|
trojaner an bord! online-banking gesperrt Ich habe ein Schreiben meiner Bank erhalten, dass meine Pin durch einen Trojaner ausgespäht wurde. Nun habe ich alle möglichen Tools angewendet. A-VIRUS MALEWAREBYTES TROJAN REMOVER Es wurde NICHTS gefunden..:pfeiff: Ich bin auch recht umsichtig im Netz unterwegs. Woher weiß die Bank das ich einen Trojaner an Board habe ? Hat sie auf meinem Rechner nachgeschaut ?:daumenrunter: |
nein, aber sie sehen von welchem system abbuchungen bzw zugriffe statt finden. und beobachten das gott sei dank sehr genau. Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt beide posten |
Sind beides riesige Texte.... ich sehe da auch vieles persönliche... Kann man da nicht das wichtigste rausfiltern`? |
ja, rausfiltern kann ichs wenn ich gesehen hab was drinnen steht. es gibt in den otl reports keine infos die auf dich schließen lassen, über die funktion suchen und ersetzen kannst du deinen namen durch xxx oder so ersetzen geht über bearbeiten. |
:dankeschoen: |
Hier bitte als zip Anhang. :heilig: |
Wer hilft mir :heulen: Schubs" |
wir haben auch ein wochenende, und ein privat leben... bitte erstelle und poste ein combofix log. http://www.bleepingcomputer.com/comb...x-benutzt-wird |
Danke schonmal vorab. Ich habe nun ComboFix.Exe laufen lassen. Allerdings ohne Wiederherstellungskonsole. Es wurde einiges rausgelöscht. Soll ich nun erneut einen Logfile zusenden.? Bank teilte mit das es der "Torpig" sein soll-. Diesen habe ich aber bislang nicht gefunden. Es werden offensichtlich mit meinem geklauten Daten Angriffe auf mein Konto von einem Fremdrechner gefahren:wtf: |
Ich lasse GMER nochmal drüberlaufen. |
nein, du sollst das machen was hier steht. wo ist das combofix log. anstelle irgendwas anderfes zu machen, lies bitte richtig und mache das was hier steht. nutze keine andern programme, vor allem dann nicht wenn du mir nicht mitteilst was gefunden wurde, wie soll man sonst ne vernünftige analyse machen? |
Habe nun so einiges ausprobiert. Mit den Rootkit tools finde ich mich nicht zurecht. Das Rootkit von Windows: meldet immer cmd.exe kann nicht gefunden werden. CMD.exe ist aber im system32 Verzeichniss. Die Datei selber habe ich dann noch prüfen lassen, alles in Ordnung. Hier nun der Log File wie gewünscht. Grüsse - Danke :party: Oli. |
Ist im Anhang :confused: |
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net Windows 5.1.2600 Disk: ST3250410AS rev.3.AAC -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK |
AVG Anti Rootkit hat folgende hidden files unter Windows/system32/drivers entdeckt. xcpip.sys xpsec.sys a739rm6r.sys |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:34 Uhr. |
Copyright ©2000-2024, Trojaner-Board