Trojaner-Board - C:\moonxxxxxx.exe\moonxxxxxx.exe

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - C:\moonxxxxxx.exe\moonxxxxxx.exe - was ist das ? (https://www.trojaner-board.de/96194-c-moonxxxxxx-exe-moonxxxxxx-exe.html)

C:\moonxxxxxx.exe\moonxxxxxx.exe - was ist das ?

Seit einem Tag kann ich mich bei meinem Postbank Konto nicht mehr einloggen. Nach Login werde ich nicht mehr weiter geleitet. Jetzt habe ich mal nen Virenscan laufen lassen und bekomme folgendes Ergebnis:

C:\moonxxxxxx.exe\moonxxxxxx.exe » UPX v12_m2 - Variante von Win32/Kryptik.LGJ Trojaner

Versuche grade das Teil zu entfernen, leider findet google kaum brauchbare Infos dazu. Jemand ne Idee was das für ein Schädling ist, bzw. wo ich den her haben könnte. Habe nämlich weder irgendwas verbotenes installiert, noch war ich auf schmutzigen Seiten ;)

rufe sofort die bank an, lasse das onlinebanking sperren!
das ist das erste und wichtigste was du jetzt tun musst befor ein schaden entsteht.
ich möchte mir dein system mal ansehen, aber warscheinlich solltest du neu aufsetzen

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Danke, werde gleich mal das Programm starten.
Onlinebanking ist gesichert, selbst wenn ich Benutzernamen und Pin hier posten würde, könnte damit keiner irgendwas anfangen.

das ist aber egal, solche trojaner fangen deine daten ab, es hat schon seinen grund wenn ich dir sage das du es sperren lassen sollst.

ich habs gesperrt, so meinte ich das nicht. kannst du aber kurz erläutern?

ich weis nicht genau wie dein onlinebnaking abläuft, es ist aber durchaus möglich das die malware "wartet" bis alle daten eingegeben sind und dann die verbindung scheinbar unterbricht. die daten werden aber trotzdem gesendet, natürlich nicht dahin wo du das möchtest sondern meist ins ausland und dort hohlt man sich dann das geld ab.
ich möchte mit combofix nach prüfen welche malware evtl. zusätzlich auf dem pc ist, diese einsammeln und an die antimalware-firmen senden, damit diese die malware in die erkennung aufnehmen.
du wirst aber formatieren müssen denke ich, da man nicht weis was diese trojaner nachladen endern etc.

so anbei der log. was sagt mir das jetzt aus? irgendwas scheint das programm ja gelöscht zu haben?

Kurz einmisch: hast du ausch schon mal Malwarebytes durchlaufen lassen? So lässt sich evtl noch klassifizieren, welcher Schädling das war.

läuft grade ;)
dauert aber ne weile

hi, bitte sichere deine daten wir machen uns dann ans neu aufsetzen und absichern des pcs.

daten sind gesichert, habe die datei über meinen virenscanner zur analyse eingeschickt

Die Logs von MBAM würde ich dennoch gerne sehen ;)

da gibt es nichts zu sehen, es wurde nicht ein infiziertes objekt gefunden. verstehe das wer will.

Das Log liefert aber mehr Infos als nur Funde oder keine Funde. Bitte alles posten.

Code:

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org
 

Datenbank Version: 5930
 

Windows 6.1.7600

Internet Explorer 8.0.7600.16385
 

02.03.2011 16:11:57

mbam-log-2011-03-02 (16-11-57).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|Z:\|)

Durchsuchte Objekte: 293735

Laufzeit: 46 Minute(n), 48 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

oder gibt noch nen anderen log?

nein.
also deine daten sind gesichert?

ja ist alles gesichert, bin auch hier an nem anderen rechner dran, kann also in ruhe entspannt losgehen.

hast du ne recovery partition oder mit cd?

mache alles per hand von cd/dvd

ok
dann lege die dvd ein und starte den pc von der dvd.
wähle benutzerdefiniert aus bei instalation
wenn du bei den partitionen bist, wähle optionen dort formatieren.
instaliere dann windows.
instaliere dann benötigte treiber.
dann sofort die windows update seite aufsuchen.
dort unter einstellung automatische updates aktivieren.
dann wichtige updates instalieren, auch das servicepack 1.
du solltest nur noch als eingeschrenkter nutzer arbeiten , das admin konto ist nur für instalationen gedacht.
klicke start, tippe unter suchen (ausführen) systemsteuerung. wähle dort Benutzerkonten hinzufügen/entfernen.
wähle "neues konto erstellen"
Wähle standard benutzer.

die konten sollten mit einem passwort geschützt werden.
dazu auf konto endern klicken und passwörter vergeben.
die folgenden konfigurationen als administrator durchführen

die uac sollte auf maximum stehen.
klicke auf start, ausführen (suchen) tippe
uac
enter
nachfrage bestätigen, regler auf höchste stufe.
so ist es schwiriger heimlich etwas auf dem pc zu instalieren.

http://www.trojaner-board.de/96344-a...-rechners.html

danke soweit erstmal für die nette hilfe. bin mit nem frischen system wieder online. hab schon einiges von deinen vorschlägen umgesetzt. zu firefox könntest du gerne noch etwas schreiben, da mir opera nicht so gefällt.
bin auch auf der suche nach einer brauchbaren backup software. habe bisher immer mit acronis true image gearbeitet, aber das kommt mit meinem sata controller im laptop nicht klar und ist quasi unbrauchbar.

ok firefox:
als adon noscript, es werden dadurch einige scripts (java) zb blockiert, du kannst diese dann frei geben, in dem du auf der seite, die freigegeben werden
soll, nen rechtsklick machst, noscript wählst, und temporär alle berectigungen aufheben wählst, somit werden sie für den besuch aufgehoben, oder alle beschrenkungen
aufheben, somit wird die seite freigegeben. das kann man natürlich wieder rückgängig machen.
http://filepony.de/download-noscript//

adblock+ um werbung zu blockieren:
http://filepony.de/download-adblock_firefox//
hier gibt es noch filterlisten:
Bekannte Filterlisten fr Adblock Plus
hier würde ich 2 oder 3 deutsche filter auswählen.
unter sonstiges die malware blocklist.

sandboxie:

hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar.
den direkten datei zugriff bitte auf firefox.exe und plugin-container.exe
beschrenken, hier kannst du auch noscript und andere plugins eintragen.
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini
bei
Internetzugriff:
firefox.exe und
plugin-container.exe
eintragen
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, firefox.
direkten zugriff auf lesezeichen erlauben auswählen und auf hinzufügen klicken, dann auf ok.

true image:
auch schon die neueste version genutzt?
laut der beschreibung für die 2011 sollte es funktionieren.
paragon sollte es auch packen.

gabs irgendwelche probleme mit den tipps?