Trojaner-Board - habe portwexexe von spyeye auf dem pc

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - habe portwexexe von spyeye auf dem pc (https://www.trojaner-board.de/94814-habe-portwexexe-spyeye-pc.html)

hallo,

hier die scans; der rechner läuft soweit ok (das tat er aber eh die ganze zeit, bis auf kurzfristige wlan-zugangsprobleme am abend des von antivir gemeldeten fundes vor 2 wochen), hin & wieder kommt er mir z.zt. etwas verzögert i.d. reaktionen vor, aber das kann auch einbildung sein.

OTL:

Code:

All processes killed

========== OTL ==========

Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.

Registry key HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\ deleted successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: asus

->Temp folder emptied: 3350912 bytes

->Temporary Internet Files folder emptied: 1251406 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 54714184 bytes

->Opera cache emptied: 0 bytes

->Flash cache emptied: 1865 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Gast

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Opera cache emptied: 0 bytes

 

User: jan

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Opera cache emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: königstiger

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Java cache emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 32902 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 0 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 57,00 mb

 

 

OTL by OldTimer - Version 3.2.20.2 log created on 01232011_160918
 

Files\Folders moved on Reboot...
 

Registry entries deleted on Reboot...

Code:

ESETSmartInstaller@High as CAB hook log:

OnlineScanner.ocx - registred OK

ESETSmartInstaller@High as downloader log:

all ok

esets_scanner_update returned -1 esets_gle=49153

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6419

# api_version=3.0.2

# EOSSerial=217a84a6b7bbca4db95544aa1fb83be5

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2011-01-23 08:50:31

# local_time=2011-01-23 09:50:31 (+0100, Westeuropäische Normalzeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=1797 16775141 100 100 507526 70703704 514629 0

# compatibility_mode=8192 67108863 100 0 4927 4927 0 0

# scanned=76596

# found=7

# cleaned=0

# scan_time=8694

C:\Dokumente und Einstellungen\asus\Eigene Dateien\progs\unlocker1.9.0.exe        Win32/Adware.ADON application (unable to clean)        00000000000000000000000000000000        I

C:\System Volume Information\_restore{B6C497CE-23EC-4B67-AFCC-D62D2B3EDB33}\RP155\A0038546.msi        a variant of Win32/SlowPCfighter application (unable to clean)        00000000000000000000000000000000        I

C:\System Volume Information\_restore{B6C497CE-23EC-4B67-AFCC-D62D2B3EDB33}\RP155\A0038555.rbf        a variant of Win32/SlowPCfighter application (unable to clean)        00000000000000000000000000000000        I

C:\System Volume Information\_restore{B6C497CE-23EC-4B67-AFCC-D62D2B3EDB33}\RP158\A0039697.exe        Win32/Adware.ADON application (unable to clean)        00000000000000000000000000000000        I

C:\System Volume Information\_restore{B6C497CE-23EC-4B67-AFCC-D62D2B3EDB33}\RP171\A0047266.exe        Win32/Spy.SpyEye.BY trojan (unable to clean)        00000000000000000000000000000000        I

C:\System Volume Information\_restore{B6C497CE-23EC-4B67-AFCC-D62D2B3EDB33}\RP172\A0048272.exe        Win32/Spy.SpyEye.BY trojan (unable to clean)        00000000000000000000000000000000        I

C:\System Volume Information\_restore{B6C497CE-23EC-4B67-AFCC-D62D2B3EDB33}\RP180\A0049803.exe        a variant of Win32/Kryptik.JSZ trojan (unable to clean)        00000000000000000000000000000000        I

..noch zwei dinge:

1. vergass zu erwähnen, dass es während des downloads der ESET-database 3mal zu abbrüchen kam - 2x beim IE mit der fehlermeldung 'unexpected error 2002', 1x beim FF, dort mit frage nach proxyeinstellungen; bei der wiederholung klappte dann mit FF aber alles.

2. besteht aktuell eigentl. weiterverbeitungsgefahr per mail, sticks, PDAs?

Hallo naiad,

Wenn du keine Probleme mehr hast, dann sind wir hier fertig. Dein Rechner ist sauber. :daumenhoc
Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.

Schritt # 1: Desinfizierung/Absicherung externer Medien
Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab.
Gehe nun wie folgt vor:

Trenne den Rechner physikalisch vom Netz.
Deaktiviere den Hintergrundwächter deines Antivirenprograms.
Schließe jetzt alle externen Datenträgeran an deinen Rechner an.
Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
Wenn der Scan zuende ist, kannst du das Programm schließen.
Starte Deinen Rechner neu.

Hinweis:
Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, so dass dein Datenträger in Zukunft vor dieser Infektion geschützt ist.
Während dem Scan wird Dein Desktop kurzfristig verschwinden und dann wiederkommen. Das ist normal.

Schritt # 2: ComboFix deinstallieren
Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.

Code:

Combofix /Uninstall

http://larusso.trojaner-board.de/Images/CFuninstall.jpg

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.

Schritt # 3: Systembereinigung mit OTL
Als nächstes müssen wir alle Programme, die zur Malwarebeseitigung notwendig waren, entfernen:

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Schließe bitte nun alle Programme.
Klicke nun bitte auf den Button Bereinigung.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.

Schritt # 4: Systembereinigung
Als nächstes müssen wir alle Programme, die zur Malwarebeseitigung notwendig waren, entfernen:

Starte bitte die Load.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Schließe bitte nun alle Programme.
Klicke nun bitte auf den Button Clean Up.

Schritt # 5: Programme deinstallieren

Deinstalliere als nächstes bitte folgende Programme über die Systemsteuerung:
- ESET Online Scanner
Führe gegebenenfalls einen Neustart deines Rechners durch.
Deinstalliere gegebenenfalls weitere Dateien und Programme, die wir verwendet haben, manuell, falls sie noch nicht von deinem Rechner entfernt wurden.

Schritt # 6: Windows Update aktivieren
Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten.

Windows + R Taste drücken.
Kopiere nun folgenden Text in die Kommandozeile:

Code:

RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl
Klicke auf Ok.
Stelle sicher, dass die automatischen Updates aktiviert sind.

Schritt # 7: Schutz vor weiteren Infektionen
Damit du in Zukunft vor ähnlichen Infektionen geschützt bist, empfehle ich dir noch ein paar nützliche Programme inklusive ein paar Tipps.

Vergewissere dich, dass dein Virenscanner stets aktuell ist und regelmäßig Updates erhält.
Daneben empfehle ich dir die Verwendung eines der folgenden Anti-Malware tools:
- Malwarebytes' Anti-Malware
- SuperAntiSpyware
- Emsisoft AntiMalware
SpywareBlaster
Eine Anleitung findest du hier
MVPs hosts file
Eine Einführung findest du hier
Öffne keine E-Mails oder deren Anhänge, wenn du den Absender nicht kennst!
Verwende keine Filesharing Programme, da damit sehr oft Malware übertragen wird!
Verwende keine Keygens, Cracks, Cheats, etc.!
Halte ALLE deine Programme aktuell, z. B. mit dem Online Secunia Inspector!

Schritt # 8: Passwörter ändern
Bitte ändere alle deine Passwörter (Online-Banking, Ebay, E-Mail, etc.). Da dein Rechner nun sauber ist, besteht keine Verbreitungsgefahr mehr.

Schritt # 9: Deine Rückmeldung
Bitte gib uns kurz Bescheid, wenn alles erledigt ist und du keine Fragen mehr hast, damit ich das Thema aus meinen Abos löschen kann.
Es freut uns, wenn wir helfen konnten.

hallo,

gebe mich schonmal gebremster vorfreude hin :rolleyes: ..aber zunächst noch folgendes:

1. in malwarebytes liegen noch 6 spyeyes in quarantäne - wie vorgehen, wenn ich das programm an sich behalten will: alle löschen und gut, oder prog trotzdem deinstallieren und neu runterladen?

2. beim lauf von flash disinfector gabs offenbar ein problem mit meinem pda (htc/win mobile 6) - der scan wurde zwar als erfolgreich abgeschlossen gemeldet, aber im gegensatz zu den anderen angeschlossenen ext. geräten ist auf dem pda keine von flash erstellte autorun-datei zu finden.. was tun, bzw sollte ich das gerät nochmal online scannen & falls ja, wo am besten?

3. erunt/ntregopt beide drauflassen?

4. mir wäre noch wichtig: wisst ihr wo & wann genau ich mich infiziert habe? denn es ist nicht klar, ob die ursprüngl. antivir-meldung vor 2 wochen überhaupt mit dem spyeye-zeug zusammenhing.

danke & gruss!

Hallo naiad,

Zitat:

Zitat von naiad (Beitrag 612970)

1. in malwarebytes liegen noch 6 spyeyes in quarantäne - wie vorgehen, wenn ich das programm an sich behalten will: alle löschen und gut, oder prog trotzdem deinstallieren und neu runterladen?

Diese Schädlinge sind in der Quarantäne gut aufgehoben. Du kannst sie jederzeit löschen, wenn du das möchtest. :kloppen:
Eine Deinstallation/Neuinstallation ist nicht notwendig.

Zitat:

Zitat von naiad (Beitrag 612970)

2. beim lauf von flash disinfector gabs offenbar ein problem mit meinem pda (htc/win mobile 6) - der scan wurde zwar als erfolgreich abgeschlossen gemeldet, aber im gegensatz zu den anderen angeschlossenen ext. geräten ist auf dem pda keine von flash erstellte autorun-datei zu finden.. was tun, bzw sollte ich das gerät nochmal online scannen & falls ja, wo am besten?

Der Flash Disinfector unterstützt generell kein pda, sondern dient zur Absicherung von USB-Sticks und externen Festplatten.

Zitat:

Zitat von naiad (Beitrag 612970)

3. erunt/ntregopt beide drauflassen?

Können beide deinstalliert werden.

Zitat:

Zitat von naiad (Beitrag 612970)

4. mir wäre noch wichtig: wisst ihr wo & wann genau ich mich infiziert habe? denn es ist nicht klar, ob die ursprüngl. antivir-meldung vor 2 wochen überhaupt mit dem spyeye-zeug zusammenhing.

Ich kann dir nicht sagen, "wo" du dich infiziert hast, ich kann dir jedoch sagen, dass am oder vor dem 05. Januar der Schädling auf deinen Rechner gelangt sein wird. Zumindest sprechen einige Einträge aus den Logfiles dafür.

AntiVir hat den Trojaner SpyEye in deiner Systemwiederherstellung entdeckt und dir gemeldet. Ich sehe hier sehr wohl einen Zusammenhang zur Infizierung. Ein kompletter Systemscan mit AntiVir hätte den Trojaner unter

Code:

C:\portwexexe.exe\portwexexe.exe

mit Sicherheit entdeckt.

Zitat:

AntiVir hat den Trojaner SpyEye in deiner Systemwiederherstellung entdeckt und dir gemeldet. Ich sehe hier sehr wohl einen Zusammenhang zur Infizierung. Ein kompletter Systemscan mit AntiVir hätte den Trojaner unter C:\portwexexe.exe\portwexexe.exe mit Sicherheit entdeckt.

nein, zumindest nicht als trojaner - die funde, die antivir mir am 5.1. gemeldet hatte, waren 'HTML/Infected.WebPage.Gen2' und 'JAVA/OpenConnect.CF' [virus]
c:\portwexexe.exe\portwexexe.exe wurde im nachfolgenden systemscan lediglich als versteckte datei angezeigt, und nur zufällig durch ein avira-forumsmitglied entdeckt; darüber gabs im avira-thread auch entsprechende diskussionen. erstmalig von antivir als virus gemeldet wurde die portwexexe am 17.1.
(übrigens hat antivir seitdem seltsamerweise auch keine neuen virendefinitionsdateien mehr heruntergeladen - das habe ich erst vorhin zufällig entdeckt; soll ich lieber neu installieren?)

darum frage ich mich jedenfalls, ob der trojaner schon länger unbemerkt auf dem rechner lag; das würde mich aufgrund bestimmter begleitumstände einfach sehr interessieren.

Zitat:

Der Flash Disinfector unterstützt generell kein pda, sondern dient zur Absicherung von USB-Sticks und externen Festplatten.

auf einem anderen mobile hat er die autorun aber angelegt.. weisst du eine vergleichbare möglichkeit zur absicherung von pdas? so ungescannt & ungesichert habe ich gerade kein gutes gefühl, das gerät an den frisch gesäuberten pc anzuschliessen.. immerhin gabs während der infektionszeit verschiedentlich 'kabelkontakt'.

danke & gruss!

Hallo naiad,

Zitat:

Zitat von naiad (Beitrag 613171)

(übrigens hat antivir seitdem seltsamerweise auch keine neuen virendefinitionsdateien mehr heruntergeladen - das habe ich erst vorhin zufällig entdeckt; soll ich lieber neu installieren?)

Versuche zuerst, AntiVir manuell zu updaten (Öffne das Kontrollzentrum und klicke rechts auf Update starten.
Du kannst auch unter Verwaltung > Planer Updateaufträge einrichten. :)

Sollte dies auch nicht zum gewünschten Erfolg führen, führe eine Deinstallation/Neuinstallation durch. :)

Zitat:

Zitat von naiad (Beitrag 613171)

darum frage ich mich jedenfalls, ob der trojaner schon länger unbemerkt auf dem rechner lag; das würde mich aufgrund bestimmter begleitumstände einfach sehr interessieren.

Mehr als bisher kann ich dir leider nicht dazu sagen. Von welchen Begleitumständen sprichst du?

Zitat:

Zitat von naiad (Beitrag 613171)

Flash Disinfector stellt diese AutoRun Funktion vollkommen ab. Es wird quasi nichts gestartet, wenn du es nicht manuell anklickst. Du brauchst dir diesbezüglich keine Sorgen machen. :)

Bitte bedenke: Nicht alles was unter Windows läuft, läuft auch auf jedem x-beliebigen mobilen Gerät. Diese haben meist ein eigenes Betriebssystem. Mir ist kein Tool für die Absicherung von pdas bekannt.

hallo m-k-d-b,

einen hab ich noch..
seit ein paar tagen dauert die wlan-einwahl jedes zweite o. dritte mal wesentlich länger als sonst; sobald die verbindung dann hergestellt ist, wird für 1-2 sek. 'keine o. eingeschränkte konnektivität' angezeigt, dann springt die anzeige in den normalmodus ('verbindung hergestellt'). das hatte ich so noch nie; auf einem parallel laufenden rechner wird die verbindung auch durchgehend als stabil angezeigt, und die einwahl funktioniert wie immer. idee?

Zitat:

Von welchen Begleitumständen sprichst du?

es gab andere personen, die zugriff auf den rechner hatten

an eine neuinstall. von antivir dachte ich übrigens, weil schon im avira-thread vom 5.1. ein mod schrieb, dass das prog evtl angeschossen sein könnte:

Zitat:

Scheint so das die extra heruntergeladene Datei AVir beeinträchtigt oder ähnliches, ein nicht ganz unbekanntes Spielchen der malware-Autoren wie man mittlerweile feststellen muß.

insofern hab ichs jetzt doch mal ausgetauscht.

fürs pda hab ich jetzt auch eine gute lösung gefunden, und werde nochmal dein nächstes posting wg. der wlan-sache abwarten - aber ansonsten gehe ich davon aus, dass der rechner wieder fit ist. :Boogie:

das ultimative abschluss-danke gibts angemessenerweise im letzten post - aber bis dahin schonmal.. :bussi: _ :D

Hallo naiad,

Zitat:

Zitat von naiad (Beitrag 613870)

seit ein paar tagen dauert die wlan-einwahl jedes zweite o. dritte mal wesentlich länger als sonst; sobald die verbindung dann hergestellt ist, wird für 1-2 sek. 'keine o. eingeschränkte konnektivität' angezeigt, dann springt die anzeige in den normalmodus ('verbindung hergestellt'). das hatte ich so noch nie; auf einem parallel laufenden rechner wird die verbindung auch durchgehend als stabil angezeigt, und die einwahl funktioniert wie immer. idee?

Dieses kleine Zeitfenster für den Aufbau der Verbindung ist vollkommen normal, du brauchst dir keine Sorgen machen. :)
Jedes Mal wenn ich beispielsweise über WLAN ins Internet gehe, wird auch kurz "keine oder eingeschränkte Konnektivität" angezeigt. Anschließend ist die Verbindung hergestellt. Ich kenne es quasi gar nicht anders.

Warum es sich bei dir geändert hat, kann ich dir leider nicht sagen. Seit wann genau wird denn für 1-2 Sekunden die von dir genannte Meldung angezeigt? Kannst du uns darüber näher Auskunft geben?

Zitat:

Seit wann genau wird denn für 1-2 Sekunden die von dir genannte Meldung angezeigt? Kannst du uns darüber näher Auskunft geben?

ich würde sagen, seit dem 20./21.1. - bzw. seit die irgendwann nach dem 5.1. ständig doppelt aufgetretenen popups nicht mehr kommen die ich in post #5 erwähnte, mit der meldung 'offlinebetrieb. es konnte keine verbindung mit dem internet hergestellt werden etc.. '

Hallo naiad,

mach bitte folgendes:

Klicke auf Start > Ausführen
Gib in die Kommandozeile folgenden Befehl ein:

Code:

ipconfig /flushdns
Klicke auf Ok
Starte deinen Rechner neu auf.

Hat sich eine Besserung ergeben?

das scheints gebracht zu haben - ist jedenfalls bisher nicht wieder aufgetreten. kann das spyeyemässig mit einer IP-umleitung o.ä. zusammenhängen, oder eher was triviales?

Hallo naiad,

Zitat:

Zitat von naiad (Beitrag 614664)

das scheints gebracht zu haben - ist jedenfalls bisher nicht wieder aufgetreten.

Na das ist doch sehr gut. :abklatsch:

Zitat:

Zitat von naiad (Beitrag 614664)

kann das spyeyemässig mit einer IP-umleitung o.ä. zusammenhängen, oder eher was triviales?

Ganz auszuschließen ist das nicht, dass es was mit diesem Trojaner zu tun hatte, aber rausfinden bzw. zurückverfolgen können wir das nicht mehr.

Wenn du sonst keine Probleme mehr hast, dann sind wir hiermit durch. :daumenhoc

leiderleider.. zu früh gefreut, was das einwahlthema angeht: seit heute wieder das gleiche verzögerungsproblem, auch trotz erneutem flushdns-befehl. aber egal; falls du noch eine zündende idee dazu hast, wunderbar, doch ich betrachte das ursprungsthema auch erstmal als erledigt.

ok, dann also - millionthanx für den guten, umfassenden support! :daumenhoc
schön dass es eure seite gibt; alles gute, spende folgt..
aloha!!

naiad

:party:

Hallo naiad,

es freut uns, wenn wir Dir helfen konnten. :abklatsch:
Vielen Dank für deine Ausdauer und die Spende. :)

Das Thema ist hiermit beendet.