Hallo zusammen,

heute hat mir meine Bank mitgeilt dass ich den URL Zone 2 Virus angeblich habe.
Ich über google diesen Beitrag gefunden und hab direkt die Anweisungen mal befolgt.
Folgendes habe ich bisher gemacht:
1.CC Cleaner laufen lassen
2. Maleware laufen lassen
3. RSIT
4. GMER

Im Anhang hab ich mal den Logbericht von Maleware und GMER gepackt.
Hab ich den Virus nun komplett entfernt?
Wie kann ich das 100%ig feststellen? Kann man das überhaupt zu 100% feststellen?
Freue mich auf eure Antworten! Danke

Maddin

hier noch der log von mbr.exe
hatte ich vergessen...

Hallo und

Zitat:

Hab ich den Virus nun komplett entfernt?

Nein.

Zitat:

Wie kann ich das 100%ig feststellen?

Indem du alle Dateien deines Rechners prüfst.

Zitat:

Kann man das überhaupt zu 100% feststellen?

Das schon, aber der Zeitaufwand ist immens.

Es sind noch Reste des Skynet-Rootkits zu sehen und wenn du schon von deiner Bank informiert wirst, warum tust du dann nicht das einzig verantwortungsvolle nämlich Neuinstallation?

ciao, andreas

Weil mir gesagt wurde, dass unter Umständen ein einfaches neu aufsetzen von Windows nichts bringen würde.

Wie kann ich denn alle Files testen? Gibts dazu Programme oder geht das nur per Hand?


Wenn ich Windows neu installiere und meine Festplatte formatiere wäre der Virus dann aufjedenfall weg oder kann der sich im Bootsystem (also vll im BIOS) befinden?
Reicht es wenn ich nur C:\ lösche, dort wo windows installiert ist, oder muss auch D:\ gelöscht werden? Ist eine Festplatte aber partitioniert.

Zitat:

Weil mir gesagt wurde, dass unter Umständen ein einfaches neu aufsetzen von Windows nichts bringen würde.

Die Aussage ist schlicht falsch. Dein MBR ist sauber.

Zitat:

Wie kann ich denn alle Files testen? Gibts dazu Programme oder geht das nur per Hand?

Dafür gibt es Programme, aber du musst mehrere einsetzen, weil kein Programm alle kennt.

Zitat:

Wenn ich Windows neu installiere und meine Festplatte formatiere wäre der Virus dann aufjedenfall weg

Ja.

Zitat:

oder kann der sich im Bootsystem (also vll im BIOS) befinden?

Nein.

Zitat:

Reicht es wenn ich nur C:\ lösche, dort wo windows installiert ist,

Ja.

Zitat:

oder muss auch D:\ gelöscht werden?

Nein. Das, das du hattest geht nur auf das Betriebssystem los. Du solltest aber nach Neuinstallation, bevor du irgendein Programm auf D:\ startest mit mehreren aktuellen Scannern alles scannen. Geeignete findest du, wenn du in meiner Signatur auf Anleitungen klickst.

ciao, andreas

HI erstmal danke für die schnellen und super Antworten! Hast mir schon mehr sehr geholfen!!

Zitat:

Zitat von john.doe

Dafür gibt es Programme, aber du musst mehrere einsetzen, weil kein Programm alle kennt.

Würde nur ungerne mein System neu aufsetzten. Hättest du ne Liste von Programmen die ich laufen lassen müsste?
Danke!

Kein Problem, ist ja nicht mein Geld, das gekapert wird.

1.) Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Registry keys to delete:
HKLM\SYSTEM\ControlSet001\Services\SKYNETwylkrcnb
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

2.) Poste ein neues Gmer-Log.

3.) Poste beide Logs von RSIT => http://www.trojaner-board.de/74910-a...tion-tool.html

4.) http://www.trojaner-board.de/51871-a...tispyware.html (Punkt 1-3 der Anleitung)

ciao, andreas

Zitat:

Kein Problem, ist ja nicht mein Geld, das gekapert wird.

Meinste es ist zu unsicher wenn man das System nicht neu aufsetzt?

Schomal der LOG von Avenger

Zitat:

Meinste es ist zu unsicher wenn man das System nicht neu aufsetzt?

Meine Meinung habe ich schon gesagt, da hat sich nichts dran geändert. Es gibt schon ein Unterschied zwischen den Daddel-PCs der Kiddies und Rechnern, mit denen Geld bewegt wird.

Zudem lässt sich nicht nachvollziehen, was du schon unternommen hast und was gefunden wurde.

Ganz am Schluss wirst du mich fragen, ob der Rechner wieder sicher sei und die Antwort gebe ich dir gleich: Das kann ich dir nicht sagen.

Und du sparst ganz sicher keine Zeit. Reinigungen sind immer langwieriger als Neuaufsetzen.

ciao, andreas

Ok alles klar. Danke dann so weit!

Werde dann demnächst das System neu aufsetzten.

Tolles Forum! Echt super!

Schönen Abend noch!

Halte dich an unsere Anleitung und beachte vor Allem den Abschnitt "Für die Zukunft" damit es nicht wieder passiert. => http://www.trojaner-board.de/51262-a...sicherung.html

Dann kann ich dich entlassen.

ciao, andreas

Hi,
würde ganz gerne das thema noch mal aufgreifen.
War heute bei der Sparkasse. Die meinten, ein einfaches formatieren mit neuem Windows könnte unter umständen nicht reichen.
Die empfehlen mir zu einem Computerspezialisten zugehen oder eine neue Festplatte zu kaufen.
Beides ist mir aber zu teuer ( bräuchte eine 2.5Zoll platte dabei ist meine erst 4,5monate alt)...
Hab jetzt auch schon was mit "fixmbr" gelesen, was den bootsektor reparieren soll. Funzt das? und wie gehts das genau

Danke!

// Anti-Maleware hat nichts gefunden

soo.. konnte mit einer windows CD den befehl fixmbr ausführen. MBR wurde neu beschrieben und funzt immer noch alles.

Zitat:

Die meinten, ein einfaches formatieren mit neuem Windows könnte unter umständen nicht reichen.

Auch wenn ich die Sparkasse nicht unbedingt fragen würde, damit haben sie sogar Recht.

Zitat:

Die empfehlen mir zu einem Computerspezialisten zugehen oder eine neue Festplatte zu kaufen.

Das ist genau der Grund, warum ich sie nicht fragen würde. Gibt es mittlerweile eine Kooperation zwischen Sparkasse und Festplattenherstellern?

Beim Formatieren werden die vorhandenen Daten nicht gelöscht. Du kannst selbst nach dem Formatieren die alten Daten z.T. wiederherstellen. Es gibt allerdings sehr wohl die Möglichkeit Festplatten sicher zu löschen und selbst alte Datenfragmente zu entfernen => Darik's Boot And Nuke | Hard Drive Disk Wipe

Andere Möglichkeit ist die Low-Level-Formatierung mit Tools des Festplattenherstellers, das ist aber nicht gerade ungefährlich und sollte tatsächlich Spezialisten überlassen werden.

Allerdings lassen sich die alten Daten nur mit zusätzlichen Programmen wiederherstellen. Immer zu empfehlen ist das Löschen und Wiederanlegen der Partition, am Besten noch Größe ändern, dann ist es kaum noch möglich, die Daten wiederherzustellen.

Zitat:

Hab jetzt auch schon was mit "fixmbr" gelesen, was den bootsektor reparieren soll.

Das wäre nur dann notwendig gewesen, wenn der MBR (Masterbootrecord) befallen gewesen wäre. Das war er aber nicht, weder mbr.exe noch GMER noch Avira haben Befall angezeigt. Und Avira zeigt manchmal Befall an, wenn überhaupt keiner da ist.

Du machst dir unnötig Sorgen.

ciao, andreas

Ja hallo zusammen,

Da ich selbst mit diesem Ding zu kämpfen hatte und habe:

Was ist das für ein Ding? Keylogger? Backdoor? RAT?
Da anscheinend einige Nutzer von unterschiedlichen Banken über "URL Zone" informiert wurden, wäre es doch verdammt interessant, mit was für einem Kameraden wir es zu tun haben.

Hat irgendjendjemand eine Idee dazu?
Ist das nur eine Sammelbezeichnung bei den Banken?
Die müssen doch wissen, was sie da festgestellt haben, oder?
Kann es sein, dass deren Scanner einen Fehlalarm produziert haben und die Jungs nur präventiv handeln?

Würde es super finden, wenn wir gemeinsam den Mr. Unbekannt an den Pranger bekommen könnten.

Viele Grüße,
Marcus