|
Win32.Banker.fgv von Spybot gelöscht und permamenter Upload Hallo liebe Helfer, vorgestern fand SpyBot S&D bei mir einen Trojaner, nämlich Win32.Banker.fgv und war augenscheinlich auch in der Lage, diesen zu löschen bzw. in Quarantäne zu verschieben. Logfile folgt weiter unten. Nachdem Spybot den Trojaner verschoben hatte, fand ihn dann auch Antivir(im Quarantäne-Verzeichnis von Spybot), allerdings nur mittels Heuristik - vorher nicht. Ich beobachte weiter eine deutliche Zunahme der Upload-Aktivität an meinem Rechner. tcpview zeigt mir recht viele [System Process]-Verbindungen an, die ich nicht näher spezifizieren kann. Ich poste mal die gewünschten Logfiles und hoffe, jemand kann mir weiterhelfen hinsichtlich bestehendem "Befall" meines Rechners. Das Spybot-Logfile poste ich hier als Code, den Rest (MBAM, OTL und HiJackThis) muss ich aufgrund der Länge leider als zip-datei anhängen. Vielen lieben Dank im voraus! Auszug aus dem Spybot-Logfile: Code: Win32.Banker.fgv: [SBI $ECF63A22] Ausführbare Datei (Datei, nothing done) |
bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
Hier ist das gewünschte combofix-log - natürlich ebenfalls anonymisiert und ohne http-links. Die Meldung, dass Threatfire noch aktiv ist, MUSS falsch sein. Threatfire wurde schon vor langer Zeit deinstalliert. Code: ComboFix 10-09-14.05 - *** 15.09.10 22:00:34.1.1 - x86 |
http://www.trojaner-board.de/74908-a...t-scanner.html bitte poste einen gmer report |
Wie gewünscht nun ein GMER-log: Code: GMER 1.0.15.15281 - h*tp://www.gmer.net |
machst du eig online banking oder online einkäufe? dann solltest auch über das neu aufsetzen nachdenken. ich geb dir dann tipps zum absichern |
Ja, mache ich natürlich. Daran kommt man doch quasi nicht vorbei... Ich denke tatsächlich über's Neu-Aufsetzen nach. Tipps wären daher in der Tat stark gewünscht. Aber was sagen denn die Logfiles bislang aus? |
ja dann ist neu aufsetzen das beste, und sofort die bank informieren, wenn du nen 2ten pc zur verfügung hast, sofort passwörter endern! wenn du formatierst, wähle nicht die schnelle formatierung! danach sofort die microsoft update seite aufrufen, servicepack3 + internet explorer 8 aufspielen. dann weiter hiermit: 1. solltest du nur noch als eingeschrenkter nutzer arbeiten , das admin konto ist nur für instalationen gedacht. Benutzerkonten in Windows XP - Teil 1: Neue Benutzerkonten anlegen die konten sollten mit einem passwort geschützt werden. dazu auf konto endern klicken und passwörter vergeben. Die folgenden konfigurationen als admin ausführen: 2. dep aktivieren: dep für alle prozesse: Datenausführungsverhinderung (DEP) • "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:". wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen. 3. avira: http://www.trojaner-board.de/54192-a...tellungen.html du hast zwar die premium, das meiste kannst du aber übernehmen. 4. als browser den firefox nutzen: Webbrowser Firefox | Schneller, sicherer & anpassbar | Mozilla Europe 5. als adon noscript, es werden dadurch einige scripts (java) zb blockiert, du kannst diese dann frei geben, in dem du auf der seite, die freigegeben werden soll, nen rechtsklick machst, noscript wählst, und temporär alle berectigungen aufheben wählst, somit werden sie für den besuch aufgehoben, oder alle beschrenkungen aufheben, somit wird die seite freigegeben. das kann man natürlich wieder rückgängig machen. http://filepony.de/download-noscript// 6. adblock+ um werbung zu blockieren: http://filepony.de/download-adblock_firefox// hier gibt es noch filterlisten: Bekannte Filterlisten für Adblock Plus hier würde ich 2 oder 3 deutsche filter auswählen. unter sonstiges die malware blocklist. 7. um das surfen sicherer zu machen, würde ich sandboxie empfehlen. Download: Sandboxie Download anleitung: drop.io (als pdf) wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. ab sofort also nur noch in der sandbox surfen bitte. 8. autorun für usb deaktivieren: über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab. Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de usb sticks, festplatten etc, sollte man mit panda vaccine impfen: http://filepony.de/download-panda_usb_vaccine/ so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit. hake an: hake an: run panda usb vaccine automatically when computer boots automatically vaccine any new insert usb key enable ntfs file suport 9. updates: Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt. instaliere die folgenden update checker. Secunia: http://www.trojaner-board.de/83959-s...ector-psi.html und file hippo update checker: FileHippo.com Update Checker - FileHippo.com das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok. 10. regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht. Acronis True Image 2011 - Festplatten-Backup-Software, Datei-Backup und Disk Imaging, Wiederherstellung von Anwendungseinstellungen, Backup von Musik, Videos, Fotos und Outlook-Mails außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen. Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden. Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll. so ab jetzt nur noch im standard nutzerkonto arbeiten und dort nur noch in der sandbox surfen. klicke dazu auf "sandboxed web browser". 11. passwörter endern. 12. informiere dich bei der bank, ob auch online banking über chipcard möglich ist. ist sicherer |
edit, doppelpost |
Ok, vielen Dank für die Tipps. Werde meinen Rechner in der nächsten Zeit neu aufsetzen. Habe Bank informiert usw. Werde bis zum neuen System online-banking nur noch von c't bankix laufen lassen. Aber nochmal nachgefragt: Was sagen meine Logfiles denn nun aus? |
auf jeden fall das du mal ne malwae im mbr hattest. du solltest deinen pc schnellst möglich formatieren und nur noch ans netz nehmen, wenn es unbedingt nötig ist, solche pcs stellen auch für andre nutzer eine gefahr da, spam versand und ähnliches. das kann dann auch ärger mit dem internet anbieter geben |
Wie sieht es denn aus mit einem Kopieren meiner vorhandenen Daten auf eine neue Platte (nicht ausführbar - hauptsächlich Dokumente und co.)? Ungefährlich? Sofern die Malware im MBR sitzt/saß... gehe ich recht in der Annahme, dass vond er Platte nicht mehr gebootet werden sollte, sofern eine neue Platte im System hängt? Wird der MBR beim normalen Formatieren neu geschrieben? Oder muss ich auch neu Partitionieren? |
so lange du nicht die schnelle formatierung wählst passt das. auch daten kopieren kannst du. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:41 Uhr. |
Copyright ©2000-2025, Trojaner-Board