Hi Arne,

beide Programme haben (leider) im Ordner "C:\SYSTEM VOLUME INFORMATION\_RESTORE{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP2\ " angeschlagen

// editiert am 19.10. um 0:56h
zur Info: jetzt hat sich auch gerade die KIS gemeldet:

19.10.2010 00:38:53 Datei c:\dokumente und einstellungen\ABC\desktop\cofi.exe/32788R22FWJFW\catchme.cfxxe, gefunden: Virus 'Heur.Invader' (Modifikation).

19.10.2010 00:38:55 Datei c:\dokumente und einstellungen\ABC\desktop\cofi.exe/32788R22FWJFW\FileKill.cfxxe, gefunden: Virus 'Heur.Invader' (Modifikation).


Hier die Log`s:
1. Malwarebytes
Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4875

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

18.10.2010 22:06:12
mbam-log-2010-10-18 (22-06-12).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 289890
Laufzeit: 2 Stunde(n), 0 Minute(n), 37 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP2\A0000105.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP2\A0000107.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.


2. SUPERAntiSpyware
SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware!

Generated 10/19/2010 at 00:17 AM

Application Version : 4.44.1000

Core Rules Database Version : 5704
Trace Rules Database Version: 3516

Scan type : Complete Scan
Total Scan Time : 03:57:21

Memory items scanned : 533
Memory threats detected : 0
Registry items scanned : 6816
Registry threats detected : 0
File items scanned : 130648
File threats detected : 38

Adware.Tracking Cookie
.apmebf.com [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ]
.mediaplex.com [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ]
.mediaplex.com [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ]
etracker Webcontrolling - Echtzeit Webanalyse statt Besucherzähler [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ]
.tradedoubler.com [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ]
.tradedoubler.com [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ]
.tradedoubler.com [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ]
.tradedoubler.com [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ]
.doubleclick.net [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ]
.bwincom.122.2o7.net [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ]
tracking.tchibo.de [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ]
.secmedia.de [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ]
.secmedia.de [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ]
etracker Webcontrolling - Echtzeit Webanalyse statt Besucherzähler [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ]
.im.banner.t-online.de [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ]
Google [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ]
.liveperson.net [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ]
server.iad.liveperson.net [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ]
Google [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ]
.zanox.com [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ]
track.effiliation.com [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ]
track.effiliation.com [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ]
track.effiliation.com [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ]
track.effiliation.com [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ]
track.effiliation.com [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ]
.traffictrack.de [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ]
.webmasterplan.com [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ]
.webmasterplan.com [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ]
Google [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ]
.nextag.de [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ]
.nextag.de [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ]
.nextag.de [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ]
.nextag.de [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ]
.stats4free.de [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ]
.stats4free.de [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ]
.stats4free.de [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ]
.stats4free.de [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ]

Trojan.Agent/Gen-Nullo[Short]
C:\SYSTEM VOLUME INFORMATION\_RESTORE{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP2\A0000106.EXE

Zitat:

beide Programme haben (leider) im Ordner "C:\SYSTEM VOLUME INFORMATION\_RESTORE{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP2\ " angeschlagen

Das sind "nur" Überreste in der Systemwiederherestellung.
Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Ansonsten wurdne nur Cookies gefunden.
Sonst noch Probleme oder weitere Funde?

Die Systemwiederherstellung habe ich jetzt deaktiviert.

Habe gerade AntiVir laufen lassen. Hier wurde nichts gefunden.

Wie beurteilst Du die Funde von gestern Abend?
19.10.2010 00:38:53 Datei c:\dokumente und einstellungen\ABC\desktop\cofi.exe/32788R22FWJFW\catchme.cfxxe, gefunden: Virus 'Heur.Invader' (Modifikation).

19.10.2010 00:38:55 Datei c:\dokumente und einstellungen\ABC\desktop\cofi.exe/32788R22FWJFW\FileKill.cfxxe, gefunden: Virus 'Heur.Invader' (Modifikation).

Zitat:

Wie beurteilst Du die Funde von gestern Abend?
19.10.2010 00:38:53 Datei c:\dokumente und einstellungen\ABC\desktop\cofi.exe/32788R22FWJFW\catchme.cfxxe, gefunden: Virus 'Heur.Invader' (Modifikation).
19.10.2010 00:38:55 Datei c:\dokumente und einstellungen\ABC\desktop\cofi.exe/32788R22FWJFW\FileKill.cfxxe, gefunden: Virus 'Heur.Invader' (Modifikation).

Schau Dir doch mal den Pfad an. Das ist von Combofix und somit harmlos!

Ah ok. Dann bin ich beruhigt.
http://www.trojaner-board.de/images/smilies/taenzer.gif

Allerdings blicke ich noch nicht so recht durch. War mein System jetzt mit einem Passwort-Schnüffler namens Gozi infiziert? Irgendwie müssen meine Bankdaten ja auf den Hacker-Server gekommen sein.

Würdest Du mir einen Tip zur besseren Absicherung meines Systems (z.B. auch durch Sandboxie) geben.

Ein ganz herzliches Dankeschön für Deine Analysen, Auswertungen, Anweisungen und Deine schnellen Rückmeldungen!!!
hxxp://www.trojaner-board.de/images/smilies/dankeschoen.gif

Zitat:

Würdest Du mir einen Tip zur besseren Absicherung meines Systems (z.B. auch durch Sandboxie) geben.

Sandboxie kann man ruhig verwenden
Halte Dich am besten grob an diese fünf Regeln:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?


Ansonten sind wir soweit durch!

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Hallo Arne,

dann zu Abschluss noch mal mein ganz herzliches Dankeschön für Deine tolle Unterstützung!!

Final würde mich jedoch noch Deine Einschätzung zu u.a. Zitat interessieren:

Zitat:

Zitat von 1979maddin

Allerdings blicke ich noch nicht so recht durch. War mein System jetzt mit einem Passwort-Schnüffler namens Gozi infiziert? Irgendwie müssen meine Bankdaten ja auf den Hacker-Server gekommen sein.

SCHADE, zu früh gefreut.
Habe gerade gesehen, dass mein OnlineAccount zum Bankingportal schon wieder dicht gemacht wurde.
Morgen mal wieder mit der Bank sprechen, wo meine Daten jetzt lagen.... :-(

Kam das überhaupt von diesem Rechner? So "dicke" Funde waren AFAIR garnicht auf Deinem Rechner.
Machst Du Online-Banking nur auf diesem PC?

Siehe hierzu meinen ersten Beitrag:

Zitat:

Zitat von 1979maddin

Habe mein Online-Banking auch noch von meinem Firmenrechner aus bedient.

Kann es sein, dass mein privater Rechner sauber ist und der Virusbefall auf meinem Firmenrechner vorlag / vorliegt?

Ab und an auch mit dem Firmen-NB... (großes deutsches Industrieunternehmen mit eigentlich hohen Sicherheitsstandards...)

Von dort hab ich am Sonntag auch zum ersten Mal seit der Info von der Bank das Passwort geändert...

SUPERAntiSpyware und Malwarebytes habe ich meinem privaten Rechner heute ohne Funde durchlaufen lassen.

Achja, ok. Vllt kannste Du das NB mal checken, evtl. von den Admins checken lassen. Du wirst ja wohl kaum Adminrechte auf dem Teil haben bei so hohen Sicherheitsstandards oder

OK, das nehm ich morgen in Angriff.

Wenn was brauchbares bei rauskommt, werd ich hier nochmal mitteilen.

Hi Arne,

so, unsere Admins haben auf dem Firmen-NB alles mal durchgecheckt (Virenscanner, Firewall-Protokolle usw.) und nichts gefunden. Als einziges Sicherheitsriskio wurde die Verwendung des IE in der Version 6 festgestellt.

Meine Hausbank kann / will mir keine nähreren Infos zu den Funden geben. Es heißt immer nur: "Ihr Rechner ist mit Gozi verseucht...!"
Allerdings konnte man mir mitteilen, dass die Sperrung meines Accounts von gestern auf einem Fund meiner Daten vom 14.10. basierte. Zu diesem Zeitpunkt war mein Online-Account aber schon zum ersten Mal auf inaktiv gesetzt und neue TAN´s zur Reaktivierung waren noch per Post auf dem Weg zu mir.

Wichtig ist aber, dass alle hier durchgeführten Check´s, Log´s, Scan´s erst nach dem zweiten Fund durchgeführt wurden. Wenn also auf meinem privaten Rechner was drauf war, haben wir´s ggf. durch die dann durchführten Aktionen gereinigt!?!?

Zitat:

Es heißt immer nur: "Ihr Rechner ist mit Gozi verseucht...!"

Hm hilf tnicht wirklich weiter. Welchen Anschluss bzw. welche IP der angeblich verseuhcte Rechner hat können die bestimmt auch nicht sagen

Nein. natürlich nicht. Die berufen sich auf ihr internes Sicherheitszentrum, und die wollen über ihre "Ermittlungsmethoden" nichts verraten...

Man hat mir allerdings angeboten, dass ich auf Chip-Tan umstellen soll, weil damit dann die Sperrungen aufhören würden. Tangenerator kann ich für 10 EUR kaufen. Aktuell ist die Nachfrage nach diesen Teilen sehr hoch (vermutlich weil ein Zugang nach dem anderen gesperrt wird) und die Lieferung würde bis Ende Nov. dauern.

Hab zwar mal kurz gedacht, ob die Bank das ganze "nur insziniert", um ihre Kunden von i-Tan auf Chip-Tan umzustellen (vermutlich verdienen die auch an den Tangenerator); allerdings kann ich mir derartige Geschäftspraktiken bei der Sparkasse nur schwer vorstellen.

SuperAntiSpyware, Malwarebytes und AntiVir lieferte bei den letzten drei Checks keine Befunde.

Meinst Du es macht Sinn, dass Du nochmal nen Blick auf ein aktuelles OTL-Log wirfst? Oder fällt Dir sonst ein Check ein? Bin halt irgendwie noch verunsichert, dass hier doch noch irgendwo was lauert.