|
Welcher Trojaner an Bord? Bank sperrt online Account Hallo zusammen, Meinen Einstand hatte ich bei Lob und Kritik gegeben...nun denn noch einmal: Super Arbeit, die ich bis jetzt hier sehen konnte und ich ziehe den Hut vor Eurer Aufopferung für Leute, die Probleme haben. Kurz zu meinem Fall: Letzte Woche habe ich mitbekommen, dass meine Bank mir den Online-Zugang dicht gemacht hat. Auf meine Nachfrage wurde mir erklärt, dass bei meinem Login ein Trojaner/Virus registriert und deshalb mein Account vorsorglich gesperrt wurde. Als ich dann anrief, um weitere Infos zu bekommen, wurde mir dann gesagt, das der Virus/Trojaner bei denen unter dem Namen "URL Zone" geführt wird. Eine weitere Recherche mit der Bezeichnung hat mich später aber auch nicht weiter gebracht. Mir wurde außerdem ein Neuaufsetzen nahe gelegt - wahrscheinlich, um DAU-Fehler komplett ausschließen zu können. Ich habe leider keinen blassen Schimmer, woher das Ding - so es denn existiert - stammen soll. Bei mir läuft Antivir, ab und an mache ich einen Scan mit HJT und Stinger.exe, da ich auch ein wenig paranoid, aber anscheinend nicht genug bin. Außerdem versuche ich mein System mit TuneUp2007 sauber zu halten und habe, nach meiner Einschätzung, alle unnötigen Prozesse (updater von Anwendungen u.ä.) beim Systemstart auf Eis gelegt. Ich hoffe, dadurch werden auch meine LogFiles entsprechend schmal gehalten. Ich weiß, dass ich mit dem ServicePack 2 unterwegs bin und habe Schiß mir mein System mit einem Upgrade zu zerschießen (hab ich schonmal erlebt bei SP1 auf SP2) - das hatte mit damals die Userverwaltung zerschossen, ich kam nicht mehr in das System und die XP Reparatur hat nicht gegriffen, da Version SP 0 --> vielen Dank, einmal Neu bitte. Hier also mein HJT-Scan: Code: Logfile of Trend Micro HijackThis v2.0.2die Punkte 1 und 2 unter "Für alle Neuen" habe ich bereits gelesen und durchgeführt. hier noch das Log von Malwarebytes: Code: Malwarebytes' Anti-Malware 1.39Viele Grüße, Marcus |
Hi, aufsetzten ist immer die beste Methode, wenn man ein aktuelles Backup hat! Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\WINDOWS\SYSTEM32\TosBtNP.dll <- gehört ev. zu Deinem (Toshiba)-Notebook
Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-a...tellungen.html Führe einen Systemscan durch und poste das Ergebnis! RSIT: Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/) * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. chris |
Hallo Chris, Danke, dass Du Dich der Sache angenommen hast.:daumenhoc Ich werde alles durchführen, sobald ich zu Haus bin - tagsüber bin ich halt viel unterwegs. Dann bis später und viele Grüße |
Hallo Chris, Dateieinstellungen war bereits Standard bei mir. Die Datei gehört zum Notebook und war auch schon immer da. Onlinescan der Datei TosBtNP.dll - Ergebnis: Code: Antivirus Version letzte aktualisierung ErgebnisKomplett-Scan: läuft, Ergebnis kommt Unter AntiVir --> Scanner --> Suche --> Weitere Einstellungen gibt es in der aktuellen Version mehr Optionen als auf dem Screenshot, ich habe alle aktiv geschaltet bis auf "offline Dateien ignorieren", das ist hoffentlich in Deinem Sinne? Kann ich rsit auch während des Avira-Scans starten? Das spart u.U. viel Zeit? Danke und viele Grüße, Marcus |
Hi Chris, Ich hab es halt parallel gestartet. Hier das editierte RSIT log.txt_1: Code: Logfile of random's system information tool 1.06 (written by random/random) |
und das RSIT log.txt_2: Code: ======Scheduled tasks folder====== |
und hier die rsit info.txt_1: Code: info.txt logfile of random's system information tool 1.06 2009-07-28 23:26:37 |
und die RSIT info.txt_2: Code: Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe" |
Hier der AV-Scan_1: Code: Avira AntiVir Personal |
und der AV-Scan_2 - wirklich so schlimm, oder evtl. Fehlmeldungen? Code: er Suchlauf über die ausgewählten Dateien wird begonnen: |
Hi, warten wir noch auf das Log von GMER, allerdings kannst Du jetzt bereits folgendes machen: Systemwiederherstellung löschen http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen Bin noch beim Durchsuchen der Treiber, Du hast unglaublich viel "Ballast" auf dem Rechner (Arcobat Reader 1.0?) und solltest auch unbedingt mal das System auf den neusten Stand bringen! chris |
Hi Chris, Ja, das GMER-Log muss ich leider auf heute Abend verschieben, das hab ich nicht mehr geschafft, da ich tagsüber unterwegs bin. Gerstern Nacht bin ich irgendwann einfach eingepennt. Die Systemwiederherstellung nehme ich mir dann ebenfalls vor. :snyper: Das ich so viel Ballast drauf hab, hatte ich nicht vermutet. Ich führe regelmäßig eine "Säuberung" mit TuneUp durch und dachte, dadurch wäre einiges runter. Auch nicht genutzte Sachen versuche ich herunterzuwerfen. Der Acrobat 1.0 ist mir wohl völlig durch die Lappen gegangen. Hast Du irgeneinen Hinweis, was das für ein Ding ist, dass da bei mir herumgeistert? Ist der noch aktiv? Wie könnte die Bank den überhaupt festgestellt haben? Danke für die Mühe, Sorry für die Umstände bis später, Marcus |
Hi, bitte noch folgende Sachen fixen (das sind "Reste"): Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code: O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain =Prevx: http://www.prevx.com/freescan.asp Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters... chris |
Hallo Chris, hier das ausstehende GMER-Log: Code: GMER 1.0.15.14972 - http://www.gmer.netHast Du schon irgeneinen Hinweis, was und / oder woher das Ding ist und / oder stammen sollte? Mich würde halt sehr interessieren, um zu verstehen, woher der stammen soll. Bist Du dir bei den zu fixenen Einträgen wirklich sicher? Der PC ist nämlich in der auseditierten Domain zu Haus und gegenwärtig bin ich nur abgekapselt unterwegs - wenn ich mich dort anstöpsel, bin ich dort im Netzwerk. :confused: Code: O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = <edit-domain>den Rest arbeite ich jetzt auch noch ab, Gruß, Marcus |
Ja hi, ich nochmal: Der Link funzt net: http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html Was soll ich jetzt in welcher Reihenfolge machen. Bin jetzt etwas verwirrt. Viele Grüße, Marcus |
södele, ich hab die restore Geschichte einfach mal durchgeführt, allerdings nicht im abgesicherten Modus, trotzdem ok? Den Wiederherstellungspunkt und die restlichen Scans mach ich auch sofort... |
Hi nochmal, also: Prevx 3.0 sagt "clean System" (ich nehme mal an, das ist noch kein Grund den Champagner kalt zu stellen) HJT-Log: Code: Logfile of Trend Micro HijackThis v2.0.2Danke und bis späta, Marcus |
schon wieder ich, Die Art und der Typ interessiert mich schon, da ich noch andere Rechner habe (2 @home) und vermeiden möchte, dass ich mich so oder so herum wieder zuseuche damit. Danke und Gruß |
Hi, das Problem er ist wohl schon gelöscht (oder so neu, dass weder die Scanner/Tools noch Ich Ihn kenne), bis jetzt ist nichts auffälliges mehr zu sehen... bis auf die seltsamen Einträge: Zitat:
|
Hi Chris, Die Einträge sind schon korrekt, nehm ich an - das hat mit einer internen Domain zu tun und die sind daher gesetzt. Ich kann aber nocheinmal bei unserem Domain-Menschen fragen. Na dann danke ich Dir auf jeden Fall sehr für Deine Mühe!! :party: Ein paar Fragen hab ich aber noch, bei denen Du mir sicher noch helfen kannst. Gestern hab ich noch den IE auf Version 8 angehoben - das hat funktioniert. Das SP3 wollte ich dann auch installieren - das wurde aber nach dem mehrmaligen aufpoppen von "mspaint.exe kann nicht gefunden werden" abgebrochen. Zwischen dem aufpoppen hat die Installation mit der Option "ohne diese Datei weiter machen" die Installation fortgesetzt. Was kann das für ein Problem sein? nächste Frage: nach dem sauberen Aufsetzen empfiehlt sich dann wohl ein Image des PC zu ziehen - mit welchem Tool geht das am einfachsten bzw. besten.? Gehe ich recht in der Annahme, dass ein Wiederherstellungspunkt nach sauberem Aufsetzen des PC nicht das geeignete Miittel ist, um eine evtuelle Infetion aus dem System zu bekommen? Was muss ich/kann ich jetzt noch machen? Welche Scanner sollte ich stets oder regelmäßig laufen haben/lassen? Den AV lass ich jetzt in der aggresiven Einstellung? Was kann ich sonst noch zusätzlich einschalten? Hast Du da bei mir einen besonderen Tip auch wegen meiner anderen Rechner? Die Rubriken aus john.doe's Signatur zu dem Thema gehe ich dann auch noch durch. Und noch eine Frage: Was machen Leute wie Ihr eigentlich beruflich? vielen, vielen Dank und viele Grüße |
Hi, die Systemwiederherstellung ist eigentlich dafür gedacht, im Falle von fehlerhaften Installationen (z. B. bei Treiberproblemen) auf einen validen Stand zurückzusetzen. Bei einer Verseuchung werden entweder die Schädlinge mitgesichert oder sie verhindern gleich durch das Abschalten der Systemwiederherstellung deren Benutzung. Daher immer ein aktuelles Backup erstellen, eines nach dem Neuaufsetzen des Systemes und eines das dann aktuell ist (immer drei Stände: Nach Neuaufsetzen, altes Backup (1), neues Backup(2), wobei beim aktuellen Backup erstellen immer der ältere Stand von Backup (1,2) überschrieben wird... Ein geeignetes Programm wäre: http://filepony.de/download-paragon_backup_recovery/ chris |
Hi Chris, Danke Dir - es verhält sich mit der SysWiederherstellung also durchaus so, wie ich dachte. Dann werde ich meine Rechner nach und nach mal richtig aufsetzen und die Image-Masche fahren - verursacht wohl den wenigsten Stress bei Problemen. Folgende Fragen brennen mir halt dennoch unter den Nägeln: Zitat:
Zitat:
Danke und viele Grüße, Marcus |
Hi, ja...ich bin es nochmal...die Nervensäge :rolleyes: ich habe noch einen Registry-Key, der laut TuneUp und auch CC-Cleaner unnütz ist. Ich bekomme den aber nicht weg. :headbang: Das nervige Teil ist direkt eingehangen unter: HKEY_CLASSES_ROOT\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} In dem verdammten Ding steht auch nix weiter drin, da ist nicht mal ein Wert gesetzt! Bei einer Reinigung sagen mir beide Tools "erledigt" - der Junge bleibt aber hartnäckig da stehen. Tja, da ich eher ratlos bin... :confused: Viele Grüße, |
Hi, Zitat:
chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:09 Uhr. |
Copyright ©2000-2025, Trojaner-Board