Hallo,

also ich habe mir so einen 20-Tan-Trojaner eingefangen. Zumindest kommt bei der Online-Banking Seite von einer meiner Banken (Volksbank) immer die Abfrage nach 20 Tans. Natürlich nicht gemacht! Die anderen Banken (Hypo- und Postbank) scheinen nicht betroffen. Ich hab jedoch jegliches banking von diesem PC aus eingestellt!

Als Virenprog hab ich NOD32 das hat nichts gefunden, blockt jedoch gelegentlich Verbindungsversuche zu "91.188.60.86:80 - thecargotime.com/cig-bin/forms.cgi".

Ich vermute mal, dass sich das Teil im MBR festgebissen hat.

Da ich nicht an der Windowsinstallation sowie dem system hänge ist eine neuinstall kein problem. Leider sind in dem Rechner noch 8 andere Festplatten. Teilweise Raids! Ist es wahrscheinlich das der Trojaner auch da drin ist oder beschränkt sich das auf die Systemhdd?

Ich hab Win7 64-Bit am laufen und dachte mir ok DVD rein und die Computerreparaturoptionen booten. Dann mit bootrec.exe /fixmbr den MBR ?gefixed?. Leider war der Trojaner danach immer noch da.

Jetzt die eigentliche Frage. Wie bekomme ich das Mistding zu 100% weg!

Ich will nicht ewig nach dem Teil suchen und 100 Proggies ausführen. Ich will einfach nur die befallenen MBR's (hoffentlich nur einen) säubern und Win7 neuinstall machen!

Schon mal Vielen Dank

hi, ich möchte nur nen kurzen überblick über das bs haben und evtl. unerkannte dateien einsammeln, dauert nicht lang.
du kannst daten usw sichern, im mbr ist der trojaner auch nicht. windows dann ganz einfach nach formatierung neu aufspielen, aber nicht die schnelle, ich geb dir dann auch tipps zum neu aufsetzen.
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten

Vielen Dank für die prompte Antwort.

Gut das das Ding nicht im MBR ist! Reicht es wenn ich die Systemplatte kille oder müssen alle Datenplatten auch gewiped werden (das wäre quasi unmöglich, da ich nicht genug Platz habe das alles zu saven)

Hier die beiden Reports: Anhang 9303

hi, c: formatieren reicht, aber noch nicht.
• Starte bitte die OTL.exe.
• Kopiere nun das Folgende in die Textbox.

:OTL
O36 - AppCertDlls: dfrgtend - (C:\Windows\system32\instpSNK.dll) - C:\Windows\SysWOW64\instpSNK.dll ()
:FILES
C:\Windows\SysWOW64\instpSNK.dll
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument dieses posten


öffne mein computer, c:\_OTL rechtsklick auf moved files und zu moved files.rar oder zip hinzufügen.
archiv zu uns hochladen.
http://www.trojaner-board.de/54791-a...ner-board.html

ich würd dir dann gern auch noch tipps mit auf den weg geben, wie du das system besser absicherst.

Super da fällt mir ein Stein vom Herzen wenn "format c:" reicht!

Ich hab diese "MovedFiles" in den Uploadchannel hochgeladen aber ich pack die auch nochmal hier hin weil ich die hochgeladenen nirgens finden konnte: LINK GELÖSCHT

Da ist so ne instpSNK.dll drin. Ist das der Trojaner?

Bin immer offen für Sicherheits-Tipps. Also immer her damit!

Wenn ich jetzt gleich Windows neuinstall mache, muss ich also am mbr voher nix fixen sondern einfach nur systemhdd neu formatieren und win7 neuinstallen?

P.S.: Der Trojaner scheint gekillt zu sein. Zumindest geht die Online-Bankingseite wieder ohne die 20-Tan-Abfrage. Ist aber trotzdem besser neuauzusetzten oder?

ja, bitte lösch mal den link die datei is im upload channel.
einfach c: formatieren, nicht die schnelle formatierung wählen, die dll ist der trojaner.
ok tipps:
du spielst natürlich, zu erst windows auf, dann evtl. nötige treiber, dann windows updates, dann antivirus.
bitte kein file sharing, illegale downloads etc, auch keine streaming seiten, darüber verbreitet sich das zeug sehr gern.
1. solltest du nur noch als eingeschrenkter nutzer arbeiten , das admin konto ist nur für instalationen gedacht.
klicke start, tippe unter suchen (ausführen) systemsteuerung. wähle dort Benutzerkonten hinzufügen/entfernen.
wähle "neues konto erstellen"
Wähle standard benutzer.

die konten sollten mit einem passwort geschützt werden.
dazu auf konto endern klicken und passwörter vergeben.

die uac sollte auf maximum stehen.
klicke auf start, ausführen (suchen) tippe
uac
enter
nachfrage bestätigen, regler auf höchste stufe.
so ist es schwiriger heimlich etwas auf dem pc zu instalieren.
Die folgenden konfigurationen als admin ausführen:
2.
dep aktivieren:
dep für alle prozesse:
Datenausführungsverhinderung (DEP)
• "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:".
wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen.

3. sehop aktivieren:
SEHOP aktivieren:
Aktivieren von SEHOP (Structured Exception Handling Overwrite Protection) in Windows-Betriebssystemen
klicke auf "Feature automatisch aktivieren"
und folge den anweisungen
dieser tipp, gilt auch für windows 7
4.
einer der sichersten browser ist opera.
Opera Webbrowser | Schneller & sicherer | Die neuen Internet-Browser kostenlos herunterladen
6.
um das surfen sicherer zu machen, würde ich Sandboxie empfehlen.
Download:
drop.io
(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.
7. autorun für usb deaktivieren:
über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab.
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
usb sticks, festplatten etc, sollte man mit panda vaccine impfen:
ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY
so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit.
hake an:
hake an:
run panda usb vaccine automatically when computer boots
automatically vaccine any new insert usb key
enable ntfs file suport
8.
updates:
Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt.
instaliere die folgenden update checker.
Secunia:
http://www.trojaner-board.de/83959-s...ector-psi.html
und file hippo update checker:
FileHippo.com Update Checker - FileHippo.com
das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok.
dann doppelklicke file hippo, eine Internetseite wird geöffnet, auf der dier die aktuellsten updates gezeigt werden, diese downloaden und instalieren.

Beide programme sollten im autostart bleiben, und sobald eines der programme updates anzeigt sollten diese umgehend instaliert werden.
9.
regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht.
Acronis True Image 2011 - Festplatten-Backup-Software, Datei-Backup und Disk Imaging, Wiederherstellung von Anwendungseinstellungen, Backup von Musik, Videos, Fotos und Outlook-Mails
außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen.
Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden.
Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll.
10 passwörter endern
so jetzt nur noch im eingeschrenkten nutzerkonto in der sandbox surfen (mit klick auf sandboxed web browser)

Super!!!! Der Trojaner ist weg. Es kommt keine 20-Tan abfrage mehr.

Muss ich den Rechner jetzt trotzdem neuinstallen oder könnt der auch erstmal so bleiben?

er sollte neu instaliert werden das ist das sicherste.
bank anrufen ist ebenfalls wichtig, und befor ichs vergesse, lasse dich über sicheres onlinebanking mit chipcard beraten! ist besser (sicherer( als tan.
auch als das sms/tan verfahren

Alles klar dann werd ich das gleich mal machen...

Nochmal vielen Dank für deine schnelle und sehr gute Hilfe

meld dich bitte wenn alles geklappt hatt, oder wenns nen problem gibt.

Ja hat alles super funktioniert. Nochmal VIELEN DANK!!!!!!!

Banken haben auch alle Zugänge geändert...

Was für einen Trojaner hatte ich da eigentlich? Also hat das Teil nen Namen und was hat der so alles machen können?

zbot. er kann passwörter auslesen, dein pc war dann teil eines botnetzes und konnte für illegale aktionen genutzt werden, spamversand ist da noch das harmloseste.