bank sperrt konto. urlzone?
 

hallo,

wie ich hier im forum erfahren konnte bin ich nicht der einzige mit diesem problem.

meine bank hat mir mein internetbanking gesperrt, da es wohl eine phishing attacke auf mein konto gegeben hat. mir wurde gesagt, dass es sich wohl um den trojaner urlzone handelt.

da ich an zwei computern (arbeit und zuhause) internetbanking betrieben habe, bin ich mir nicht ganz sicher, welcher rechner das übel beheimatet.

ich habe nun meinen arbeitsrechner gescant und folgende logfiles erstellen lassen.

es wäre grosse klasse, wenn mir ein erfahrener virenbekämpfer bei der auswertung der files helfen könnte.

danke und viele grüsse,
tyrannski

um arbeitspcs kümmern wir uns hier leider nicht, das muss euer admin machen.
aber hier gilt das selbe wie für deinen pc, sollte sich n trojaner verdacht erhärten, formatiern!
wenn der pc von zu hause diesen trojaner hat, und du online banking betreibst, solltest du dir dringenst überlegen das bs neu aufzusetzen und danach alle passwörter endern.
das ist das aller sicherste, wenn du solche wichtigen dinge daran machst. diese dinger können sich gut verstecken und man kann keine garantie dafür geben.
ich würde aber trotzdem gern nen blick werfen, um zu sehen, ob wir noch unbekannte dateien erwischen können.
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "run Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
poste die beiden.

hallo markus,

danke für deine antwort.

mir ist klar, dass nur eine neuinstallation sicherheit bietet. ich möchte zunächst herausfinden, welcher computer überhaupt betroffen ist. so könnte ich mir einmal die neuinstallation sparen.

nachfolgend die beiden reports. otl.txt war mit 149kb zu gross, so dass ich sie zippen musst.

viele grüsse,
tyrannski

kannst du für den ersten pc mal ein otl log erstellen?

das kann ich aber erst heute abend von zu hause machen.

jo keine eile. also das otl sieht gut aus, du kannst von dem andern noch ein combofix log erstellen.
bitte erstelle und poste ein combofix log.
http://www.bleepingcomputer.com/comb...x-benutzt-wird

was heisst das genauer?

naja das es gutaussieht und nichts anzeigt, was natürlich nicht zwangsläufig heißt das da nichts ist.
übrigens würde ich thread fire durch comodo ersetzen, also nicht das antivirus, nur firewall + hips. ist wesendlich besser finde ich.

hallo,

bin heute erst dazu gekommen die scans durchlaufen zu lassen. anbei die log-dateien meines privaten rechners zu hause.

hier noch die otl logs

auch das sieht gut aus, von beiden pcs combofix logs bitte

mit combofix hab ich so meine probleme. der arbeits pc ist mit bluescreen abgestürzt. der heimpc hat sich über nacht aufgehängt.

ich werds aber nochmal versuchen.

ok, wenn nicht im abgesicherten modus starten, oder halt mal in den sauren apfel beißen und beide pcs neu aufsetzen, das hättest du in der zeit locker geschafft.
desweiteren frage ich mich, warum sehe ich auf deinem arbeitspc kein backup programm, wie bist du gegen eine kaputte festplatte, nur mal als beispiel, abgesichert, oder gegen datenverlusst bei stromausfall?
für den privaten gilt das gleiche. der vorteil wähe außerdem, dass du jetzt ohne viel trara ein backup hättest zurückspielen können, das wäre in 30 min erledigt.
ich empfehle true image.

meinen heim-pc werde ich auf jeden fall neu aufsetzen. ich wollte nur zuerst herausfinden, welcher rechner überhaupt befallen war/ist.

anbei das combofix-log vom heim-pc.

anbei das combofix-log vom arbeits-pc.

kannst du mal arbeitsplatz öffnen, c:
dort rechtsklick auf qoobox. und zu qoobox.zip oder rar hinzufügen.
http://www.trojaner-board.de/54791-a...ner-board.html
bitte an uns hochladen wie unter punkt2.
bei der einen datei bin ich nicht sicher, die möchte ich mir ansehen.

hab den gesamten ordner gepackt und hochgeladen.

das ist doch der arbeits pc oder? wenn ich miich erinnere habe ich mich schon auf seite 1 dazu geäußert, das wir so was hier nicht machen.
das log sieht zwar sauber aus + die dateien, wende dich aber damit an deinen admin. weitere fragen und logs zu dem pc werde ich nicht beantworten.

von deinem privat pc kannst du gern ein combofix log erstellen.

erstmal danke für deine bisherige hilfe und mühe! die hochgeladene zip-datei war vom arbeits-pc, ja. einen admin oder ähnliches haben wir aber nicht, wir sind nur ein 6 mann büro.
darf ich dich trotzdem etwas zu den dateien im ordner fragen? einige dateien haben die endung .vir. heisst das nicht, dass es sich um viren handelt?

das combofix-log vom heimpc hab ich nochmals angehängt.

kannst du mir die qoobox von dem heimpc hochladen?
nein, das heißt nicht das es ein virus ist, die datei wurde nur umbenannt, damit sie nicht zb ausversehen ausgeführt wird. :-)

okay, verstehe, aber warum wurden sie dann in quarantäne gesteckt und umbenannt?

qoobox vom heim-pc lade ich heute abend hoch.

evtl. weil sie nicht mehr benötigt sind bzw fehlerkennungen.
habt ihr bereits über die anschaffung von backup software nachgedacht. du nutzt ja jetzt quasi zeit die deiner firma verloren geht. deswegen, und wie ich bereits gesagt hab, wegen hardware schäden, was natürlich erst mal ein finanzieller verlust an sich ist, ist solch eine software für ein unternehmen ein muss und für privatpersonen ebenso.
für unternehmen kommt noch hinzu, das ihr ja vllt kundendaten bzw geschäftsdaten allgemein dort habt. und wenn ihr das alles mal verlieren solltet ist das ja noch zeitaufwändig das alles wieder neu zu erstellen!

ich hab die qoobox datei von meinem heim-pc hochgeladen.


im büro haben wir keine backup software. bisher sichere ich (unregelmäßig) meine wichtigen daten händisch auf unseren server, dessen festplatte 1:1 gespiegelt wird.

ähnlich mache ich das zu hause. ich sichere wichtige daten händisch auf externen festplatten und cds/dvds.

hier ist keine... ist die vllt größer als 7 mb?
wenn ja
File-Upload.net
dort hochladen und den download link als persönliche nachicht.
ok das die daten gesichert sind, ist ja schon mal was, aber mit true image zb könnt ihr backups des systems machen. so hättest du dir wie gesagt die tagelange arbeit ersparrt und alles wäre in butter.

ja, sind 26mb. habs hochgeladen, link kommt per pn.

ich hab mal angefangen mich über backup software schlau zu machen. hab backup service home gefunden (hxxp://www.alexosoft.de/de/produkte/backup-service-home/uebersicht.aspx). das hört sich gut an.

das neue ocster backup business kann man über pcwelt umsonst bekommen (hxxp://www.pcwelt.de/start/sicherheit/backup/praxis/2344476/neue-profi-backup-software-ocster-backup-business-erschienen/), das hört sich auch gut an.

beide erstellen aber anscheinend kein image von der gesamten platte.

auch ncihts zu finden.
manche festplatten hersteller bieten true image kostenlos an.
Acronis - Festplatten klonen, Backups erstellen inklusive Betriebssystem, Programmen, Anwendungen und Einstellungen, Daten sichern auf CD, DVD, versteckte Partitionen, Systemwiederherstellung

heisst das es ist nicht mehr nachvollziehbar welcher rechner (arbeit/zuhause) die ursache war/ist?

ich habe jetzt noch todo-backup (hxxp://www.todo-backup.com/) gefunden, das hat doch ähnliche funktionen wie true image. worauf sollte ich besonders achten?

welce funktionen du brauchst, musst du ja selbst wissen. es sollte aber für mich die selben eigenschaften wie true image haben. also man sollte auf jeden fall n image des bs machen können. die andern programme kenne ich nicht, ich nutze seit jahren nur true image weils einfach gut ist :-) ja, das hatte ich dir gleich gesagt das das passieren könnte. und in der zeit hättest du, denke ich, beide pcs 2 mal neu gemacht :-)
von nem dritten pc aus hast du aber kein online banking gemacht oder?

ich weiss, mit einer neuinstallation wäre ich schon lange fertig, aber ich wollte gerne verstehen, wie und wo ich mir den trojaner eingefangen habe. ich will ja den gleichen fehler nicht nochmal machen.

nein, an einem anderen rechner, als den beiden, habe ich kein onlinebanking gemacht.

ok :-) wie gesagt kann ich es dir leider nicht sagen, die logs sehen alle unauffällig aus...