Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: SEHR BESORGT wg. ONLINEBANKRAUB

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 07.03.2009, 00:46   #1
BERLINOne
 
SEHR BESORGT wg. ONLINEBANKRAUB - Standard

SEHR BESORGT wg. ONLINEBANKRAUB



Hallo mitenander,

ich habe versucht so gut wie möglich die "Goldenen Regeln" zu befolgen und hoffe das ich es RICHTIG gemacht habe,dennoch muss ich hier mal nachfragen.
Seit Heute habe ich wenn ich Filme oder Mozilla starten will (mehr habe ich noch nicht entdeckt bis jetzt).....eine Trojanerwarnung von meinem kostenfreien AntiVir den ich fast 2-3 mal am Tag update.Die Warnung deutet auf diesen Übeltäter hin "TR/Silentbanker.P".
Natürlich habe ich (da ich die Goldenen Regeln befolgt habe) auch schon nützliches erfahren aber ich bin so besorgt das ich nachfragen muss.

Es handelt sich ja hier anscheinend um einen übelen Zeitgenossen der es auf meine Bankdaten abgesehen hat.Ich habe nun gerade Gestern und Vorgestern und Heute auf meine BEIDEN Konten zugegriffen und bin deshalb sehr sehr besorgt.Ich habe da ich den Trojaner noch nicht dinfest machen konnte.....mich auch nicht getraut meine Konten aufzusuchen und mal zu cheken ob alles ok ist.Ich weiss eigentlich auch nicht wo dieser Trojaner hergekommen sein soll.Ich öffne NIE NIE NIEMALS Mails die ich nicht kenne.....ich habe die Vorabansicht in Mailproggi sogar deaktiviert ...ich surfe über einen Router mit Firewall habe dazu Spybot und Antivir ständig aktuell und betriebsbereit .

Ich poste aber hiermal mein Hijackpost und hoffe auf schnelle Unterstützung da ich mir sehr grosse Sorgen mache.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:40:43, on 07.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\RMClock\RMClock.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\eMule\emule.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\701a00761.dll""
O4 - HKUS\S-1-5-18\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\701a00761.dll"" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\701a00761.dll"" (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O18 - Protocol: hddlife - {BD758015-47D9-477A-8873-4B688A2BC0E2} - "C:\Programme\BinarySense\HDDlife 3\hlAPP.dll" (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O24 - Desktop Component 0: (no name) - C:\Dokumente und Einstellungen\SirBOSS\Desktop\image_fmbg_0_15.jpg
O24 - Desktop Component 1: (no name) - C:\Dokumente und Einstellungen\SirBOSS\Eigene Dateien\Neuer Ordner\7.jpg
O24 - Desktop Component 11: (no name) - C:\Dokumente und Einstellungen\SirBOSS\Desktop\QRv3g9xf.htm.part.htm
O24 - Desktop Component 2: (no name) - C:\Dokumente und Einstellungen\SirBOSS\Desktop\2.jpg
O24 - Desktop Component 3: (no name) - C:\Dokumente und Einstellungen\SirBOSS\Eigene Dateien\Neuer Ordner\3.jpg
O24 - Desktop Component 4: (no name) - C:\Dokumente und Einstellungen\SirBOSS\Eigene Dateien\Neuer

BERLINOne

Alt 07.03.2009, 01:59   #2
Janes_1962
 
SEHR BESORGT wg. ONLINEBANKRAUB - Standard

SEHR BESORGT wg. ONLINEBANKRAUB



Schau Dir einfach mal die beiden Threads von RockinRoller und mir an. Es dürften gewisse Parallen vorherrschen, die Dir einen ersten Anhaltspunkt geben. Offensichtlich haben noch mehr Menschen in dieser Republik ein derartiges Problem.
Im Übrigen würde ich allenfalls mit de EC-Karte mal an einem Geldautomaten vorbeifahren oder, wenn vorhanden, von einem anderen Rechner aus den aktuellen Kontostand überprüfen. Du kannst dann wenigstens die Hotline der Bank anrufen und um Sperrung bitten. Denn den Kopf in den Sand zu stecken, hilft sicherlich auch nicht.

Viel Erfolg bei der Fehlersuche und
Grüße aus Düsseldorf
Tom
__________________


Alt 07.03.2009, 04:46   #3
nochdigger
 
SEHR BESORGT wg. ONLINEBANKRAUB - Standard

SEHR BESORGT wg. ONLINEBANKRAUB



Moin

Zitat:
Du kannst dann wenigstens die Hotline der Bank anrufen und um Sperrung bitten.
Sollte der erste Schritt sein, gleiches gilt erstmal auch für PayPal, Ebay usw., einfach nix unternehmen mit Passworteingabe von diesem Rechner (außer hier einloggen).

Zitat:
Ich weiss eigentlich auch nicht wo dieser Trojaner hergekommen sein soll.Ich öffne NIE NIE NIEMALS Mails die ich nicht kenne.....ich habe die Vorabansicht in Mailproggi sogar deaktiviert ...ich surfe über einen Router mit Firewall habe dazu Spybot und Antivir ständig aktuell und betriebsbereit .
Dann wil ich dir mal den Kopf waschen
1. Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
veraltetes Betriebssystem (SP3 aktuell) und veralteter Browser (IE7 aktuell)
2. C:\Programme\eMule\emule.exe eine der größten Malwareschleudern im Universum
3. Du stützt dich auf Programme für die Sicherheit deines Rechner, nutze lieber stärker den gesunden Menschenverstand.
So, ich habe erstmal fertig

Lass diese Datei(en)
Code:
ATTFilter
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\701a00761.dll
         
hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die gesamten Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben oder verlinke auf die Auswertung,
bitte auch wenn nichts gefunden wurde.

MFG
__________________
__________________

Alt 07.03.2009, 06:18   #4
BERLINOne
 
SEHR BESORGT wg. ONLINEBANKRAUB - Standard

SEHR BESORGT wg. ONLINEBANKRAUB



Hallo,

Ich habe vieles von dem was hier geraten wurde schon mal ausprobiert und wie es scheint ist mein system wieder sauber wenn ich das als Laie mal so sagen darf.Das emule SEHR SEHR SEHR gefährlich ist ist mir durchaus bewusst und ich benutze es schon sehr lange aber nur für Dokumente...im Ernst.Trotzdem ist es auch mit emule nicht so leicht sich was einzufangen...denke ich....es sei denn man führt Dateien aus von denen man besser die Finger lassen sollte aber das Emule selbstständig ohne Eigenes Zutun plötzlich Trojaner installieren kann ist mir neu.Aber wie gesagt ich bin ein Laie und lasse mich gerne eines besseren belehren.Ich bin kein Mensch der glaubt da wo er ist ist das caput mundi

Die logs sind diese hier:
So sah der Log nach dem 1 scannen aus:




Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1825
Windows 5.1.2600 Service Pack 2

07.03.2009 03:28:02
mbam-log-2009-03-07 (03-28-02).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 182920
Laufzeit: 1 hour(s), 25 minute(s), 5 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 9
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel\Homepage (Hijack.Homepage) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\701a00761.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\701a00761.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\SirBOSS\ANWEND~1\MACROM~1\Common\701a00761.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\SirBOSS\ANWEND~1\MACROM~1\Common\701a00761.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\SirBOSS\ANWEND~1\MACROM~1\Common\701a00761.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\SirBOSS\ANWEND~1\MACROM~1\Common\701a00761.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\701a00761.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\701a00761.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Und so nach dem 2 scannen:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1825
Windows 5.1.2600 Service Pack 2

07.03.2009 04:01:22
mbam-log-2009-03-07 (04-01-22).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 3
Laufzeit: 0 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)



dann hier der mbr.log :



Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


hier der log von Super AntiSpyware, den habe ich nach Malwarebytes
laufen lassen da hat der nur noch folgendes gefunden:


SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 03/07/2009 at 04:27 AM

Application Version : 4.25.1014

Core Rules Database Version : 3788
Trace Rules Database Version: 1745

Scan type : Complete Scan
Total Scan Time : 00:56:32

Memory items scanned : 455
Memory threats detected : 0
Registry items scanned : 4110
Registry threats detected : 0
File items scanned : 110619
File threats detected : 1

Trojan.SF
C:\BLUEBYTE\SF\SF.EXE
und der ist in Quarantäne

Dann hier noch der Hijack log der aktuellste:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:03:56, on 07.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O18 - Protocol: hddlife - {BD758015-47D9-477A-8873-4B688A2BC0E2} - "C:\Programme\BinarySense\HDDlife 3\hlAPP.dll" (file missing)
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O24 - Desktop Component 0: (no name) - C:\Dokumente und Einstellungen\SirBOSS\Eigene Dateien\Neuer Ordner\2.jpg
O24 - Desktop Component 1: (no name) - C:\Dokumente und Einstellungen\SirBOSS\Desktop\image_fmbg_0_15.jpg
O24 - Desktop Component 10: (no name) - C:\Dokumente und Einstellungen\SirBOSS\Desktop\QRv3g9xf.htm.part.htm
O24 - Desktop Component 2: (no name) - C:\Dokumente und Einstellungen\SirBOSS\Desktop\2.jpg
O24 - Desktop Component 3: (no name) - C:\Dokumente und Einstellungen\SirBOSS\Eigene Dateien\Neuer Ordner\5.jpg
O24 - Desktop Component 4: (no name) - C:\Dokumente und Einstellungen\SirBOSS\Eigene Dateien\Neuer Ordner\14.jpg
O24 - Desktop Component 5: (no name) - C:\Dokumente und Einstellungen\SirBOSS\Eigene Dateien\Neuer Ordner\15.jpg
O24 - Desktop Component 6: (no name) - C:\Dokumente und Einstellungen\SirBOSS\Eigene Dateien\Neuer Ordner\3.jpg
O24 - Desktop Component 7: (no name) - C:\Dokumente und Einstellungen\SirBOSS\Eigene Dateien\Neuer Ordner\21.jpg
O24 - Desktop Component 8: (no name) - C:\Dokumente und Einstellungen\SirBOSS\Eigene Dateien\Neuer Ordner\7.jpg
O24 - Desktop Component 9: (no name) - C:\Dokumente und Einstellungen\SirBOSS\Eigene Dateien\Neuer Ordner\1.jpg

--
End of file - 4069 bytes


das ist erst mal Alles.

Meine Konten habe ich überprüft (anderer Rechner) und im moment alles OK.
Ich habe nach all den Massnahmen die genannten Proggis nochmlas laufen lassen und bisher nichts wieder gefunden.CCleaner zeigt auch alles ok an.
Ich denke ...oder besser ich hoffe das es damit gut ist und ich den Rechner nicht platt machen muss......aber das letzte Wort habt ihr.Ich möchte die Gelegenheit ergreifen und mich für eure freundliche Hilfe bedanken für geleistete und kommende....das meine ich ernst.

BERLINOne

Alt 07.03.2009, 06:54   #5
nochdigger
 
SEHR BESORGT wg. ONLINEBANKRAUB - Standard

SEHR BESORGT wg. ONLINEBANKRAUB



Moin

Zitat:
Das emule SEHR SEHR SEHR gefährlich ist ist mir durchaus bewusst und ich benutze es schon sehr lange aber nur für Dokumente...
OK, ich wollte auch nur drauf aufmerksam machen

die angegebene Datei war nicht zu finden?
Welche Datei hatte Antivir in der Meldung angemeckert?

Lass das System bitte noch hier
Free Virus Scan - Kaspersky Lab
oder hier
ActiveScan 2.0 - A second opinion on the security of your PC
prüfen, anschließend berichte bitte nochmal.

MFG

__________________
Kein Support per PN - Bitte im Forum posten.

Alt 07.03.2009, 17:05   #6
BERLINOne
 
SEHR BESORGT wg. ONLINEBANKRAUB - Standard

SEHR BESORGT wg. ONLINEBANKRAUB



Zunächst danke vielmals für die Unterstützung,

Ich habe das mit dem Hinweis auf Emule durchaus nicht persönlich genommen.
Im Gegenteil,wenn ich als Laie teilweise manchmal erlebe
wie dumm sich manche Zeitgenossen anstellen und wie naiv Einige Menschen
selbst mit eigentlich eindeutigen Mails ( wo man es förmlich riecht das da ein
Virus oder Trojaner lauert)....umgehen ,kann ich deine Haltung nachvollziehen.

Aber zum Thema.

Hier der Log von einer der Meldungen die AV gefunden hatte,wie gesagt das war vor den Massnahmen mit den von euch hier genannten Progammen zur Bekämpfung.Es fing damit an das ich ein Video öffnen wollte das auf meiner Slave Platte gespeichert war...oder wenn ich Mozilla starten wollte aber auch bei anderen Anwendungen.Sobald ich die Anwendung startete kam diese Meldung :

"wurde ein Virus oder unerwünschtes Programm 'TR/Silentbanker.P' [trojan] gefunden."

und das ist einer der Logs von AV:

In der Datei 'C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Macromedia\Common\701a00761.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Silentbanker.P' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen


Um nochmals zu rekapitulieren:

Ich habe soweit ich das überblicken kann das Problem beseitigt.Ich habe nachdem ich die Progamme Malwarebytes und SUPERAntiSpyware habe durchlaufen lassen und die gefundenen Trojaner identifiziert und vernichtet wurden nochmals Alle Schritte wiederholt und bisher ist alles ok.

MalwarBytes Ergbenis des letzten Durchlaufs: NEGATIV
SUPERantispyware " " : NEGATIV
AntiVir " " : NEGATIV
SpyBot " " : NEGATIV
HijackThis " " : NEGATIV
mbr.exe " " : NEGATIV
CCleaner " " : NEGATIV

Weder was gefunden noch was verdächtiges entdeckt.

Die Frage die ich mir und dir/euch nun stellen möchte ist ob ich mich denn nun in SICHERHEIT wiegen kann/könnte......oder ob es wie in dem auf eurer Seite verlinkten Artikel ( "...Selbst wenn der Schädling entfernt wird, können noch falsche DNS-Einträge zurück bleiben, die den Benutzer weiterhin zum Online-Banking-Server der Angreifer schicken.....") über den "SilentBanker" Trojaner nachzulesen ist eben doch noch Gefahr bestehen kann.

Kann ich wieder normal arbeiten auf meine Onlinekonten zugreifen oder ist es eher so wie in diesem Thread

http://www.trojaner-board.de/70737-2...-trojaner.html

von undreal beschrieben ,

Denn seine Beschreibung liest sich für mich so in etwa:

" egal was du machst.....selbst wenn du die HDD mit Plutoniumstrahlen beschiesst und die Festplatte in einem Schwarzen Loch versenken würdest der Trojaner würde trotzdem noch irgendwo lauern.......
Also am besten wirf Alles weg Computer Tisch Telefonleitungen Verteilerknoten der Telekom,Verkabelungen der Letzten Meile.....und am besten auch noch die gesamte Wohnanlage durch die die Kabel der Telekom verlaufen...um ganz sicher zu gehen das der Trojaner vernichtet wurde. "



Jedenfalls kam das bei mir so rüber........

Wenn das nämlich stimmt was da steht (soweit ich das korrekt interpretiert habe) dann ist nicht einmal ein Low Level Format und ein löschen des MBR vor dem formatieren SICHER GENUG wenn man das richtig interpretiert was undreal dort schreibt .

Wie gesagt was meinst darf ich mich in Sicherheit wiegen.....?

BERLINOne

PS: die von dir empfohlenen Onlinescans laufen noch die Ergebnisse poste ich noch Heute.

Hier nochmals mein letztes HijackThis Log :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:32:20, on 07.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre6\bin\java.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O18 - Protocol: hddlife - {BD758015-47D9-477A-8873-4B688A2BC0E2} - "C:\Programme\BinarySense\HDDlife 3\hlAPP.dll" (file missing)
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O24 - Desktop Component 0: (no name) - C:\Dokumente und Einstellungen\SirBOSS\Eigene Dateien\Neuer Ordner\2.jpg
O24 - Desktop Component 1: (no name) - C:\Dokumente und Einstellungen\SirBOSS\Desktop\image_fmbg_0_15.jpg
O24 - Desktop Component 10: (no name) - C:\Dokumente und Einstellungen\SirBOSS\Desktop\QRv3g9xf.htm.part.htm
O24 - Desktop Component 2: (no name) - C:\Dokumente und Einstellungen\SirBOSS\Desktop\2.jpg
O24 - Desktop Component 3: (no name) - C:\Dokumente und Einstellungen\SirBOSS\Eigene Dateien\Neuer Ordner\5.jpg
O24 - Desktop Component 4: (no name) - C:\Dokumente und Einstellungen\SirBOSS\Eigene Dateien\Neuer Ordner\14.jpg
O24 - Desktop Component 5: (no name) - C:\Dokumente und Einstellungen\SirBOSS\Eigene Dateien\Neuer Ordner\15.jpg
O24 - Desktop Component 6: (no name) - C:\Dokumente und Einstellungen\SirBOSS\Eigene Dateien\Neuer Ordner\3.jpg
O24 - Desktop Component 7: (no name) - C:\Dokumente und Einstellungen\SirBOSS\Eigene Dateien\Neuer Ordner\21.jpg
O24 - Desktop Component 8: (no name) - C:\Dokumente und Einstellungen\SirBOSS\Eigene Dateien\Neuer Ordner\7.jpg
O24 - Desktop Component 9: (no name) - C:\Dokumente und Einstellungen\SirBOSS\Eigene Dateien\Neuer Ordner\1.jpg

--
End of file - 3924 bytes

Geändert von BERLINOne (07.03.2009 um 17:38 Uhr) Grund: Falsches Wort

Alt 07.03.2009, 18:02   #7
BERLINOne
 
SEHR BESORGT wg. ONLINEBANKRAUB - Standard

SEHR BESORGT wg. ONLINEBANKRAUB



Hi,

habe vom Kaspersky Online Scan keinen Report erhalten wenn ich auf Scan_Report klicke ist alles Leer ...?

Jedenfalls wurde nichts gefunden nicht in Threat Names,infected Objects oder
suspiciuos Objects.....

BERLINOne

Alt 07.03.2009, 18:06   #8
nochdigger
 
SEHR BESORGT wg. ONLINEBANKRAUB - Standard

SEHR BESORGT wg. ONLINEBANKRAUB



Hallo

die Empfehlung ist eigentlich schon die Neuinstallation des BS, auch wenn im Augenblick keine Schaddateien gefunden werden.
Du wirst von mir bei dieser Infektion nicht zu hören bekommen, dass das System sauber ist.
Ich würde dem System mein Geld nicht mehr anvertrauen.
Solltest du weiterhin mit dem System arbeiten wollen (darum die letzten scans), müssen unbedingt alle Pass- und Kennwörter geändert werden.

Du solltest so oder so auch das Servicepack 3 sowie alle Folgeupdates (auch IE7) von M$ einspielen.

MFG
__________________
Kein Support per PN - Bitte im Forum posten.

Alt 07.03.2009, 18:41   #9
BERLINOne
 
SEHR BESORGT wg. ONLINEBANKRAUB - Standard

SEHR BESORGT wg. ONLINEBANKRAUB



Ok ich habs verstanden...

aber wozu dann die ganze SÄUBERUNGSAKTION wenn es dann so oder so auf ein format C: hinausläuft.........porca miseria....?

Und bin ich nicht besser geschützt als andere da ich ne Routerfirewall habe ?

Ich benutze IE 7 gar nicht .

Nochmal nachgefragt Wozu das Ganze wenn ich soswieso format C: machen soll letztendlich und btw wenn man undreal glauben mag dann ist das auch noch keine Sicherheit.

Wie kann das sein das ich meine Festplatte formatiere alles lösche mbr lösche und neu usw.....und trotzdem sich der Trojaner noch irgndwo verstecken kann....wtf...?

dann wäre die EINZIGE RICHTIGE LÖSUNG oder EMPFEHLUNG da es ja um Bankkonten geht.....IMMER HDD in den Müll KEINE DATEIEN SICHERN NEUE HDD KAUFEN und FERTIG....????

Und was ist mit Dateien Sichern...?
Laut undreal ist auch das nur bedingt möglich wobei wenn man nach seiner Liste geht bleibt nichts wirklich nützliches übrig was man sichern darf.....was ist mit meinen wichtigen Docs....(undreal sagt NEIN ) was ist mit meinen unersetzlichen Bildern (undreal sagt NEIN )....was ist mit meinen wirklich sehr sehr wichtigen Mails (undreal sagt NEIN ) (ich meine das mit UNDREAL nicht als Vorwurf sondern das er das eben so empfhielt ) uns so geht das weiter und weiter das kann doch nicht sein.....dann wäre ja das Ganze Forum hier Alle diese Proggis usw...at absurdum geführt wenn wie gesagt es letztendlich doch IMMER (in Fällen wie meinem) zu format c: führt.....ich bin jetzt wirklich irrtiert und eines weiss ich genau ich werde mir jetzt eine HARDWAREFIREWALL zulegen.....

Ich habe jetzt insgesamt 10 Scanner Registrytools Virenscanner Malwarescanner Trojanerscanner Rootkitscanner und was weis ich nicht noch Alles benutzt und Alle Proggis sagen mir "Klar Schiff Kapitän"...und doch soll das Alles wertlos sein.....wau
Ich weiss nicht was ich machen soll habe Progamm um Progamm geladen ausgeführt mir die Nacht um die Ohren geschalgen und bin so schlau wie vorher.....merde....

BERLINOne

Geändert von BERLINOne (07.03.2009 um 18:46 Uhr) Grund: Grammatik

Alt 08.03.2009, 08:18   #10
nochdigger
 
SEHR BESORGT wg. ONLINEBANKRAUB - Standard

SEHR BESORGT wg. ONLINEBANKRAUB



Hallo

Zitat:
aber wozu dann die ganze SÄUBERUNGSAKTION wenn es dann so oder so auf ein format C: hinausläuft...
Also, die von dir eingesetzten Tools, dienen der Analyse und auch der Bereinigung.
Es ist auch ein wenig *unglücklich verlaufen im Beitrag, ich hatte das Gefühl, du wolltest nicht wirklich gerne neu aufsetzen und darum habe ich dir die Onlinescans ans Herz gelegt.

Zitat:
Und bin ich nicht besser geschützt als andere da ich ne Routerfirewall habe ?
Da ist schon was wahres dran, aber auch hier gilt es nutzt dir nix, wenn die Dateien bereits auf dem System liegen und ohne bedacht ausgeführt werden.
Auch sollte ein starkes Routerpasswort vergeben werden.
Ein Beispiel für ein sicheres Passwort ist = ?Kl4pp3rgeste11!
https://passwortcheck.datenschutz.ch/check.php?lang=de

Zitat:
Ich benutze IE 7 gar nicht
Für die Updates bei Microsoft wirst du ihn benötigen.

Zitat:
Nochmal nachgefragt Wozu das Ganze wenn ich soswieso format C: machen soll ...
*Das ganze hätte von mir aus etwas anders ausgesehen, du hättest die Datei genannt und sie dann bei z.B. Virustotal oder Jotti hochgeladen und umgehend die Empfehlung der Neuinstallation bekommen

Zitat:
...letztendlich und btw wenn man undreal glauben mag dann ist das auch noch keine Sicherheit.
Es gibt keine 100%ige Möglichkeit Malwarebefall auszuschließen, so sollte es verstanden werden, aber man muss nicht alles so schwarz wie undoreal sehen.

Zitat:
Wie kann das sein das ich meine Festplatte formatiere alles lösche mbr lösche und neu usw.....und trotzdem sich der Trojaner noch irgndwo verstecken kann....wtf...?
Wenn man es auf die Spitze treiben will, könnte es Theoretisch möglich sein, soweit möchte ich aber nicht gehen.

Zitat:
dann wäre die EINZIGE RICHTIGE LÖSUNG oder EMPFEHLUNG da es ja um Bankkonten geht.....IMMER HDD in den Müll KEINE DATEIEN SICHERN NEUE HDD KAUFEN und FERTIG....?
Halte ich für leicht überzogen

Zitat:
Und was ist mit Dateien Sichern...?
Verzichte auf ausführbare Dateien
und Dateien aus unsicheren Quellen wie P2P.
Officedateien, Bilder, Musik und Filme können i.d.R. problemlos gesichert werden, sollten aber vor dem zurückspielen mit einem aktuellem Antivirenprogramm überprüft werden.

Zitat:
Ich habe jetzt insgesamt 10 Scanner Registrytools Virenscanner Malwarescanner Trojanerscanner Rootkitscanner und was weis ich nicht noch Alles benutzt und Alle Proggis sagen mir "Klar Schiff Kapitän"...und doch soll das Alles wertlos sein.....wau
Schönes Beispiel ist Adware Skintrim, die ist seit mehr als einem Jahr unterwegs und wird erst jetzt einigermaßen erkannt.
Es wird immer Malware geben die nicht oder nur von wenigen Scannern erkannt wird, da könnten auch alle verfügbaren Programme zum Einsatz kommen.

Zitat:
Ich weiss nicht was ich machen soll habe Progamm um Progamm geladen ausgeführt mir die Nacht um die Ohren geschalgen und bin so schlau wie vorher...
Diese Entscheidung kann ich dir nicht abnehmen

MFG
__________________
Kein Support per PN - Bitte im Forum posten.

Alt 08.03.2009, 11:38   #11
chx
 
SEHR BESORGT wg. ONLINEBANKRAUB - Standard

SEHR BESORGT wg. ONLINEBANKRAUB



Zitat:
Zitat von BERLINOne Beitrag anzeigen
...

Ich habe jetzt insgesamt 10 Scanner Registrytools Virenscanner Malwarescanner Trojanerscanner Rootkitscanner und was weis ich nicht noch Alles benutzt und Alle Proggis sagen mir "Klar Schiff Kapitän"...und doch soll das Alles wertlos sein.....wau
Ich weiss nicht was ich machen soll habe Progamm um Progamm geladen ausgeführt mir die Nacht um die Ohren geschalgen und bin so schlau wie vorher.....merde....

BERLINOne
Hallo,

bin zwar auch nur Geschädigter hier, aber habe ein ähnliches Problem.

Ich habe den Trojaner Sinowal gefunden und mit Malwarebytes und mbr.exe beseitigt. Die logs waren danach o.k.. Mein Antivir hat nichts besonderes mehr gezeigt. Kaspersky Online war o.k. Windows defender hat nichts gezeigt, F-Secure Blacklight hat nichts gefunden...

Ich war eigentlich zufrieden und bin wieder ins Netz gegangen.

Dann habe ich Spyware doctor laufen lassen und er hat weitere 5 Infektionen gefunden!

Da er in der demoversion nur findet, aber nicht beseitigt, ist das der augenblickliche Stand der Dinge. Ich habe mir einen neuen PC gekauft.

Wie ich es mit der Übernahme ggf. infizierter dateien machen werde, weiß ich noch nicht..

Tschüß
Michael

Antwort

Themen zu SEHR BESORGT wg. ONLINEBANKRAUB
adobe, antivir, antivirus, avira, bho, dateien, desktop, einstellungen, explorer, firefox, firewall, handel, hijackthis, hkus\s-1-5-18, internet, internet explorer, microsoft, mozilla, ordner, programme, router, rundll, software, starten, system, windows, windows xp



Ähnliche Themen: SEHR BESORGT wg. ONLINEBANKRAUB


  1. CPU-Auslastung sehr hoch, PC sehr träge, trotz Neuinstallation
    Alles rund um Windows - 15.08.2015 (7)
  2. Besorgt wegen möglchem Trojaner nach verdächtigem Browser-Fenster
    Plagegeister aller Art und deren Bekämpfung - 15.06.2015 (12)
  3. Mein Notebook arbeitet sehr sehr langsam evtl. virus?
    Plagegeister aller Art und deren Bekämpfung - 09.02.2015 (13)
  4. Windows Vista fährt nur sehr langsam hoch und braucht sehr lange um Befehle auszufuehren.
    Log-Analyse und Auswertung - 22.11.2013 (1)
  5. Verfassungsschutz besorgt über Cyberspionage aus China
    Nachrichten - 04.06.2013 (0)
  6. Programme starten sehr langsam / Windows allg. sehr lahm
    Log-Analyse und Auswertung - 18.05.2013 (2)
  7. PC läd sehr lange und hängt sehr sehr oft
    Log-Analyse und Auswertung - 09.10.2012 (1)
  8. Pc wird sehr sehr langsam, Virenscanner schlägt ständig Alarm
    Log-Analyse und Auswertung - 05.06.2012 (4)
  9. viele Internetseiten nicht mehr erreichbar oder sehr sehr langsam
    Plagegeister aller Art und deren Bekämpfung - 25.05.2012 (13)
  10. Notebook verhält sich sehr, sehr eigenartig. Verdacht auf eventuelle Schadprogramme / Trojaner.
    Plagegeister aller Art und deren Bekämpfung - 01.05.2012 (14)
  11. Devolo d-LAN --> sehr sehr sehr geringe Netzwerkauslastung
    Alles rund um Windows - 04.05.2011 (1)
  12. Prozesse doppelt, PC sehr sehr langsam, hängt sich auf, noch zu retten?
    Log-Analyse und Auswertung - 29.06.2010 (2)
  13. Passwort geändert - besorgt
    Log-Analyse und Auswertung - 03.02.2010 (0)
  14. Sehr viele sehr seltsame Einträge in der Log-File, brauche Hilfe...
    Log-Analyse und Auswertung - 25.09.2009 (15)
  15. Sehr, sehr, sehr viele komische Spammails
    Überwachung, Datenschutz und Spam - 08.05.2009 (2)
  16. Mein rechner ist seit eine viren attake sehr sehr langsam
    Log-Analyse und Auswertung - 09.02.2009 (0)
  17. Bin etwas besorgt
    Antiviren-, Firewall- und andere Schutzprogramme - 03.03.2004 (2)

Zum Thema SEHR BESORGT wg. ONLINEBANKRAUB - Hallo mitenander, ich habe versucht so gut wie möglich die "Goldenen Regeln" zu befolgen und hoffe das ich es RICHTIG gemacht habe,dennoch muss ich hier mal nachfragen. Seit Heute habe - SEHR BESORGT wg. ONLINEBANKRAUB...
Archiv
Du betrachtest: SEHR BESORGT wg. ONLINEBANKRAUB auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.