"Sparkassentrojaner" Hallo zusammen! Ich bin neu hier und möchte mich und mein Problem kurz vorstellen: Ich bin 27 Jahre alt und habe von Computern/Lap Tops wenig Ahnung, deswegen wende ich mich auch an euch. Folgendes Problem ist heute aufgetreten: Als ich mich wie gewohnt zum Online Banking anmelden wollte, kam die Aufforderung, eine "Testüberweisung" zu machen. Das kam mir komisch vor und ich habe daraufhin (zum Glück) bei der Sparkassen Hotline angerufen. Die Dame dort erzählte mir, dass mein Rechner mit einem Trojaner infiziert sei. Ich entgegnete ihr: "Nein, das kann nicht sein. Mein Rechner ist permanent von McAffee geschützt..." Ich startete McAffee und ließ das System scannen. Irgendwann erschien dort die Meldung, dass ich einen Trojaner hätte und dieser gelöscht wurde, ich bräuchte mich um nichts weiter kümmern. Meine Frage nun an euch, ist mein Rechner noch zu retten, ohne dass ich ihn formatieren muss?! Habe ich wirklich irgendwelche Viren, Trojaner oder was auch immer? Ich bin euch um jede hilfreiche Antwort dankbar. LG, ein ahnungsloser User :) |
Hallo und :hallo: Zitat:
Solche Angaben reichen nicht, bitte poste die vollständigen Angaben/Logs der Virenscanner siehe http://www.trojaner-board.de/125889-...tml#post941520 Bitte alles nach Möglichkeit hier in CODE-Tags posten. Lesestoff: Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
|
Wie gesagt, ich habe wirklich keine Ahnung von der ganzen Materie und bin auf deine/eure Hilfe angewiesen... Wenn ich bei McAffee jetzt auf den Bericht vom letzten Scan klicke, steht da lediglich, dass 2 Trojaner gefunden wurden, mehr nicht. Kannst du mir trotzdem iwie helfen? |
Schau da mal nach was genau wo gefunden wurde. |
Sorry, mein Fehler, habe da doch etwas gefunden: Auf ihrem Computer wurde mindestens ein Element entdeckt. Entdeckungsname: RDN/Ransom!cp (Trojaner) Datei: C:\USERS\GRANT\APPDATA\LOCAL\TEMP\tmp9bebc2da\68.exe Prozess: C:\Program Files (x86)\Malwarebytes` Anti-Malware\mbam.exe |
MBAM = Malwarebytes Hast du da auch Logs von? Bitte alle Logs mit Funden posten! Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
Note: Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread. Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards. Erstmal eine Kontrolle mit OTL bitte:
|
Die Logs von Malwarebytes waren alle ohne Fund, willst du sie dann trotzdem haben?! Ich habe deine Anleitung verstanden und beginne jetzt mit OTL. Hier das Ergebnis von otl.txt: OTL Logfile: Code: OTL logfile created on: 31.05.2013 16:41:06 - Run 1 und hier Extra.txt: OTL Logfile: Code: OTL Extras logfile created on: 31.05.2013 16:41:06 - Run 1 |
Ja, poste die trotzdem mal, ich wissen ob die DBs aktuell waren |
Windows 7 Service Pack 1 x64 NTFS Internet Explorer 10.0.9200.16576 Grant :: GRANT-VAIO [Administrator] Schutz: Aktiviert 31.05.2013 13:33:51 mbam-log-2013-05-31 (13-33-51).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 215787 Laufzeit: 13 Minute(n), 19 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) |
Die Logs bitte in CODE-Tags Dann bitte jetzt Combofix ausführen: Scan mit Combofix
|
Hier die Logfile von Combofix. Bevor ich Combofix gestartet habe, hatte ich McAffee und Malwarebytes deaktivert und die Internetverbrindung getrennt. Bevor ich nun wieder online gegangen bin, habe ich sie wieder aktiviert. Code: ComboFix 13-05-31.02 - Grant 31.05.2013 22:04:40.1.2 - x64 |
Rootkitscan mit GMER Bitte lade dir GMER herunter: (Dateiname zufällig)
Tauchen Probleme auf?
Anschließend bitte MBAR ausführen: Malwarebytes Anti-Rootkit (MBAR) Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers |
Hey Cosinus, hier ist schon mal die Logdatei von Gmer: Code: GMER 2.1.19163 - hxxp://www.gmer.net Bei MBAR wurde nichts "bösartiges" gefunden, so die Meldung... Hier die Logdatei: Code: Malwarebytes Anti-Rootkit BETA 1.06.0.1003 |
aswMBR Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none). TDSS-Killer Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop
|
Guten Morgen! Hier die Logdatei von aswMBR: Code: aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software Code: 11:49:11.0015 2976 TDSS rootkit removing tool 2.8.16.0 Feb 11 2013 18:50:42 |
JRT - Junkware Removal Tool Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Im Anschluss: adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen Downloade Dir bitte AdwCleaner auf deinen Desktop.
Danach eine Kontrolle mit OTL bitte:
|
Moin! Hier die Ergebnisse, der von dir geforderten Prozesse: JRT: Code: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Code: # AdwCleaner v2.301 - Datei am 02/06/2013 um 12:32:24 erstellt Code: OTL logfile created on: 02.06.2013 12:39:00 - Run 2 Code: OTL Extras logfile created on: 02.06.2013 12:39:01 - Run 2 |
Fixen mit OTL
Code: :Files
|
Nabend! Hier das Ergebnis: Code: All processes killed |
Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle einen Vollscan mit Malwarebytes Anti-Malware (MBAM) (falls du vor kurzem erst einen Vollscan gemacht hast, reicht auch ein Quickscan (spart Zeit), das dann mir bitte auch mitteilen) Hinweis: Denk bitte vorher daran, Malwarebytes Anti-Malware über den Updatebutton zu aktualisieren! Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt: ESET Online Scanner
|
Die Suche mit MBAM läuft noch, er hat aber bereits 1 infiziertes Objekt gefunden. Soll ich das dann anschließend löschen lassen? |
Poste bitte erstmal alle Logs |
Nabend! Ich habe bei MBAM das infizierte Objekt (entgegen deiner jetzt geschriebenen Anweisung) schon gelöscht, mein Fehler!! Ich hoffe, das war nicht schlimm?! Code: Malwarebytes Anti-Malware (Test) 1.75.0.1300 Und hier das Ergebnis von dem Online Scanner Code: ESETSmartInstaller@High as downloader log: |
Das ist nur ein Fund in der CF-Q Sieht soweit ok aus :daumenhoc Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat. Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie ) Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird. Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme? |
Ich weiss zwar nicht was CF-Q ist, vertraue dir da aber ;) Erst mal ein dickes Danke an dich und deine Mühe. Ich habe zwar überhaupt keine Ahnung was ich hier die letzten Tage mit dir und dem Lap Top angestellt habe, aber er läuft einwandfrei! Danke! Ein paar Fragen hätte ich da noch: Was ist mit den ganzen Programmen, soll ich die löschen? Was war mit meinem Rechner, war er von einem Trojaner infiziert?! Und wenn ja, wie geht das, trotz McAffee Komplettschutz mit Firewall bla bla bla...?!? Ist mein Rechner jetzt wieder komplett "sauber"? |
Q bedeutet Quarantäne. Was eine Quarantäne ist sollte ja klar sein. Zitat:
Zitat:
|
Alles klar! Musst mir jetzt nur nochmal sagen, was ich mit den Programmen anstelle? Sollte ich welche behalten und ab und zu anwenden?! Wie z.B. MBAM? |
Dann wären wir durch! :daumenhoc Falls du noch Lob oder Kritik loswerden möchtest => http://www.trojaner-board.de/lob-kritik-wuensche/ Die Programme, die hier zum Einsatz kamen, können alle wieder runter. Combofix entfernen (nur relevant wenn es hier benutzt wurde!) : Start/Ausführen (Tastenkombination WIN+R), dort den Befehl combofix /uninstall eintippen und ausführen Mit Hilfe von OTL kannst du auch viele andere Tools entfernen: Starte dazu einfach OTL und klicke auf Bereinigung. Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen. Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken. Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP:Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Start, Systemsteuerung, Windows-Update PDF-Reader aktualisieren Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast) Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers: Prüfen => Adobe - Flash Player Downloadlinks findest du hier => Browsers and Plugins - FilePony.de Alle Plugins im Firefox-Browser kannst du auch ganz einfach hier auf Aktualität prüfen => https://www.mozilla.org/de/plugincheck Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind. Java-Update Veraltete Java-Installationen sind ein großes Sicherheitsrisiko, daher solltest Du die alten Versionen deinstallieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software (bzw. Programme und Funktionen) und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
Alle Zeitangaben in WEZ +1. Es ist jetzt 10:51 Uhr. |
Copyright ©2000-2024, Trojaner-Board