|
"Postbank 100 iTan-Trojaner" / obfuscated Hallo, leider habe ich mir Ende Februar in mein WinXP-System (Browser: Firefox) einen Trojaner eingefangen. Avira Antivir hatte angeschlagen, ich habe die Empfehlung befolgt und einen kompletten Scan durchgeführt. Dann kam noch eine Meldung, wieder habe ich alles wie vorgeschlagen akzeptiert. Der Erfolg war nicht durchschlagend. Mit Malwarebytes wurde ich dann nochmal fündig, schließlich mit Spybot Search & Destroy. Danach war Ruhe und Malwarebytes fand auch nichts mehr - bis ich nunmehr beim online-Banking-Versuch auf die 100-iTan-Abfrage aufgelaufen bin. Inzwischen habe ich auch den Eindruck, dass der Browser viel langsamer läuft. Einen aktuellen Malwarebytes-Scan habe ich durchgeführt und wurde damit wieder reichlich fündig. Das Log füge ich an. Mir ist jetzt klar, dass ich mir leider nicht mehr selbst helfen kann und ich wäre für Hilfe dankbar. Viele Grüße fwrf |
Hallo und Herzlich Willkommen! :) Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]: Zitat:
Zitat:
Für Vista und Win7: Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen 1. ** Update Malwarebytes Anti-Malware, lass es nochmal anhand der folgenden Anleitung laufen:
2. lade Dir HijackThis 2.0.4 von *von hier* herunter HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen" 3. Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken: System-Dateien und -Ordner unter XP und Vista sichtbar machen Am Ende unserer Arbeit, kannst wieder rückgängig machen! 4. → Lade Dir HJTscanlist.zip herunter → entpacke die Datei auf deinem Desktop → Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren → per Doppelklick starten → Wähle dein Betriebsystem aus - bei Win7 wähle Vista → Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen → Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren → Bitte kopiere den Inhalt hier in Deinen Thread. ** Falls es klappt auf einmal nicht, kannst den Text in mehrere Teile teilen und so posten 5. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool Ccleaner herunter → Download installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein Zitat:
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw grußCoverflow |
"Postbank 100 iTan-Trojaner" / obfuscated Guten Abend, zunächst einmal möchte ich mich dafür bedanken, dass Du Dir die Mühe machst, mir zu helfen. Da geht es mir gleich besser. Es ist eine ziemliche Liste, die Du mir als Hausaufgaben gegeben hast. Sie sorgfältig abzuarbeiten, werde ich etwas Zeit brauchen. Ich will in jedem Fall versuchen, das System zu reinigen, auch wenn der Rechner schon etwas angejahrt ist. Da stecken zu viele Inhalte drin und da ich keine high-End-Anwendungen benutze, wird er wohl noch eine Weile meine Anforderungen erfüllen. Ich fange zwar heute abend an, kann aber nicht sagen, wann ich durch sein werde. Ich antworte aber in jedem Fall. Danke nochmal und viele Grüße unbekannterweise fwrf |
"Postbank 100 iTan-Trojaner" / obfuscated Hallo, die erste meiner Aufgaben ist erledigt: MBAM ist durchgelaufen, bis auf den Eintrag in system volume information ist das Gefundene entfernt. Hier der Inhalt des Logs: Code: Ach ja, eine Information noch: Laufwerk H:\ ist virtuell (TrueCrypt). Damit es keine Nischen gibt, öffne ich das vor allen Aktionen. Muss ich das weiter so machen? Viele Grüße fwrf |
Hallo, da bin ich schon wieder. Das ging schneller, als gedacht. Hier das Log von HijackThis: [code] HiJackthis Logfile: Code: Logfile of Trend Micro HijackThis v2.0.4Viele Grüße fwrf |
"Postbank 100 iTan-Trojaner" / obfuscated Hallo, da bin ich schon wieder. Der nächste Schritt hat auch geklappt, glaube ich: Code: Bis bald, fwrf |
"Postbank 100 iTan-Trojaner" / obfuscated Hallo, hier der letzte Teil: Code: Vielen Dank und Gute Nacht für heute fwrf |
1. läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit) Achtung!: WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten! Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! Anleitung:-> GMER - Rootkit Scanner 2. Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked" klicken→ PC neu aufstarten): HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen Code: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.worldsex2000.com/Deine Javaversion ist nicht aktuell! Da aufgrund alter Sicherheitslücken ist Java sehr anfällig, deinstalliere zunächst alle vorhandenen Java-Versionen: → Systemsteuerung → Software → deinstallieren... → Rechner neu aufstarten → Downloade nun die Offline-Version von Java Version 6 Update 24 von Oracle herunter Achte darauf, eventuell angebotene Toolbars abwählen (den Haken bei der Toolbar entfernen)! 4. Adobe Reader aktualisieren : Adobe Reader Oder: Adobe starten-> gehe auf "Hilfe"-> "Nach Update suchen..." 5. alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren **Der Temp Ordner,ist für temporäre Dateien,also der Inhalt kann man ohne weiteres löschen.- Dateien, die noch in Benutzung sind, nicht löschbar. **Lösche nur den Inhalt der Ordner, nicht die Ordner selbst!
6. reinige dein System mit Ccleaner:
7.
8. - "Link:-> ESET Online Scanner >>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<< Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen. Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.► [Sicherheit] Autorun Funktion für mehr Sicherheit auf allen Laufwerken deaktivieren /Avira Support Forum -> Führe dann einen Komplett-Systemcheck mit Nod32 durch - folgendes bitte anhaken > "Remove found threads" und "Scan archives" - die Scanergebnis als *.txt Dateien speichern) - meistens "C:\Programme\Eset\EsetOnlineScanner\log.txt" Vor dem Scan Einstellungen im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben - um den Scan zu starten: wenn du danach gefragt wirst (den Text in der Informationsleiste ) - ActiveX-Steuerelement installieren lassen 9. poste erneut - nach der vorgenommenen Reinigungsaktion: TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!! ** berichte erneut über den Zustand des Computers |
"Postbank 100 iTan-Trojaner" / obfuscated Hallo, ich bin wieder ein paar Schritte weiter, aber stecken geblieben. Eines nach dem anderen: zu 1.: gmer Beim Entpacken der heruntergeladenen exe-Datei ist der Rechner abgestürzt (komplett aus und unmittelbarer Neustart). Entsprechend Deiner Warnung habe ich keinen zweiten Versuch unternommen. zu 2. bis 7. habe ich alles durchgeführt. Das Log von SUPERAntiSpyware ist hier: Code: SUPERAntiSpyware Scan LogDa ich mir zu Herzen nehme, nichts auf eigene Faust zu machen, habe ich an der Stelle zunächst einmal abgebrochen. Das ist jetzt mein Stand. Neue Probleme sind nicht aufgetreten. Wenn Du nochmal überlegen könntest, wie ich weiter machen könnte, wäre das nett. Vielen Dank und viele Grüße fwrf |
bitte verwende diesesmal den Internet Explorer |
"Postbank 100 iTan-Trojaner" / obfuscated Hallo, da ich vor längerer Zeit aufgehört habe, den IE zu benutzen, ist meine Version sicher nicht aktuell. Ist das in meiner Lage empfehlenswert, ihn zu aktualisieren? Oder soll ich mit der veralteten Version arbeiten? Viele Grüße fwrf |
Code: MSIE: Internet Explorer v8.00 |
"Postbank 100 iTan-Trojaner" / obfuscated Guten Morgen, nod32 ist nach 7,5 Stunden nicht fertig gewesen, stand ungefähr 5 Stunden bei 23%. Vielleicht hat mein Bildschirmschoner das blockiert? Das Programm hatte schon einen Loader gefunden (2x). Jedenfalls habe ich das zunächst abgebrochen, die Funde hat es dabei beseitigt. Hier meine Ergebnisse: Code: ESETSmartInstaller@High as CAB hook log:[code] HiJackthis Logfile: Code: Logfile of Trend Micro HijackThis v2.0.4Der Zustand des Computers scheint mir unauffällig. Ich habe jetzt aber keinen Stresstest unternommen. War es das? (wohl nicht, nachdem ESET nicht durchgelaufen war...) Viele Grüße fwrf |
sollte somit in Ordnung sein, aber lass dein System in der nächste Zeit noch unter Beobachtung! 1. Programme deinstallieren/entfernen, die wir verwendet haben und nicht brauchst, bis auf: Code: HijackThis/Trend Micro2. Zum Schluss, führe den folgenden Schritt aus: wenn alles gut verlaufen ist und dein System läuft stabil,mache folgendes: ** Rechten Maustaste auf den "Arbeitsplatz"→ auf "Eigenschaften"→ Registerkarte "Systemwiederherstellung"→ "Systemwiederherstellung deaktivieren"→ auf "OK"→ alles schließen→ Rechner neu starten→die Standardeinstellung wiederherzustellen(SWH wieder"aktivieren") 3. Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus - Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, aber auch die PIN für das Online-Banking) sofort ändern (► am besten von einem anderen, nicht-infizierten Rechner aus! ) Tipps: Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern) auch noch hier unter: Sicheres Kennwort (Password) Lesestoff Nr.1:
** Der gesunde Menschenverstand, Windows und Internet-Software sicher konfigurieren ist der beste Weg zur Sicherheit im Webverkehr ist !! Zitat:
► Kann sich auf Dauer eine Menge Datenmüll ansammeln, sich Fehlermeldungen häufen, der PC ist wahrscheinlich nicht mehr so schnell, wie früher:
|
"Postbank 100 iTan-Trojaner" / obfuscated Hallo, also zuerst vielen herzlichen Dank. Ich bin nicht so sehr der Smiliey-Typ und bleibe mir dabei trotz des hier sehr reichhaltigen Angebots auch treu. Ich unterstreiche das lieber textlich: ich finde es ganz toll, dass Leute wie Du einfach online gehen, um anderen einfach so zu helfen. Das macht mich neugierig darauf, was Du wohl für ein Typ bist, was Du im Job machst und in welcher Altersgruppe Du einzuordnen bist. Mich findet man irl im Umfeld von www.neue-richtervereinigung.de - auch ein Verein, der soziales Gewissen im Alltag ernst nimmt, wenn auch verbunden mit den von Amts wegen übernommenen Aufgaben. Vieles von dem, was Du mir als Lesestoff mitgegeben hast, kenne ich - zumindest überblicksartig. Ich gehe nie mit Admin-Rechten online (außer jetzt für die Trojaner-Bekämüfung), ich akzeptiere die Microsoft-Aktualisierungen, habe nur einen Virenscanner laufen, der sich häufig aktualisiert und ich installiere mir nicht jeden Müll. Mein XP lief stabil, seit ich den Rechner gekauft habe - in der vorherigen Peripherie ist mir sogar mein Win 98 nie instabil geworden. Und damit hatten viele recht häufig Probleme. Trotzdem möchte ich Deine Hinweise zum Anlass nehmen, das System noch pfleglicher zu behandeln. Und eine gute Firewall brauche ich wohl auch. Nach Deiner Freigabe habe ich jetzt auch nochmal die Postbank-Seite aufgerufen: der Trojaner ist nicht mehr aktiv geworden. Aber iTan habe ich zwischenzeitlich ohnehin abgestellt auf mobil-Tan, somit reicht ein PC-Zugang zu dem Konto nicht mehr, um Transaktionen durchzuführen, da gibt es also kein Risiko mehr. Das zeigt aber nochmal, dass Deine Hilfe perfekt funktioniert hat. Auch wenn das bis auf den ersten Punkt eigentlich nicht mehr hier her gehört, da im Übrigen kein Trojaner-Thema, vielleich darf ich Dich doch noch ein, zwei Sachen fragen: 1. Erst seit der Bereinigung tritt eine Fehlermeldung an meinem eingeschränkten Benutzerkonto auf, in dem der Trojaner vergraben war und das ich sonst immer benutze: Beim Starten wird die Programmdatei csrss.exe gesucht. Mit Registrierungsschlüsseln kenne ich mich nicht aus, das habe ich nie angefasst (nach autoexec.bat war da bei mir Ende - inzwischen bin ich wohl ein Computer-Dino - wer kennt schon heute noch den UMB). Wenn Du mir sagen könntest, wie ich diese Meckerei beenden kann, wäre das hilfreich - aber ich hoffe, dass das nur lästig ist, nicht mehr. Vielleicht gibt es ja auch ein Tool für Leute, die sich selbst mit Registrierungsschlüsseln helfen wollen, dabei aber sicher gehen wollen, sich das System nicht zu zerschießen. 2. Erst nach der Infektion mit dem Trojaner - in der Phase, als ich dachte, es sei wieder gut - habe ich einen Bluetooth-Dongle gekauft, um zu einem Handy eine Verbindung zur Datensicherung herstellen zu können. Die Treiber-Software ist von Toshiba. Da erwartet man doch eigentlich, dass alles klappt. Aber schon bei der Installation hat er mir ein Problem mit einem Modem gemeldet und seither werde ich, wenn der Dongle nicht eingesteckt ist, wegen der gescheiterten Modem-Installation angemeckert (dreimal hintereinander!). Meine Frage: Wo kann ich suchen, um das zu erschlagen? 3. Von der Zeit, als ich wirklich noch mit einem Einwahl-Modem in das Internet gegangen bin, ist auch noch ein CAPI-Treiber an Bord, der sich auch in meinem Admin-Konto immer anmeldet. Darf ich / wie kann ich diese Installation herausnehmen? Falls Du davon absehen möchtest, auf diese eher weitschweifigen Nachfragen einzugehen, soll mein Dank nicht geschmälert sein. Nochmal: ich finde das richtig klasse. Mach's gut und danke für den Fisch.* Viele Grüße fwrf *Nur für den Fall, dass auch das nur für Dinos verständlich ist: Eine Anlehnung an "Per Anhalter durch die Galaxis", extrem lustig. In diesem Fall der Titel des vierten Bandes der Trilogie. Und da hätte ich doch fast einen Smiley dran gehängt. ... |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:35 Uhr. |
Copyright ©2000-2025, Trojaner-Board