Nachricht von der Bank, dass mein Rechner mit Trojaner GOZI befallen ist
 

Hallo zusammen,
ich habe ein Nachricht von der Bank bekommen, dass mein Rechner mit dem Trojaner GOZI infeziert ist.
Ich habe dann meinen PC mit Malwarebytes durchgesucht und die Funde gleich entfernt. Ich habe auch meinen Rechner mit "HijackThis" und "OLT.exe" gescant; Leider konnte ich nicht viel mit den Logfiles anfangen.
Ich werde euch Dankbar, wenn ihr mir bei der Entfernung diesen Viren hilft.
Die Dateien sind im Anhang.
Und noch was, ich habe auf meinen Pc das AntiVir Personel und obwohl ich dieses programm und den Windows-Firewall deaktiviert habe, beim starten von "combofix.exe" (auch nach Umbenenen) blokiert sich das ganze System und muss es immer mit Knopfdruck ausschalten.
Vielen dank im Voraus

combofix niemals auf eigene faust benutzen.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
O36 - AppCertDlls: recoator - (D:\WINDOWS\system32\drivdate.dll) - D:\WINDOWS\system32\drivdate.dll ()

:FILES
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort posten.
öffne arbeitsplatz, c: rechtsklick auf _OTL. dann zu _OTL.rar oder zip hinzufügen.
archiv zu uns hochladen.
http://www.trojaner-board.de/54791-a...ner-board.html

ich habe die OTL-Skript ausgeführt und den Rechner neugestartet; die Zip-Verzeichnis habe ich beigefügt.
Danke

hi, das beste bei einem solchen befall ist neu aufsetzen. ich würde dir dann behilflich sein, den pc besser abzusichern.

Das ist richtig; nur ich habe viel wichtige Sachen auf den Rechner und hätte gern das System saubern bzw. behalten.
Ich befürchte auch , dass bei einer Datensicherung diese Trojaner sich irgendwie in die Sicherungskopie verstecken.
Auf einen Rat werde ich sehr freunen.
Danke

hi,
ich habe keine Nachricht mehr bekommen;
Würde mir jemenden bitte bei der Entfernung des Trojaner GOZI von meinem Rechner helfen.
Ich weiss auch nicht, wie weit ist mein Rechner befallen.
Für jede Helfe wäre ich dankbar.

die trojaner können nicht in die sicherungskopie gelangen und es ist der beste, sicherste weg, ihn neu aufzusetzen.

hi,
meinen Sie! Wenn ich eine Image von meinen Rechner (z.B mit Acronis) erstelle und dann diese image neu auf den PC aufspiele, besteht keinen Gefahr von diesem Wiederherstellungsprozess?
Danke nochmal

naja ein komplettes image geht nicht.
du kannst nur wichtige dateien, bilder etc sichern, images macht man vorher, und zwar regelmäßig, genau für diesen fall nämlich

das ist wohl war; man sollte immer eine Sicherungskopie von dem ganzen system machen. Leider ist man nie vorher schlau genug.
Ich will mein System doch reinigen, weil es nicht nur Daten drin sind, sondern auch die ganz Umgebung ist mir sehr wichtig.
Kann mir bitte jemenden helfen? ich werde dafür dankbar.
Übrigens das Programm Malwarebytes findet nichts mehr.

du wirst niemals 100 %ig sicher sein können das du ein sauberes system zurück bekommst, der trojaner kann hintertüren öffnen, die wir nicht so ohne weiteres finden etc, somit kann dein system schneller neu infiziert werden und am ende dein konto leer geräumt, mir persönlich ists wurscht, wenn du das risiko eingehen willst, sag bescheid und wir legen los.

Leider hat keiner auf meine Hilfesuche geantwort;
wie ich schon geschildert habe, meine PC ist mit dem Trojaner GOZI befallen und ich hätte gern meinen System saubern bzw. behalten.
Es wäre net, wenn jemanden mir dabei hilft.
Ich warte auf eine Einleitung, wie ich dieses Problem hinkriege.
Danke im voraus.

und ich hatte die frage gestellt ob du trotz des risikos, das wir nicht alles bereinigen können und du irgendwann mit nem leeren konto dar stehst bereinigen willst, denn garantieren kann man für nen sauberen pc nicht.
ist deine sache, wenn ja weiter:
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

ich habe gerade versucht das ComboFix.exe auszuführen; aber leider wie immer startet diese Anwendung und fragt mich nach eine Ja-Bestätigung, was ich auch bestätige, kommt aber nichts weiter und der Rechner hängt.

für was ne bestätigung, ich brauch die meldung

ich meine, die Bestätigung der Haftungsausschluss mit einem "Ja"; Der Rechner schafft nicht den ganzen Combofix-Vorgang bis zum Ende sondern blokiert sich. Ich muss dann den Rechner neustarten.

Ich bekomme auch keine Meldung nach dem Neustarten

aha.
wie siehts im abgesicherten modus aus, aber der ohne netzwerk bitte.

habe ich gerade versucht, leider hängt es wieder in abgesicherten modus.
ich habe combofix auch umbennant, hilf auch nicht.

nutze cureit
http://www.trojaner-board.de/59299-a...eb-cureit.html
anders als beschrieben im normalen modus. bitte vorher alle programme auch antivirus abschalten.
brich den schnell scan ab, konfiguriere drweb wie beschrieben, trenne nun auch die internet verbindung, starte den scan, arbeite nicht am pc.
ergebnis log hier hochladen,link posten
File-Upload.net - Ihr kostenloser File Hoster!

ich denke, dieser Scan-Vorgang braucht Zeit; Deswegen werde ich den Rechner dies durchführen lassen und ich melde mich, wenn ich das Logfile habe.
Danke

Hallo,
wie angefordert, habe ich den Rechner mit Drweb-coreit gescant; Dies hat viel studen gedaurt. das Logfile - weil es so gross ist- habe ich gezippt und ist unter dieser URL zu finden:
hxxp://www.file-upload.net/download-2966206/CureIt.rar.html
Ich hoffe, dass ich dies richtig gemacht habe und ich freue mit auf weitere Schritte
Ich danke euch

avira
http://www.trojaner-board.de/54192-a...tellungen.html
avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.

hier ist das Reportfile von Avira-Scan als Anhang.
danke

I:\said\SAID (H)\SAID (H)\Software als Zip\xml_spy_enterprise_2007+crack.rar
suport wird wegen keygens meinerseits eingestellt, nur noch suport zum neu aufsetzen

Warum Support nur zum neu aufsetzen?
was ist mit diesem Datei?

ein keygen, wir unterstützen hier keine illegal genutzt software.

Hi,
ich selbst brauche keine illegal Software;
was das Datei angeht, das befindet sich auf einem USB-Stick, das ist auch saubern will und um die Wahreit zu sagen, ich weiss nicht alles was ich über die Jahren drauf gespeichert habe; Also diese Sachen brauche ich überhaupt nicht.
Wie ich schon von Anfang an gasagt habe, ich will mein Rechner saubermachen, weil ich fürs Studium eine Umgebung [MySQL, PHP, NETBEANS .... (Also nur Free Soft)] drauf habe und ich will mir die Zeit sparen dies neu aufzurichten.
Wenn ich neu aufsetze, geht meine ganze Arbeit verloren.
Danke

ja, das höre ich jedes mal, und ich hab schon damit gerechnet..... es ist immer so, "ich weis gar nicht wo das her kommt" usw. wie soll ich das nachprüfen, ich halte mich hier an die fakten, fakt ist, keygens sind gefunden worden, fakt ist, keygens sind illegal, fakt ist, bei illegalen programmen geben wir nur suport zum neu aufsetzen.

Ich weiss, ich kann dich nicht mit Worte überzeugen;
Deswegen stelle ich die ein Desktop-Bild als Anhang zur Verfügung, wo du sehen kannst, die Programmme die ich selbst benutzte.
Eine Abbildung kann vielleicht mehr sagen.

ich denke meine antwort zu diesem thema ist klar gewesen und ich werde darüber keine weiteren diskusionen führen.

Auf jeden Fall, Danke für die Zeit und die Mühe

hallo,
mein Rechner ist vielleich nicht mehr sauber zu kriegen;
Deshalb wende ich mich an jemanden von euch, um mir bei Aufsetzen eines neuen Systems zu helfen. Dabei will ich wissen, was ich zu beachten habe, damit ich eine so zusagen sicheres System einrichte.
Danke schön

-
daten sichern.
- windows cd einlegen. pc formatieren, nihct die schnelle formatierung wählen bitte.
-
servicepack 3:
http://www.microsoft.com/downloads/d...DisplayLang=de
- internet explorer 8:
Internet Explorer 8: Startseite
- automatische windows updates aktivieren, damit sie automatisch geladen /instaliert werden.
Aktivieren oder Deaktivieren von automatischen Updates
besuche die windows update seite, spiele wichtige updates auf.
dep für alle prozesse:
Datenausführungsverhinderung (DEP)
• "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:".
wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen.
dienste konfigurieren:
www.bplaced.net - Host Service Provider
download link ist hier
http://ntsvcfg.de/svc2kxp.zip
lies den abschnitt über die svc2kxp.md
du solltest die methode 3 wählen, diese ist die sicherste.
je weniger dienste der pc nach außen anbietet, desto besser.
automatische windows updates sowie inteligenter hintergrundübertragunsdienst sollten schon aktiev sein, prüfe das bitte nachdem du das tool ausgeführt hast nach.
start ausführen
services.msc
suche die beiden dienste und schaue ob der starttyp automatisch lautet, falls nicht, wähle den dienst aus, rechtsklick, eigenschaften, starttyp automatisch

avira genauestens nach anleitung instalieren:
http://www.trojaner-board.de/54192-a...tellungen.html
achte darauf, das der auftrag im planer wirklich über lokale laufwerke läuft, sonst werden scan einstellungen nicht gültig.
unter avira, konfiguration, guard, autostart, haken raus lassen.

als browser solltest du den opera nutzen, er ist sicherer und schneller.
wenn er dir nicht gefällt passe ich meine anleitung für den ff an.
wenn er dir gefällt, deinstaliere den firefox.
Opera Webbrowser | Schneller & sicherer | Die neuen Internet-Browser kostenlos herunterladen
mit diesem tool lässt sich ein werbeblocker laden
mit diesem tool lässt sich ein werbeblocker laden
Opera URLFilter Downloader ? OperaWiki
dies sollte 1x pro woche durchgeführt werden.
zusätzlich kannst du das auch manuell erledigen, falls mal etwas nicht geblockt wird:
Computerbase - Werbung blockieren
auch diese tutorial seite mal ansehen.
Opera Tutorial- Übersicht
hier besonders die abschnitte sicherheit (kookies) und passwort durchlesen


um das surfen sicherer zu machen, würde ich sandboxie empfehlen.
Download:
http://filepony.de/download-sandboxie/
anleitung:
drop.io
(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.

autorun deaktivieren:
über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab.
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
usb sticks, festplatten etc, sollte man mit panda vaccine impfen:
ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY
so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit.
hake an:
hake an:
run panda usb vaccine automatically when computer boots
automatically vaccine any new insert usb key
enable ntfs file suport

Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt.
instaliere die folgenden update checker.
Secunia:
http://www.trojaner-board.de/83959-s...ector-psi.html
und file hippo update checker:
FileHippo.com Update Checker - FileHippo.com
das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok.
dann doppelklicke file hippo, eine Internetseite wird geöffnet, auf der dier die aktuellsten updates gezeigt werden, diese downloaden und instalieren.

Beide programme sollten im autostart bleiben, und sobald eines der programme updates anzeigt sollten diese umgehend instaliert werden.

regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht.
Paragon Backup & Recovery Free Edition - Das Produkt
außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen.
Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden.
Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll.



allgemeines.
- verzichte auf tuning programme, sie bringen nichts.
- keine illegalen downloads.
90 % bringen malware mit sich!
- keine streaming seiten wie kino.to sie verbreiten malware.
- wenn möglich, instalationen immer benutzerdefiniert ausführen, dann kannst du unnötiges zeug abwählen.

online banking:

ich würde zu online banking mit chipcard raten, dazu benötigst du, ein lesegerät, lasse dich von deiner bank beraten, es sollte aber mindestens ein klasse2 lesegerät sein, besser sogar ein klasse3 leser, das sind die besten für den privat kunden.
Kartenlesegerät ? Wikipedia

instaliere jetzt die von dir benötigten programme.
endere alle passwörter!

surfe ab jetzt nur noch in der sandbox, mit klick auf sandboxed web browser

Vielen Dank für diese ausführliche Einleitung.
Ich werde mich melden, wenn ich so weit bin.
danke nochmal