|
Onlinebanking Zugang gesperrt! Angeblich: Trojaner GOZI! Hallo, aufgrund eines Problems mit einem angeblich infizierten Rechners mit dem GOZI Trojaner, bin ich auf der Suche nach Hilfe auf dieses Forum gestoßen. Ich besitze 2 Rechner, einen "normalen" PC und einen Laptop, an dem sitze ich gerade. Von diesem Rechner aus, wollte ich Heute aufs Onlinebanking zugreifen, leider war der Account bereits gesperrt. Auf Nachfrage erhielt ich die Auskunft das auf meinem Rechner angeblich ein Trojaner sei (GOZI). Wahrscheinlich auf dem daheim, weil ich nicht sehr oft den Onlinezugang der Bank auf dem Laptop nutze. Um sicher zu gehen um welchen der beiden Rechner es sich handelt hatte ich gehofft ihr könntet Euch meine Logs anschauen. Die Logs vom "normalen" Rechner werde ich am Mittwoch posten, zur Not mache ich den Rechner daheim einfach platt und setze ihn neu auf. Das Notebook ist dagegen viel wichtiger, brauche den für Schule, Arbeit und co. Wäre sehr übel wenn ich den jetzt neu aufsetzen müsste. Wenn ich an die Installation von Autodesk Inventor, Siemens Step 7 usw denke, wird mir jetzt schon schlecht! Wäre Euch wirklich dankbar wenn Ihr Euch meine Logs anschauen könntet und mir sagt ob da was ist oder nicht! DANKE schonmal im Voraus! Gruß, Dennis Die Logs: hxxp://www.dennisbreuer.eu/ADMIN-Notebook-OTL.txt hxxp://www.dennisbreuer.eu/ADMIN-Notebook-Extras.txt hxxp://www.dennisbreuer.eu/mbam-log-2010-11-15_20-52-57.txt PS: Die Logs habe ich nach dieser Anleitung angefertigt: ootl: Systemscan mit OTL download otl: hxxp://oldtimer.geekstogo.com/OTL.exe Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt PS: Hatte Gestern bereits ein ähnliches Thema aufgemacht. Wäre es mir möglich gewesen, hätte ich es bereits gelöscht. Habe einige Stunden auf dieser Seite verbracht und noch einige Infos zum Erstellen der richtigen Logs gefunden. Zudem hatte ich mir selbst eine Antwort geschickt weil ich den Log von dem Malwarescanner vergessen hatte. Der beitrag ist also derbe in die Hose gegangen. Ich hoffe Ihr nehmt es mir nicht übel und könnt mir trotzdem Helfen! DANKE! |
Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten. |
Aktuelle Malwarebytes Logdatei vom Laptop: hxxp://www.dennisbreuer.eu/mbam-log-2010-11-17_16-41-23.txt MBRCheck: hxxp://www.dennisbreuer.eu/MBRCheck_11.17.10_17.14.52.txt Mehr Logs habe ich vom Laptop nicht. Habe derweil mehrmals komplette Scans von meinem Laptop mit, AVG und Ad-Aware durchlaufen lassen, jedesmal keine Funde. Bin jetzt auch gerade Zuhause, und lasse vor dem Neuaufsetzen meines Rechners daheim, OTL und Malwarebytes durchlaufen, werde diese dann auch mal hier posten, vielleicht kannst Du Dir die dann gesondert anschauen. Würde ja am Ende schon gerne wissen, ob es nun an meinem Rechner daheim oder eben am Laptop gelegen hat. Werde die Logs so kennzeichnen das Du sie klar unterschieden kannst. Ach so, :dankeschoen: Finde das Board echt gut, so schnelle Hilfe habe ich noch nirgendwo bekommen! |
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
Habe ich gemacht. Das Logfile im Anhang. Ist bisher was Auffälliges zu sehen gewesen? |
Nö alles recht unauffällig bisher. Es gab auch schon Fälle wo die Bank einfach nur behauptet ein Rechner wäre befallen sich aber keine Hinweise auf Befall finden ließen. Du hast auch ein 64-Bit-Windows, da sind rootkits sehr viel schwieriger unterzubringen. Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Das klingt ja schonmal ganz gut. Eigentlich bin ich gerade mit meinem Laptop sehr vorsichtig. Wobei ich mich immer Frage was man so alles als Sicherheit machen sollte. Habe die Ratschläge hier alle mal durchgeschaut und weitesgehend beherzigt. Nur beim Virenscanner bin ich mir unschlüssig. Habe aktuell den AVG Free drauf, ich hoffe immer das der reicht. Zwischendurch nutze ich Ad-Aware und seit ich hier die Infos gelesen habe auch Malwarebytes und SUPERAntiSpyware. Wo wir beim Thema wären, es folgen die Logs der beiden Programme: Code: SUPERAntiSpyware Scan LogCode: Malwarebytes' Anti-Malware 1.46Habe gerade gesehen da gibts nen schönes Add On was Ihr bei Euch auch beschreibt. Das klappt gut. No Script funktioniert auch sehr gut, muss man halt nen paar Ausnahmen für manche Seiten hinzufügen, sonst funktionieren die nicht so richtig. Naja, ich hoffe die Scans sehen gut aus. An dieser Stelle nochmal ein DICKES Danke!!! |
Sieht ok aus, da wurden nur Cookies gefunden. Noch Probleme oder weitere Funde in der Zwischenzeit? |
Nein, keine Meldung, alles ruhig! Notebook scheint also i.O. zu sein. Den Rechner daheim habe ich bis gerade neu aufgesetzt. Wollte eigentlich OTL usw. durchlaufen lassen und die Logs posten, habe aber leider nicht die Zeit gehabt, und meine bessere Hälfte muss fleißig für Studium texten, deswegen habe ich die Gelegenheit einfach gleich genutzt und format c: gemacht. bzw. noch besser, alte Festplatten raus und zwei mal 1TB rein. Windows 7 drauf, Eure Tipps befolgt und alles ist gut. War eh mal Zeit, da hilft auch kein Windows 7, der Rechner war derbe zugemüllt und warum vier kleine Platten wenns auch eine bzw. 2 im RAID genauso tun. Hatte die ganze Sache doch noch was gutes! Naja, ich werde die Sache mal beobachten und in Zukunft häufiger mal die Scanner durchlaufen lassen und weiterhin Eure Tipps befolgen. Danke, und einen schönen Abend noch! Gruß, Dennis |
Dann wären wir durch! :abklatsch: Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
So, alles klar, habe die Updates gemacht. Die Programme für die Updates sind echt eine Erleichterung! Von Hand wäre das um einiges aufwändiger! Die FF Plugins verrichten optimal Ihren Dienst, war bisher nie auf die Idee gekommen da mal zu schauen, was es gibt. PDF Technisch bin ich jetzt auf die Foxit Geschichte umgestiegen, sehr gutes Angebot von denen, da hat man alles aus einer Hand. Dann nochmal ein dickes Dankeschön! Bis dann, Gruß, Dennis |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:00 Uhr. |
Copyright ©2000-2025, Trojaner-Board