, jetzt nur noch JAVA auf den neusten Stand bringen und die alte Version löschen, dann wäre es Ok;

Download jre-6u4-windows-i586-p.exe
Scrolle runter nach ---->Java Runtime Environment (JRE) 6u4
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf "Download"
Setze ein Haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6-windows-i586.exe”zum Desktop zu installieren
Schliesse alle Programme auch Deinen Webbrowser
Über "Start -> Einstellungen -> Systemsteuerung -> Software
entferne alle aelteren Versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> “jre-6u4-windows-i586-p.exe”

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Antwort

Themen zu Maßnahmen gegen Trojaner Spy.Banker.Gen
abgesicherten modus, antivir, ausspionieren, c:\windows, content.ie5, datei, dateien, dvd, einstellungen, emails, handel, infiziert, internet, klick, logfile, mail, maßnahme, neuinstallation, nicht gefunden, ordner, programm, scan, scanner, sicherheitshalber, system32, systemstart, tr/spy.banker.gen, trojaner, unerwünschtes programm, virenscanner, virus, virus gefunden, windows



Ähnliche Themen: Maßnahmen gegen Trojaner Spy.Banker.Gen


  1. Vorbeugende Maßnahmen gegen Sweetpage / Mysearch u.ä.
    Antiviren-, Firewall- und andere Schutzprogramme - 03.06.2014 (13)
  2. GVU Trojaner Vers. 2.12 eingefangen, bisherige Maßnahmen erfolglos
    Plagegeister aller Art und deren Bekämpfung - 12.07.2013 (45)
  3. GVU-Trojaner entfernen (Standard Maßnahmen funktionieren nicht)
    Plagegeister aller Art und deren Bekämpfung - 03.05.2013 (3)
  4. Maßnahmen zur PC Instandhaltung
    Alles rund um Windows - 08.11.2012 (3)
  5. Trojan.Banker / Spy.Banker - weitere Vorgehensweise?
    Plagegeister aller Art und deren Bekämpfung - 17.07.2012 (7)
  6. Maßnahmen gegen Trojaner TR/spy.banker.gen5 und TR/Spy.Farko.lw
    Plagegeister aller Art und deren Bekämpfung - 17.07.2012 (15)
  7. erst TR/Spy.Banker.Gen2 gefunden, dann TR/PSW.Banker.O.33
    Log-Analyse und Auswertung - 28.03.2012 (26)
  8. FCC-Gremium empfiehlt Maßnahmen für mehr Netzsicherheit
    Nachrichten - 23.03.2012 (0)
  9. Anleitung: Maßnahmen zur Absicherung des Rechners
    Anleitungen, FAQs & Links - 07.03.2011 (0)
  10. iX: Features und Maßnahmen gegen Browser-Angriffe
    Nachrichten - 26.01.2011 (0)
  11. Trojanisches Pferd TR/Banker.Banker.aywq gefunden
    Plagegeister aller Art und deren Bekämpfung - 10.11.2010 (7)
  12. TR/Banker.MultiBanker.acv, TR/Banker/MultiBankerack und TR/Kazy.2369.7
    Plagegeister aller Art und deren Bekämpfung - 09.11.2010 (1)
  13. banker trojaner
    Plagegeister aller Art und deren Bekämpfung - 31.10.2010 (5)
  14. Kann Logfile gegen Spyware.Banker nicht auswerten lassen, Firefox stürzt ab
    Log-Analyse und Auswertung - 17.06.2010 (3)
  15. TR/Banker.Banker.aits in iexplore.exe
    Plagegeister aller Art und deren Bekämpfung - 03.06.2009 (1)
  16. Banker /trojaner
    Mülltonne - 17.07.2008 (0)
  17. Trojaner ntos und mswin......exe - Maßnahmen ausreichend?
    Plagegeister aller Art und deren Bekämpfung - 15.01.2008 (1)

Zum Thema Maßnahmen gegen Trojaner Spy.Banker.Gen - Hallo! Meine Freundin bekam vorgestern eine mail von einem spanischen Freund mit Anhang...ich fragte sie noch ob die mail auch wirklich von Alberto sei...sie "ja" ich scannte die Datei, kein - Maßnahmen gegen Trojaner Spy.Banker.Gen...
Archiv
Du betrachtest: Maßnahmen gegen Trojaner Spy.Banker.Gen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.