|
Trojan.Generic - Betrug durch Trojaner? Hallo, zur Vorgeschichte: vor einer Woche wurde ich beim Online-Banking ausspioniert und vermutlich mittels einer MITM-Attacke betrogen. Dank schneller Reaktion konnte ich den Schaden abwenden und den abgebuchten Betrag zurückholen. Das Problem: Nach diesem Vorfall habe ich den PC mit dem DVD-Desinfec't 2011 geprüft. Das Ergebnis war erschreckend: mehrehre Virenfunde, z.B. TR/Spy.Agent, TR/Kazy, TR/Banker wie der Anlage Desinfect.txt zu entnehmen ist. Dann habe ich das Programm Malwarebytes Anti-Malware durchlaufen lassen. Das Ergebnis füge ich ebenfalls bei. Sonst habe ich noch weitere Programme wie Exterminate It, CCleaner, Emsisoft Anti-malware, SUPER AntiSpyware mehrmals durchlaufen lassen, leider mit mäßigem Erfolg. Ich würde gern das System beibehalten, statt neu aufzusetzen. Ist das noch möglich? Nach Eurer Empfehlung füge ich noch die Logdateien OTL.txt und Extras.txt und hoffe sehr auf weitere Ratschläge. Liebe Grüße Jung |
:hallo: Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist. Vista und Win7 User Alle Tools mit Rechtsklick "als Administrator ausführen" starten. Schritt 1 Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Lade ComboFix von einem dieser Download-Spiegel herunter: BleepingComputer - ForoSpyware * Wichtig !! Speichere ComboFix auf dem Desktop
http://i94.photobucket.com/albums/l8...eWHKonsole.jpg Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen: http://i94.photobucket.com/albums/l8...nstalliert.jpg Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren. Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei. |
Erstmal vielen Dank für die schnelle Antwort. Die Combofix läuft im DOS-Fenster: "Suche nach infizierten Dateien ... Dies dauert normalerweise nicht länger als 10 Minuten. Die Scanzeit für stark infizierte Rechner kann sich leicht verdoppeln." Bei mir dauert es schon 1 Stunde und passiert nichts .. Beste Grüße Jung |
Einfach laufen lassen. Ich hoffe du schreibst nicht auf diesem System auf welchem Combofix läuft???! |
Nein, wirklich nicht! Das Programm lief die ganze Nacht und hat sich offensichtlich aufgehängt. Ich musste den Rechner vom Netz trennen, er hat gar nicht reagiert, auch auf die Kombination Strg+Alt+Entf nicht mehr. Dann habe ich das Programm im abgesicherten Modus gestartet, nach 12 Stunden wieder vom Netz getrennt. In einem Tutorium habe ich gelesen, es soll noch eine Meldung kommen und zwar: "CF hat die Einstellung deiner Uhrzeit geändert ". Bei mir kommt diese Meldung nicht mehr. Wie können wir den Fehler abstellen? Beste Grüße Jung |
Wird das System geschäftlich genutzt? |
Nicht mehr, bzw. sehr selten. Gruß Jung |
Also gehört es nicht einer Firma?
Code: netsvcs
|
Nein. Die Datei OTL.txt füge ich bei, die Extras.txt wurde nicht erstellt (?). Gruß Jung |
Ich habe nochmal versucht, diesmal habe ich beide Dateien herausbekommen. Die Lösung des Rätsels: kein Quick Scan sondern Scan durchlaufen lassen. Hoffentlich hilft es mehr. Gruß Jung |
Schritt 1
Code: :OTL
Schritt 2 Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Lade ComboFix von dem aufgeführten Link herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop. BleepingComputer - InfoSpywareFirefox User: Bitte folgende Einstellung vornehmen. Extras --> Einstellungen --> Reiter Allgemein und hacke Jedesmal nachfragen wo eine Datei gespeichert werden soll an. Übernehmen --> OK. **NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird** http://i266.photobucket.com/albums/i...ownload_FF.gif http://larusso.trojaner-board.de/Images/CFumbenannt.jpg
|
Der Punkt 1 ist erledigt, vorab poste ich im Anhang die Logdatei OTL. ComboFix, umbenannt in Combo-Fix, läuft noch oder besser gesagt, hängt schon wieder, da es keinerlei Aktivitäten im Fenster nach der Meldung "Die Scanzeit .... leicht verdoppeln" zu sehen sind. Ich warte noch zwei Stunden ab, dann schalte ich den Rechner aus. Das ist die einzige Methode das Programm abzubrechen. Soll ich vielleicht alle mir bekannte Programme/Prozesse, die im Hintergrund noch laufen stoppen? Wie gesagt, jetzt warte ich noch ab ... Gruß Jung |
Sorry, da ich übersehen habe, die Logdatei nicht übernommen wurde. Gruß Jung |
Und hat Combofix nicht geklappt? |
Leider nicht, ich habe den Rechner ausgeschaltet ... Was können wir sonst unternehemn? Gruß Jung |
Schritt 1 Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Die Logdatei MBRCheck ist nun fertig. Gruß Jung |
ESET Online Scanner
|
Die Log.txt ist beigefügt. Die Datei beinhaltet auch Einträge vom 25.05.2011, da ich bereits alle mögliche Versuche gestartet habe. Gruß Jung |
Beschreib nochmals die jetzigen Probleme. |
An sich gibt es keine Probleme, die ich erkennen kann. Ich will nur sicherstellen, dass der Rechner gesäubert wird, nachdem die Trojaner/Viren durch den Angriff während einer Onlinebanking-Sitzung erfolgreich gewesen sind. Es ist nämlich noch nicht sicher, ob das Systen sauber ist. Ich nutze den Rechner zur Zeit noch nicht richtig und werde wohl nie wieder für sicher relevante Aufgaben einsetzen. Einige Programme, die mir unsicher erschienen habe ich bereits deinstalliert. Etliche Dateien sind gelöscht oder in der Quarantäne. Trotzdem stört mir persönlich das Hängen von ComboFix. Ich hätte gern eine Entwarnung von Experten, dass die Plage getilgt ist, natürlich werde auch anderslautende Aussage akzeptieren müssen. Ich bedanke mich schon jetzt für die großartige Unterstützung. Gruß Jung |
Dann lass uns noch einmal einne Blick auf OTL werfen: Starte bitte OTL.exe und drücke den Quick Scan Button. Poste die OTL.txt hier in deinen Thread. |
Hat's länger gedauert .. Die Datei ist etwas zu groß geraten, darum gezipt. Nun, was sagt die Kunst? Gruß Jung |
Logfile ist sauber :daumenhoc Hier noch die letzten paar Schritte zur Säuberung Deines Rechners. Schritt 1 Systemwiederherstellungpunkte leeren Systemwiederherstellung mit OTL leeren Lade Dir (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop.
Code: :Commands
Schritt 2 Tool CleanUp Starte bitte die OTL.exe. Klicke nun auf den Bereinigung Button. Dies wird die meisten Tools und Logfiles entfernen. Sollte denoch etwas bestehen bleiben, bitte manuell entfernen sowie den Papierkorb leeren. Schritt 3 Automatische Updates Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten. Windows + R Taste drücken. Kopiere nun folgenden Text in die Kommandozeile RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl und klicke auf OK. Stelle sicher das die automatischen Updates aktiviert sind. Schritt 4 Um Dich für die Zukunft vor weiteren Infizierungen zu schützen empfehle ich Dir noch ein paar Programme.
Schritt 5 Tipps für sicheres Surfen Das sind meine Vorschläge. Verwende einen alternativen Browser statt den IE. Ich empfehle Mozilla Firefox. Für Firefox gibt es verschiedenste AddOns um sicher durch das WWW zu kommen.
Don'ts
Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen. Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann. |
Wir sind fast soweit .. Pkt. 1, 2 Bereinigung OTL gemacht, Logdatei OTL beigefügt Pkt. 3 Updates aktiviert Pkt. 4 SpywareBlaster installiert und ein Lauf gestartet, MBAM installiert und gescannt, die Logdatei zeigt noch infizierte Objekte!, das ist der einzige Haken noch ... Gruß Jung |
Schritt 1 Bitte
Schritt 2 Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit. |
Folgenden Stand haben wir jetzt: GMER stürzt immer wieder ab, einmal hatte ich ein "blue screen", ansonsten verabschiedet sich das System ganz ab und fährt automatisch wieder hoch. Mehrmals versucht, mit etlichen gestoppten Prozessen, es hat nichts gebracht. Nur im abgesichertem Modus ist einmal zu Ende gelaufen. Punkt 2 abgearbeitet, Ergebnisse im Anhang. Dann nochmal MBAM gestartet, immer noch infizierte Objekte vorhanden .. Ich bin immer noch bereit der Sache auf Grund zu gehen, wenn deine Geduld noch nicht am Ende ist. Gruß Jung |
Lade ComboFix erneut von einem dieser Download-Spiegel herunter: BleepingComputer - ForoSpyware * Wichtig !! Speichere ComboFix auf dem Desktop
http://i94.photobucket.com/albums/l8...eWHKonsole.jpg Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen: http://i94.photobucket.com/albums/l8...nstalliert.jpg Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren. Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei. |
Combofix bleibt hängen, das hatten wir schon vorher ... Ich bin hartnäckig und bleibe dran. Zuerst möchte ich mit Sysinternals Zusammenhänge analysieren, vielleicht komme ich auf die Spur. Ansonsten werde ich systematisch einzelne Prozesse ausschalten, ev. auch Programme deistallieren, bis CF oder Gmer ordentlich läuft. Die Ergebnisse werde mal im Forum posten. Gruß Jung |
Dowloade Dir bitte TDSS Killer.exe und speichere die Datei am Desktop.
|
Keine Objekte gefunden, die Logdatei im Anhang. Gruß Jung |
Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Die Logdatei MBRcheck ist fertig, auch eine vor 10 Tagen erstellt. Gruß Jung |
|
Sarscan zeigt nichts, verstehe ich nicht ... Gruß Jung |
Es war ein Fehler beim Hochladen .. Gruß Jung |
Wann bleibt dann CF genau hängen? |
Es lässt sich ganz normal starten und arbeitet zügig bis zur Meldung: "Die Scanzeit für stark infizierte Rechner kann sich leicht verdoppeln." Danach sieht man nur Aktivitäten der Festplatte (Ca. 1,5 Min.) und auf einmal sind diese Aktivitäten weg. Es kommt auch keine Meldung mehr, das System bleibt hängen und kann ich den Rechner nur ausschalten. Sollen wir jetzt aufgeben? Gruß Jung |
Lösche erneut die ComboFix.exe auf dem Desktop und lade Dir eine neue Version von dem aufgeführten Link herunter. Speichere ComboFix auf deinen Desktop. BleepingComputer - InfoSpywareDanach mache folgendes: Windows + R taste drücken. Kopiere in das Textfeld:"%userprofile%\desktop\combofix.exe" /killall und klicke OK http://i154.photobucket.com/albums/s...sy69/cfcmd.png |
Auch diese Aktion hat nichts gebracht, ComboFix bleibt einfach hängen .. Was ich noch jetzt festgestellt habe: Unter Windows\System32 gibt es ein Verzeichnis xmldm und dort mehrehre Logdateien mit brisanten Daten aus dem Online-Betrug (mein erster Post). Diese Dateien samt Verzeichnis vermehren sich sozusagen, was auf die aktiven Plagegeister hindeutet. Das Verzeichnis xmldm erscheint mit zwei Logdateien sofort nachdem ich FF gestartet habe, vorher habe ich es natürlich gelöscht. Diese Problematik war schon mal hier im Board ein Thema, leider, ohne zu Ende gebracht zu werden. Zweifeln machen sich langsam breit ...:headbang::headbang: Gruß Jung |
Zitat:
Ich würde Dir empfehlen das ganze System komplett Neuaufsetzen. Alles andere macht wenig Sinn. |
Hallo Swisstreasure, nach langem hin und her muss ich Dir Recht geben, es macht wirklich wenig Sinn. Ich wollte mich sowieso mal von dem Rechner trennen, von daher ist die Entscheidung leichter. Ich bedanke mich recht herzlich für die Hilfe und Deine Bereitschaft soviel Zeit in diese Sache zu investieren. Diesmal hat leider nicht geklappt, das ist aber kein Grund diesen Kampf aufzugeben. :daumenhoc So kann das Thema geschlossen werden. Herzliche Grüße Jung |
Den Kampf geben wir nie auf, Es gibt halt einfach manchmals Systeme bei denen ein Neuaufsetzen sinnvller ist. |
Nachtrag: ich empfehle noch folgenden Link: www.markdigital.com/2011/05/31/trojan-banker-variant-eludes-antivirus-programs-and-steals-passwords/ Das war exakt mein Problem im Thread und ich glaube, durch dort dargestellte Vorgehensweise, das Problem gelöst zu haben. Gruß Jung |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:54 Uhr. |
Copyright ©2000-2025, Trojaner-Board
