Habe mir heute abend irgendwas beim Surfen eingefangen. Ich schreib das ganze Mal stichwortartig nieder, damit es vielleicht übersichtlicher ist:

- 1. Anzeichen heute abend: Windows Defender meldet verdächtige Aktivitäten. Klick auf "Quarantäne" bzw. "Nicht zulassen". Seitdem:
- Datei namens setup550694320.exe will meine Admin-Erlaubnis zur Installation haben. Bei Ablehnung will eine andere, ähnlich benannte Setup.exe (mit anderer Zahlenfolge) meine Erlaubnis, usw.
- im Task-Manager laufen mir unbekannte Prozesse namens zoogo.exe oder wuubuy.exe (nie gleichzeitig), außerdem z.exe oder y.exe.
- Betreffende Datei z.exe wurde von mir manuell gelöscht, anschließend startete y.exe als Prozess
- Ich ließ Malwarebytes AntiMalware durchlaufen, welches verdächtige Aktivitäten erkannte und löschte (siehe log), nach Neustart erkennt Antivir z.exe als Virus (trotz vorheriger Löschung). Wenn ich dort "nicht zulassen" auswähle, läuft y.exe als Prozess. Setup.exe-Dateien um Admin-Erlaubnis bitten weiter um Erlaubnis (s.o.)

Die Logs von Antimalware und OTL habe ich hinzugefügt. Ich bin wirklich ratlos und will nichts kaputtmachen. Hoffentlich hab ich das Ganze zumindest halbwegs verständlich geschrieben...

Ein kurzer Nachtrag (das Ganze hat mir keine Ruhe gelassen): habe vorhin nach einem Windows-Neustart die Antivir-Warnung ignoriert (welche mich auf z.exe hinwies und Quarantäne vorschlug) und sofort Antimalware laufen lassen. Habe leider vergessen, das Log zu speichern, es wurden allerdings 7 verdächtige Dateien erkannt (darunter sowohl y.exe als auch z.exe), die ich alle löschen ließ. Ich warf noch einen Blick in msconfig.exe in die Systemstartprogramme, wo mir das Systemstartelement mit dem kryptischen Namen "3A1BE7505F6BED46" auffiel (Hersteller: Unbekannt. Befehl: C:\winxnet.bin\winxnet.bin.exe.). Ich hab es aus der Autostartliste entfernt und nun startet mein System wie vorher, d.h. keine Antivir-Meldungen und auch Antimalware sowie Spybot und ein normaler Antivir-Scan bringen keine Funde mehr. Auch im Task-Manager tauchen keine mir unbekannten Prozesse mehr auf. Muss ich davon ausgehen, dass der Virus (was auch immer das für einer ist) noch in irgendeiner Weise aktiv ist, oder bin ich nun los?

hi
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Zitat:

Zitat von markusg

hi
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Gesagt, getan (siehe Anhang).

öffne bitte computer c: dort qoobox, rechtsklick quarantain, mit winrar oder zip packen, archiv hochladen.
http://www.trojaner-board.de/54791-a...ner-board.html
wie im link beschrieben.

hi,
sei das nächste mal doch so gut und schreib hier rein wenn du was hochgeladen hast, ich guck nur unregelmäßig rein meistens.
machst du onlinebanking einkäufe oder sonst was wichtiges mit dem pc?

Zitat:

Zitat von markusg

hi,
sei das nächste mal doch so gut und schreib hier rein wenn du was hochgeladen hast, ich guck nur unregelmäßig rein meistens.
machst du onlinebanking einkäufe oder sonst was wichtiges mit dem pc?

Klar, mach ich. Ich wusste nicht, ob du evtl. automatisch benachrichtigst wirst über den Upload.
Onlinebanking mach ich tatsächlich über diesen PC (über die Website meiner Bank). "Wichtig" sind noch meine Uni-Sachen, die ich gespeichert hab, ansonsten nutze ich ihn hauptsächlich für Musik, Fotos und TV. Ist dir irgendwas bedenkliches aufgefallen? Mich macht stutzig, dass ich über das Verhalten bzw. die Dateinamen des Virus online so gut wie nichts finden kann.
Nach dem Suchlauf mit Combofix sind nun alle Anzeichen verschwunden (auch der Eintrag im Systemstart-Menü der msconfig.exe ist weg) und es fühlt sich eigentlich alles so an wie vorher.

hi, mir ist was sehr unschönes aufgefallen.
du hast einen sogenannten spyeye trojaner.
dieser stiehlt kreditkarten infos, online banking zugangsdaten, kurz um, alles was sich zu geld machen lässt.
bitte rufe die bank an.

notfall nummer, falls die bank zu ist:
116 116
bitte, falls sie nachfragen, den spyeye trojaner erwähnen, die wissen bescheid denke ich.
da wir nicht 100 %ig für ein sauberes system garantieren können, muss dieser pc neu aufgesetzt werden.
ich erkläre dir, falls du das willst, wie du den pc in zukunft mit einfachen mitteln wirksam schützt.
übrigens, das pin /tan verfahren was du warscheinlich nutzt, ist das unsicherste verfahren, auch da werde ich dir ne bessere alternative aufzeigen.

Für Tipps bin ich auf jeden Fall dankbar! Meine Bank hat kürzlich auf ein Mobile-TAN-Verfahren umgestellt, es sollte also ohne mein Handy nichts gehen. Ich rufe trotzdem an.

Kannst du mir noch nähere Infos zu dem Trojaner-Befall geben? Was genau dafür spricht, dass mein PC damit befallen ist? Und wurde er durch Combofix zumindest erstmal ausreichend entfernt (soweit du das beurteilen kannst)? Ich frage nach, weil ich voraussichtlich erst Ende der Woche dazu komme, den PC neu aufzusetzen.

bis ende der woche hast du zeit, aber am besten nichts machen, wo du online ein passwort eingeben musst.
das zb:
C:\winxnet.bin
c:\winxnet.bin\config.bin
c:\winxnet.bin\winxnet.bin.exe
ist der spyeye trojaner.
ein trojaner der immer weiter entwickelt und damit immer besser wird
ist ein gern genutzter trojaner bei kriminellen, er wird häufig durch sicherheitslücken verbreitet und über mail anhänge.
wir werden uns, im ramen der absicherung darum kümmern, das bei dir alle programme die auf dem pc laufen, zeitnahe ihre updates bekommen, dazu werde ich dich sogenannte update checker instalieren lassen.
das heißt zwar nicht, dass es nicht noch bekannte aber nicht geschlossene lücken, bzw unbekannte lücken geben kann, deswegen ist es aber trotzdem sehr wichtig alle lücken zeitnahe zu schließen.
desweiteren enthällt das konzept noch weitere schutzmaßnamen.
ein antivirus programm allein ist nicht so wirksam wie man gern glaubt, es kann nur funktionieren, heut zu tage, wenn es als ein baustein betrachtet wird, und mehr nicht, heißt, nach möglichkeit sollte man es erst gar nicht so weit kommen lassen, dass das antivirus programm reagieren muss.

So, hab den PC neu aufgesetzt und bei der Gelegenheit auch Windows Vista durch Windows 7 ersetzt. Bisher gab es keine verdächtigen Bewegungen auf meinem Konto, ich hab mich aber schon mit der Bank in Verbindung gesetzt.

Vielen Dank für die Hilfe! Kannst du mir noch sagen, wie ich den PC besser absichern kann?

sichere wie folgt ab, damit das nicht wieder passiert.

http://www.trojaner-board.de/96344-a...-rechners.html
hier alles unter vista /windows 7 und allgemeines abarbeiten!
außerdem den abschnitt
Maßnahmen für ALLE Windows-Versionen abarbeiten.

als antivirus kannst du zb avast nutzen. pdf zur anleitung gibts hier:
http://www.trojaner-board.de/127580-...igurieren.html
denke die haben das beste gesammt angebot für kostenlose produkte.
als browser opera.
falls er dir nicht zusagt, passe ich die anleitung für nen andern browser an
um das surfen sicherer zu machen, würde ich Sandboxie empfehlen.
Download:
Sandbox*Einstellungen |

(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.

eine sandbox ist eine isulierte umgebung aus der kein programm raus kommt.

um die volle wirkung zu erreichen muss alles umgesetzt und eingehalten werden.
alle benötigten verknüpfungen fürs eingeschrenkte konto nach
c:\benutzer\Default\desktop bzw \startmenü
kopieren. so sind sie für alle sichtbar
wenn du fragen hast, probleme, oder erfolgreich warst, melde dich bitte.
wenn du online banking betreibst, lese den passenden abschnitt, cardreader werden verbilligt von der bank ausgegeben