|
Weiterleitung nach google Suche + amazon Daten ausgepäht Hallo Trojaner-board, vor zwei Wochen wurde ich Opfer eines Angriffs, welcher meine Einloggdaten für meinen amazon Account als "Beute" zur Folge hatte. Amazon hat zum Glück den 900€ Geschenkgutschein der Nachts um 3:00 Uhr gekauft wurde storniert und mein Konto gesperrt. In direkte Verbindung mit meinem System habe ich es nicht gebracht, da keinerlei Anzeichen oder ungewöhnliches im Vorfeld aufgetreten ist. Seit dieser Woche jedoch werde ich zu dubiosen Seiten weitergeleitet, wenn ich die goolge-Suche verwende. Ich habe dazu schon einige Themen hier gefunden und nachgelesen - deshalb habe ich jetzt einen Malware Full Scan gemacht und diese Logfile (siehe Anhang) wurde erzeugt. Dazu habe ich mit dem CC-Cleaner temporäre Files gelöscht und die Registry gecleant. Antivir findet seit heute schon 11 Mal "HTML-Scriptvirus HTML/Infected.WebPage.Gen2" und zusätzlich einmal "TR/Spy.Gen" . Da habe ich mir wohl was eingefangen.... Code: Malwarebytes Anti-Malware 1.60.1.1000Bitte um Hilfe Mit freundlichen Grüßen motzer |
:hallo: Mein Name ist Marius und ich werde dir bei deinem Problem helfen. Eines vorneweg: Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass du clean bist. Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
Vista und Win7 User Alle Tools mit Rechtsklick "als Administrator ausführen" starten. Schritt 1: Online-Banking sperren! Da dein Rechner offensichtlich Schadsoftware enthält, welche Anmeldedaten abgreift: Rufe die Sperrhotline 116 116 an und lasse das online banking sicherheitshalber sperren - sofort! Schritt 2: FRST Downloade dir bitte Farbar's Recovery Scan Tool und speichere diese auf einen USB Stick. Schließe den USB Stick an das infizierte System an Du musst das System nun in die System Reparatur Option booten. Über den Boot Manager
|
Hallo Marius, danke für die schnellen Hinweise. War etwas stressig eine Windows CD zu bekommen, hatte die Uni Version damals vom USB Stick installiert. Habe daher versuch vorhin per VPN ins Uni Netz zu gelangen hat aber nicht funktioniert auch mit verschiedenen Clients nicht, obs am Netz oder an meinem System lag weiß ich leider nicht. Habe dann letztendlich doch eine System CD bekommen. Was mir noch aufgefallen ist die CD Laufwerke waren nicht mehr im Arbeitsplatz vorhanden, habe über den Gerätemanager nachgeschaut, Treiber sollen defekt gewesen sein. Habe sie entfernt und neu installiert - funktionierte danach um die Windows CD brennen zu können. Lange rede kurzer Sinn hier der Log Code: Scan result of Farbar Recovery Scan Tool (FRST written by farbar) Version: 11-03-2012mfg motzer |
Da hast du ja schon ganz schön rumgefroscht - insbesonder Combofix ist ein sehr mächtiges Tool, welches man niemals ausführen sollte, wenn man nicht weiß, was man tut! :twak: Lass es mich dennoch versuchen... Schritt 1: Fix mit FRST Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: HKU\motzer\...\Run: [{91419E33-D9AC-2F4F-9DDB-0A31B337FF79}] C:\Users\motzer\AppData\Roaming\Ihuw\ecnoni.exe [x]
Schritt 2: ComboFix Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
Schritt 3: TDSS-Killer (Scan) Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen. Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop
Schritt 4: aswMBR Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
|
Hallo Marius, also vorab ich habe die Tools wie Combofix nur runtergeladen jedoch nie geöffnet, da ich hier im Forum schon gelesen hatte, dass man sie erst nach Aufforderung nutzen sollte - von daher nur halb rumgefroscht =) So also Fix mit FRST hat geklappt. Combofix klappt aber irgendwie nicht - ich starte und das Tool erstellt einen Wiederherstellungspunkt geht dann über zum Scan - und dann ist Ende ich habe gestern 5h scannen lassen bis ich dachte "Die 10 Minuten sind wohl selbst bei meiner Kiste vorbei" http://www.imgbox.de/users/motzer/th...Combofix_t.gif das bleibt so stehen der Cursor blinkt .... Habe dann heute als ich von der Uni kam nochmal getestet beim Hochfahren kam dann diese Meldung ich habe auf "Ja" geklickt und dann nochmal versucht mit Combofix zu scannen und jetzt sind wieder 2h vergangen und nichts passiert. Worran kann es liegen ? http://www.imgbox.de/users/motzer/th...mbofix_2_t.gif Ich habe Antivir deaktiviert aber er meckert trotzdem beim Start von Combofix - habe ich es vielleicht nicht komplett "ausgeschaltet" ? Und jetzt rödelt der Rechner wie verrückt CPU Auslastung bei über 50% und der Lüfter auf volllast - selbst nach erneutem Start. Daher hier nochmal Resourcenmonitor http://www.imgbox.de/users/motzer/th...esourcen_t.gif bitte um weitere Anweisungen. mfg motzer |
Dann ist die Combofix.exe also auch schon länger am System? Starte Windows im abgesicherten Modus mit Netzwerktreibern, lösche die vorhandene combofix.exe und lade dir eine neue von hier herunter. Starte sie per Rechtsklick-->Als Administrator ausführen. Poste das logfile/berichte! |
Okay Treiber vom WLAN Stick neu installiert und Internet ist wieder da ich versuche jetzt nochmal über den abgesicherten Modus Combofix zu laden! Edit: Also im abgesicherten Modus funktioniert keine Internetverbindung. Ich habe Combofix dann regulär geladen und im abgesicherten Modus ausgeführt - selbes Bild wie vorher. Wiederherszellungspunkt wird erstellt danach startet der Scan, jedoch wird nichts weiter angezeigt. Was soll ich tun? motzer |
Neues FRST-Log Lösche die FRST.TXT (falls vorhanden) vom Stick. Schließe den USB Stick an das infizierte System an Du musst das System nun in die System Reparatur Option booten. Über den Boot Manager
|
Okay ausgeführt Code: Scan result of Farbar Recovery Scan Tool (FRST written by farbar) Version: 11-03-2012mfg motzer |
Schritt 1: Fix mit FRST Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: HKLM\...\Run: []
Schritt 2: Gmer Bitte
|
Hallo Marius, langer Weg =) aber geschafft. Als ich heute morgen den FRST Fix machen wollte und gerade hier im Forum deine Anweisungen gelesen habe kam aus dem nichts der "GEMA" Virus und hat meinen Screen zugedeckt - mit einigen Affengriffen hab ich es geschafft das Teil zu "beenden" und habe die gema.exe aus dem versteckten Ordner gelöscht. Danach habe ich neu gestartet und den Fix durchgeführt hier die Log File: Code: Fix result of Farbar Recovery Tool (FRST written by farbar) Version: 11-03-2012hier die LogFile Code: GMER 1.0.15.15641 - hxxp://www.gmer.netich hoffe auf weitere Hilfe mfg motzer |
Schritt 1: Fix mit FRST Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: C:\Windows\$NtUninstallKB40230$\3762978156\U
Schritt 2: ComboFix Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten starte den Rechner einfach neu. Dies sollte das Problem beheben. |
Hallo Marius, also heute starte ich meinen Rechner und Gema.exe startet wieder diesmal aus dem system32 Ordner. Ich habe die Datei wieder gelöscht um am Rechner arbeiten zu können. Dann hat Antivir direkt alarm geschlagen "TR/Spy.Banker.Gen2" ich klicke auf entfernen und nach einigen Minuten den gleichen Trojaner nochmal und einige Minuten wieder. Das alles während ich hier deine Anweisungen gelesen habe. Ich habe den FRST Fix ausgeführt hier die Logfile Code: Fix result of Farbar Recovery Tool (FRST written by farbar) Version: 11-03-2012Die CPU Auslastung ist aber weiterhin sehr hoch - immer noch um die 70% dauerhaft ohne irgendeine Aktion am Rechner services.exe und svchost.exe (netsvcs) nehmen davon fast alles ein. Wenn ich heute Abend noch neue Anweisungen bekommen sollte befolge ich diese natürliche, ansonsten werde ich morgen bevor ich in die Uni gehe den Rechner anschalten und einen Combofix Scan starten und den ganzen Tag laufen lassen - keine Ahnung ob das was bringt, jedoch nervt der laute Lüfter durch die hohe CPU Auslastung und ich kann das Teil nachts nicht durchlaufen lassen. mfg motzer |
Schritt 1: Scan mit TDSS-Killer Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen. Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop
Schritt 2: OTL (Custom Scan) Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code: activex
Schritt 3: Datei suchen Check mal, ob die Datei C:\Qoobox\ComboFix-quarantined-files.txt existiert und lade sie in dem Fall hoch! |
Okay TDSSKiller File Code: 23:30:12.0175 9384 TDSS rootkit removing tool 2.7.20.0 Mar 9 2012 17:10:43 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:12 Uhr. |
Copyright ©2000-2024, Trojaner-Board