|
Maßnahmen gegen Trojaner Spy.Banker.Gen Hallo! Meine Freundin bekam vorgestern eine mail von einem spanischen Freund mit Anhang...ich fragte sie noch ob die mail auch wirklich von Alberto sei...sie "ja" ich scannte die Datei, kein virus gefunden, klick auf ausführen und patsch! meldet AntiVir eine Infektion. Sie dachte ich meinte die mail an sich, dabei meinte ich natürlich den text...der war nicht von Alberto... Seitdem logge ich mich sicherheitshalber mit meinem PC nirgends mehr ein. Bei jedem Systemstart meldet mir AntiVir es hätte zwei Dateien gefunden, die mit dem Virus "TR.Spy.Banker.Gen" infiziert seien. Zum einen handelt es sich um diese Datei: In der Datei 'C:\WINDOWS\system32\updater.dll' wurde ein Virus oder unerwünschtes Programm 'TR/Spy.Banker.Gen' [TR/Spy.Banker.Gen] gefunden. Ausgeführte Aktion: Datei löschen und zum anderen um diese: In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XF1EJ1BK\eu_72[1].jpg' wurde ein Virus oder unerwünschtes Programm 'TR/Spy.Banker.Gen' [TR/Spy.Banker.Gen] gefunden. Ausgeführte Aktion: Datei löschen Habe den PC schonmal im abgesicherten modus hochgefahren und zumindest den Temorary Internet Files Ordner gelöscht. Die Datei updater.dll habe ich erst gar nicht gefunden, obwohl bei mir generell alle Dateien angezeigt werden. Das HJT logfile habe ich angehängt. Die Lust auf eine Neuinstallation geht natürlich gegen -7. Mein PC verhält sich bis jetzt auch nicht komisch, bis auf die beiden nicht existenten aber dennoch befallenen Dateien. Falls jedoch Plattmachen die einzige chance ist, wie siehts mit meinen gespeicherten Emails aus...kann ich die auf DVD sichern und zurückspielen nachdem sich ein virenscanner die DVD zur brust genommen hat? Will ja keinen Datenverlust...da lass ich mich ja schon lieber ausspionieren! :dummguck: Beste Grüße vom PowerDremel |
Hi, ich würd den Rechner plattmachen. Outlookemails werden in der Datei outlook.pst gespeichert. Die musst Du sichern. Sehe da keine Gefahr, wenn die dann mit einem Virenscanner gescannt hast und dann beim Gebrauch nen Virenscanner im Hintergrund laufen hast. Gruß, Klarser |
Hi, lass mal combfix von der Leine und poste das Log! Wenn die Dateien nicht zu finden sind, ist normalerweise ein Rootkit im Spiel, und das ist zumindest als "heikel" zu betrachten (man weiss nie ob alles erwischt wurde)... chris Combofix: Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. |
Moin, also Combofix startet, ich drücke "1" und Return, dann schließt das Fenster und ich habe das Internet Explorer icon neu auf dem Desktop...aber sonst passiert nix?! Habe es jetzt 3 mal probiert, 2 mal nach neustart und wirklich alle Programme inkl Daemon tools und rainlendar geschlossen. @Klarser Danke wegen der mails. Verwende aber Thunderbird was bezüglich der mails an sich ja nichts ändern wird?! Besten Dank soweit, PD |
Hi, schlechtes Zeichen! Der Start wird wahrscheinlich verhindert... . Mit HJ-fixen Öffne das HijackThis -- Button "scan" -- vor den unten genannten Einträge(n) Häkchen setzen -- Button "Fix checked" -- PC neustarten Achtung: Alle Anwendungen bis auf HJ müssen geschlossen sein, ein eventuell aktiver Teatimer von Spybot muss unbedingt deaktiviert sein!) Zitat:
Anleitung: Anleitung: DrWeb - CureIt - Trojaner-Board Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de Poste das Log, wenn was erkannt wird; Silentrunner: Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen. Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten. http://www.silentrunners.org/Silent%20Runners.zip chris |
So, da bin ich wieder. Hat ne ganze weile gedauert mit DrWeb, habe alle platten schecken lassen. Das Logfile ist daher riesig, zu riesig. Habe es mal um die nötigen Eintragungen gekürzt. Sieht glaube ich nicht gut aus für mich, obwohl AntiVir beim Systemstart nichts mehr meldet... Grüße und besten Dank soweit! PD P.S.: Stelle gerade fest das die Silentrunner log zu groß ist um sie zu posten...werde da auch noch schnell verkleinern müssen... |
Hi, da könntest Du recht haben: audiohq.exe - Dangerous Deaktivieren der Systemwiederherstellung und Start in den abgesicherten Modus Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen So, ich bin leider morgen den ganzen Tag unterwegs (ab 05:00 Uhr), d. h. entweder warten oder einen anderen Fragen ob er sich das Silentrunner-Log anschaut. Wobei wir dem neuaufsetzten immer näher kommen... Avira "anschärfen": Stelle Avira wie folgt ein: Antivir und die Heuristik, die aggressive Variante - Virus Hilfe Führe einen Systemscan durch und poste das Ergebnis! chris Ps.: Kennst Du dich mit dem Regedit aus? Der Key muss noch gerade gebogen werden: HKCU\Software\Microsoft\Internet Explorer\Download RunInvalidSignatures sollte den Wert 0 haben... Sonst nutzten alle Signaturen nichts, besonderst die von gefälschten Bankseiten werden dann nicht erkannt... |
Hallo! Hier kommen nun die SilentRunner logs...habe sie aufgesplittet wegen der Größe. Besten Dank wegen der registry Sache, habe den Wert auf 0 gesetzt. Muss mir jetzt nochmal den log des scharf gestellten AntiVir anschauen...hat glaube ich nur noch Dateien in Quarantäne Verzeichnissen gefunden...mmh. Habe bei Antivir auch die Rootkit überprüfung eingeschaltet...ob die was bringt? Vielen Dank für die Hilfe Chris4You! Beste Grüße, PowerDremel |
Hi, sieht gut aus, jetzt nur noch JAVA auf den neusten Stand bringen und die alte Version löschen, dann wäre es Ok; Download jre-6u4-windows-i586-p.exe Scrolle runter nach ---->Java Runtime Environment (JRE) 6u4 The Java SE Runtime Environment (JRE) allows end-users to run Java applications. Klicke auf "Download" Setze ein Haeckchen bei --->"Accept License Agreement". Klicke “Windows Offline Installation, Multi-language” um “jre-6-windows-i586.exe”zum Desktop zu installieren Schliesse alle Programme auch Deinen Webbrowser Über "Start -> Einstellungen -> Systemsteuerung -> Software entferne alle aelteren Versionen von Java Runtime Environment (JRE of J2SE) Auch auf C:\Programme\Java entfernen! Nachdem alles entfernt wurde --->Rechner neu starten Installiere jetzt vom Desktop aus ---> “jre-6u4-windows-i586-p.exe” chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:05 Uhr. |
Copyright ©2000-2024, Trojaner-Board