TR/Spy.Z.Bot.ciz und BDS/Sinowal.CG
 

Erstmal ein Riesenlob an dieses Forum. Schon öfters konnte ich mir beim lesen den einen oder anderen Tip holen. :daumenhoc

Leider hat es mich nun auch erwischt. Trotz Vorkehrungen und "vorsichtigem" Surfen habe ich den Trojaner TR/Spy.Z.Bot.ciz und wohl noch anderes auf meinem zweiten Rechner..... :heulen:

Als die erste Warnung kam, habe ich sofort die Verbindung zum Internet gekappt. Online ging ich erst mal mit meinem Labtop. Passwörter habe ich von hier aus geändert :( So wie es aussieht, wurde wohl schon eine "Backdoor" bei mir eingerichtet.... :eek:

Dies ist der erste Hijack Blick:

So, ich hoffe, dass alles richtig gepostet wurde.

Nachdem ich die Suchfunktion hier betätigt hatte, war mir klar, dass dies keine kleinen Fische sind/waren.... und ich versteh immer noch nicht, WANN und WO im www das passiert ist. Auf dem Rechner wurden z. B. nie E-Mails geöffnet.

Als nächstes bereinigte ich meinen PC mit dem CCleaner, dann startete ich Combofix.

TEIL 1 ENDE

WEITER TEIL 2

Das ist der Bericht dazu:

Danach noch ein HJT Logfile:

Hmmm, warum ist das:
Immer noch da, obwohl ich es unter HJT gefixed hatte??? Oder geht das nicht?

Wieso sind diese Dateien immer noch da, wenn ich ComboFix ein zweites Mal laufen lasse?
Was nun?? :confused:

Forste mich nun weiter durch die Suchfunktion, bin aber über jeden Tip sehr dankbar…. Lasse gerade Malwarebytes drüber laufen, poste dann noch das Ergebnis.

Liebe Grüsse mitten in der Nacht
Ness

So, nun das Ergebnis von Malwarebytes:

LG
Ness

Hi,

ntos.exe ist eben keine Kleinigkeit und weiß sich sehr gut zu verteidigen. Setzt eine ganze Reihe Techniken ein, sich Tools und Virenscannern zu entziehen. auch Combofix ist kein Wundermittel, sondern eine ganz gewöhnliche Batchdatei. Dem sind Grenzen gesetzt.

ntos.exe ist dafür bekannt, alle Zugangsdaten zu klauen, insbesondere Daten, bei denen es um Geld geht, z.B. Onlinebanking, Ebay, Paypal. Das istdas erste, wo Du dich drum kümmern musst. Die Zugangsdaten von einem sauberen Computer aus sofort ändern, die Bank eventuell auch telefonsich benachrichtigen, damit sie das Konto sperrt.

Danach ist eine Neuinstallation des Systems angemessen, jedenfalls wenn man auf Sicherheit Wert liegt.

Gruß, Karl

Nach einem Neustart hier ein HJT Logfile :(

immer noch da:
:heulen: :heulen: :heulen:

Geh jetzt erstmal ins Bett...

Gute Nacht
Ness

Hab eben nicht deran gedacht: Wo ist denn Sinowal? Unter dem Namen sind eine Schädlinge bekannt, die sich in den Partitionssektor setzen und Windows gleich einnehmen während es gestartet wird und noch besonders verletzlich ist. Endergebnis ist dann ein Backdoorserver (= BDS) der oft durch ein Rootkit versteckt wird. Das wäre dann Nummer zwei und der zweite Grund für eine saubere Neuinstallation.

Gott sei Dank wurden von diesem Rechner keine Bankgeschäfte abgewickelt, Ebay und Paypal verwende ich nicht. Alle anderen Passwörter (Emailkonten, FTP-Zugänge etc.) habe ich von meinem Labtop aus geändert.

Würde es erst gerne so versuchen, wenn es überhaupt nicht geht dann eine Neuinstallation des Systems.
Würde gerne nachvollziehen, woher es kam, seit wann es drauf ist und vor allem, daraus lernen wie ich unseren PC noch besser schützen kann.

Bankgeschäfte werden nur von einem PC aus gemacht, mit dem wir nicht "surfen".

LG
Ness

Antivir:

mann, mann, mann woher nur, woher nur????

LG
Ness

So, habe noch einmal den Eintrag gefixed uuuuund er ist nun tatsächlich weg:

Vielleícht hat jemand noch einen Tip - wurschtel mich tapfer durch :heilig:

LG
Ness

Noch einmal Combofix:

So, was kann ich noch machen? Außer einer eventuellen Neuinstallation. Was sieht noch verdächtig aus?

Oh mann, draußen wird es schon hell :eek:

müde Grüße
Ness

Was soll man noch schreiben? Karl hat alles wichtige richtig zusammengefaßt.
Allerdings ist HiJackThis wahrlich keine Löscung für derartige Probleme.
Wenn, versuche es so

GMER - Rootkit Detection

* Lade Gmer von hier
* entpacke es auf den Dektop
* Dopperlklicke die gmer.exe
* Der Reiter Rootkit oben ist schon angewählt

http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg

* Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
* nach Beendigung des Scan, drücke "Copy"
* nun kannst Du das Ergebnis hier posten
* Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

Sophos Anti-RootKit

- Gehe zu Sophos - (Anleitung) und lade dir ihren Rootkitescanner herunter. Du bekommst eine Installationsdatei sarsfx.exe.
- Starte diese, akzeptiere die Lizenz und lass das Programm installieren, ändere den Pfad C:\SOPHTEMP nicht.
- Gehe mit dem Explorer in diesen Ordner und starte sargui.exe, schließe danach alle anderen Programme.
- Lass unter Area alles angehalt und starte den Scan mit "Start scan". Der Scan dauert einige Zeit, wenn er fertig ist poppt ein Fenster auf mit einer Zusammenfassung, klicke dort "Ok". Beende den Sophos Rootkitscanner, dieser Scan dient nur der Analyse.
- Starte den Explorer und gib in der Adresszeile "%temp%" ein (ohne Anführungsstriche), dort gibt es eine Datei sarscan.log, deren Inhalt bitte posten.
(Thx to Argos)

SDFIX ausführen

Download SDFix und speichere es auf dem Desktop.
Mache einen Doppelklick auf die SDFix.exe und wähle "Install" um es in den Ordner X:\SDFix zu entpacken
(X = Dein Windowslaufwerk)

• Bitte starte Deinen Pc im abgesicherten Modus neu

• Starte den PC neu

• Nachdem dein Rechner einmal bei starten gepiept hat, bevor das Windows Logo erscheint, drücke die F8 Taste mehrfach

• Anstatt Windows normal zu starten wird ein Menü erscheinen

• Wähle die Option "Starte Windows im abgesicherten Modus", dann drücke "Enter"

• Wähle Deinen Anmeldenamen

• Im abgesicherten Modus, gehst Du zum SDFix Ordner X:\SDFix (X = Dein Windowslaufwerk)

• Öffne den Ordner und doppelklicke die Datei RunThis.bat um das Script zu starten

• Drücke "Y" um das Script zu starten.

• Es entfernt bösartige Dienste und repariert die Registry. Wenn es durchgelaufen ist, bittet es eine Taste zu drücken um zu rebooten.

• Drücke eine Taste um zu reboooten.

• Dein System wird länger brauchen um jetzt wieder im normalen Modus zu starten, denn das fixtool startet mit und löscht noch einige Dateien.

• Wenn der Desktop geladen ist, ist das Fixtool mit der Bereinigung fertig und sagt das auch, jetzt drücke eine Taste um das Script zu beenden und Deinen Desktop zu laden.

• Jetzt öffne den SDFix Ordner auf Deinem Desktop und copy & paste den Inhalt der Report.txt in Deinen Thread.

uff - danke erstmal.

Hier ist Eintrag von gmer:

Schluck... ist das schlimm?
Gehe nun zu sophos...

LG
Ness

Hier ist die logfile von Sarscan:

Muss nun arbeiten :(

LG
Ness

Beide unauffällig.

Hier folgt nun der Bericht von SDFIX

Was mir auffällt ist dieser Eintrag vom 8. Mai

Werde nun nochmals ein HJT Logfile erstellen.

LG
Ness

So, hier nun die HJT Logfile:

Wo könnte sich noch etwas versteckt haben? :eek:

Wie könnte ich denn herausfinden, seit wann ich infiziert bin? :balla:

LG
Ness

Hier nun nóchmals Combofix:

Kann das hier die Urasche des ganzen sein:

danach kamen dann diese Aktionen, die ich nicht nachvollziehen kann:
und dann hier:
hmmmmm..... was nun als nächstes?

LG
Ness

Hallo Ness
hast du eigentlich schon deine Zugangsdaten geändert?
Denn bei diesem ZBot sind diese als Bekannt zu betrachten.
Ich habe letztens erst einen Fall bearbeitet, da ging es um Urheberrecht und Verbreitung pornographischer Schriften.
Dabei kam heraus, dass der auch mal ein Keylogger auf seinem Rechner hatte, aber schon 2006. Dabei wurde warscheinlich auch die Zugangsdaten zum Internet ausspioniert. Über diesen Zugang wurde dann Philesharing betrieben und diese dann zur Weitergabe angeboten. Vom Hersteller hat er dann eine Unterlassungsklage am Hals und vom Staatsanwalt "nur" Verbreitung pornog. Schriften. Hätte ja auch Kinderpornos sein können. So nun überlege es dir, was du machst. Das du kein Onlinebanking betreibst ist ja soweit gut aber...

Hallo,

ja. die Zugangsdaten habe ich gestern geändert, werde sie aber heute gleich noch mal ändern. Wir haben hier W-LAN mit Verschlüsselung, es hängen einige Rechner dran und wir ändern sowieso alle paar Wochen das Passwort.

Was meinst du mit ... "ist ja soweit gut, aber..."

Worauf muss ich noch achten?

Danke im Vorraus für die Infos.

LG
Ness

Mit dem Aber habe ich gemeint, die Zugangsdaten zum Internet. Daran denken die meisten nicht. Das man mit solchen Daten auch Unfug treiben kann, siehe meinen Vorherigen Post.
Der Betroffene hat es nicht gemerkt, da er ja Flatrate hat.

OK,

also vorerst geändert wurde von mir - egal ob von dem infizierten Rechner jemals ausgeführt oder nicht - bisher folgendes:

- Zugang Onlinebanking
- Zugang Internet
- Zugang E-Mails
- Zugang FTP
- Zugang Homepage als Administrator
- Zugang Amazon
- Zugang zu Internetforen

Vielleicht fällt ja jemandem noch etwas ein.

Fällt jemandem an meinen logfiles noch etwas auf? Dateien, die ich überprüfen kann/sollte?

Mache gerade einen online - Scan mit Kaspersky

Danke im Voraus.

LG
Ness

Bin kurz davor alles platt zu machen, mich hat der Schlag getroffen, als ich die ersten roten Einträge gesehen habe:

C:\WINDOWS\$NtUninstallKB938828$\explorer.exe:submitter5.jpg:$DATA Infizierte Objekte: Trojan-Spy.Win32.Banker.hbo übersprungen

C:\WINDOWS\$_hpcst$.hpc Das Objekt ist gesperrt übersprungen

C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen

Warum hat AntiVir das nicht gefunden? Wieso wurde das sonst nicht gefunden?
Was mach ich dann damit? Löschen? Mit Kaspersky? AntiVir findet das ja nicht...

Oh Mann :heulen: :heulen:

LG
Ness, die dann wohl wieder den Internetzugang heute ändern wird :rolleyes:

Dein System ist nicht vertrauenswürdig. Hier wird aktiv Schadsoftware nachgeladen. Eine Bereinigung weiter zu versuchen ist nicht sonnvoll. Daher solltest Du den Rat umsetzen das System neu zu installieren und dann noch mal alle Kennwörter ändern!
Schade das wir Dir nicht helfen konnte, aber der Fern/-Forenwartung sind Grenzen gesetzt.

:heulen: :heulen: :heulen:

nach dem zweiten Durchgang von Kaspersky war nichts mehr zu finden, aber ich habe die XP CDs schon bereit und werde meinen PC platt machen :snyper:

:heulen: :heulen: :heulen:

traurige Grüsse
Ness