Hallo,
aufgrund eines Problems mit einem angeblich infizierten Rechners mit dem GOZI Trojaner, bin ich auf der Suche nach Hilfe auf dieses Forum gestoßen.
Ich besitze 2 Rechner, einen "normalen" PC und einen Laptop, an dem sitze ich gerade. Von diesem Rechner aus, wollte ich Heute aufs Onlinebanking zugreifen, leider war der Account bereits gesperrt. Auf Nachfrage erhielt ich die Auskunft das auf meinem Rechner angeblich ein Trojaner sei (GOZI). Wahrscheinlich auf dem daheim, weil ich nicht sehr oft den Onlinezugang der Bank auf dem Laptop nutze.
Um sicher zu gehen um welchen der beiden Rechner es sich handelt hatte ich gehofft ihr könntet Euch meine Logs anschauen.

Die Logs vom "normalen" Rechner werde ich am Mittwoch posten, zur Not mache ich den Rechner daheim einfach platt und setze ihn neu auf. Das Notebook ist dagegen viel wichtiger, brauche den für Schule, Arbeit und co. Wäre sehr übel wenn ich den jetzt neu aufsetzen müsste. Wenn ich an die Installation von Autodesk Inventor, Siemens Step 7 usw denke, wird mir jetzt schon schlecht!

Wäre Euch wirklich dankbar wenn Ihr Euch meine Logs anschauen könntet und mir sagt ob da was ist oder nicht!

DANKE schonmal im Voraus!
Gruß, Dennis

Die Logs:

hxxp://www.dennisbreuer.eu/ADMIN-Notebook-OTL.txt
hxxp://www.dennisbreuer.eu/ADMIN-Notebook-Extras.txt
hxxp://www.dennisbreuer.eu/mbam-log-2010-11-15_20-52-57.txt

PS: Die Logs habe ich nach dieser Anleitung angefertigt:

ootl:
Systemscan mit OTL
download otl:
hxxp://oldtimer.geekstogo.com/OTL.exe

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt

PS: Hatte Gestern bereits ein ähnliches Thema aufgemacht. Wäre es mir möglich gewesen, hätte ich es bereits gelöscht. Habe einige Stunden auf dieser Seite verbracht und noch einige Infos zum Erstellen der richtigen Logs gefunden. Zudem hatte ich mir selbst eine Antwort geschickt weil ich den Log von dem Malwarescanner vergessen hatte. Der beitrag ist also derbe in die Hose gegangen. Ich hoffe Ihr nehmt es mir nicht übel und könnt mir trotzdem Helfen! DANKE!

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten.

Aktuelle Malwarebytes Logdatei vom Laptop: hxxp://www.dennisbreuer.eu/mbam-log-2010-11-17_16-41-23.txt
MBRCheck: hxxp://www.dennisbreuer.eu/MBRCheck_11.17.10_17.14.52.txt
Mehr Logs habe ich vom Laptop nicht.

Habe derweil mehrmals komplette Scans von meinem Laptop mit, AVG und Ad-Aware durchlaufen lassen, jedesmal keine Funde.

Bin jetzt auch gerade Zuhause, und lasse vor dem Neuaufsetzen meines Rechners daheim, OTL und Malwarebytes durchlaufen, werde diese dann auch mal hier posten, vielleicht kannst Du Dir die dann gesondert anschauen. Würde ja am Ende schon gerne wissen, ob es nun an meinem Rechner daheim oder eben am Laptop gelegen hat. Werde die Logs so kennzeichnen das Du sie klar unterschieden kannst.

Ach so,

Finde das Board echt gut, so schnelle Hilfe habe ich noch nirgendwo bekommen!

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
IE - HKU\S-1-5-21-3354758207-1339226119-628482641-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:5577
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{2272fe3b-e1c2-11de-a3b8-0090f5966056}\Shell - "" = AutoRun
O33 - MountPoints2\{2272fe3b-e1c2-11de-a3b8-0090f5966056}\Shell\AutoRun\command - "" = G:\Launcher.exe -- File not found
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Habe ich gemacht.

Das Logfile im Anhang.

Ist bisher was Auffälliges zu sehen gewesen?

Nö alles recht unauffällig bisher. Es gab auch schon Fälle wo die Bank einfach nur behauptet ein Rechner wäre befallen sich aber keine Hinweise auf Befall finden ließen. Du hast auch ein 64-Bit-Windows, da sind rootkits sehr viel schwieriger unterzubringen.

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Das klingt ja schonmal ganz gut. Eigentlich bin ich gerade mit meinem Laptop sehr vorsichtig. Wobei ich mich immer Frage was man so alles als Sicherheit machen sollte. Habe die Ratschläge hier alle mal durchgeschaut und weitesgehend beherzigt. Nur beim Virenscanner bin ich mir unschlüssig.
Habe aktuell den AVG Free drauf, ich hoffe immer das der reicht. Zwischendurch nutze ich Ad-Aware und seit ich hier die Infos gelesen habe auch Malwarebytes und SUPERAntiSpyware.

Wo wir beim Thema wären, es folgen die Logs der beiden Programme:

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 11/17/2010 at 09:24 PM

Application Version : 4.45.1000

Core Rules Database Version : 5875
Trace Rules Database Version: 3687

Scan type       : Complete Scan
Total Scan Time : 00:56:54

Memory items scanned      : 634
Memory threats detected   : 0
Registry items scanned    : 16185
Registry threats detected : 0
File items scanned        : 141510
File threats detected     : 16

Adware.Tracking Cookie
	C:\Users\Dennis Breuer\AppData\Roaming\Microsoft\Windows\Cookies\dennis_breuer@apmebf[1].txt
	C:\Users\Dennis Breuer\AppData\Roaming\Microsoft\Windows\Cookies\dennis_breuer@bs.serving-sys[2].txt
	C:\Users\Dennis Breuer\AppData\Roaming\Microsoft\Windows\Cookies\dennis_breuer@zanox[2].txt
	C:\Users\Dennis Breuer\AppData\Roaming\Microsoft\Windows\Cookies\dennis_breuer@tradedoubler[1].txt
	C:\Users\Dennis Breuer\AppData\Roaming\Microsoft\Windows\Cookies\dennis_breuer@doubleclick[1].txt
	C:\Users\Dennis Breuer\AppData\Roaming\Microsoft\Windows\Cookies\dennis_breuer@mediaplex[1].txt
	C:\Users\Dennis Breuer\AppData\Roaming\Microsoft\Windows\Cookies\dennis_breuer@msnportal.112.2o7[1].txt
	C:\Users\Dennis Breuer\AppData\Roaming\Microsoft\Windows\Cookies\dennis_breuer@atdmt[2].txt
	C:\Users\Dennis Breuer\AppData\Roaming\Microsoft\Windows\Cookies\dennis_breuer@webmasterplan[2].txt
	C:\Users\Dennis Breuer\AppData\Roaming\Microsoft\Windows\Cookies\dennis_breuer@ad3.adfarm1.adition[2].txt
	C:\Users\Dennis Breuer\AppData\Roaming\Microsoft\Windows\Cookies\dennis_breuer@ad.zanox[1].txt
	C:\Users\Dennis Breuer\AppData\Roaming\Microsoft\Windows\Cookies\dennis_breuer@ad2.adfarm1.adition[2].txt
	C:\Users\Dennis Breuer\AppData\Roaming\Microsoft\Windows\Cookies\dennis_breuer@adfarm1.adition[2].txt
	C:\Users\Dennis Breuer\AppData\Roaming\Microsoft\Windows\Cookies\dennis_breuer@ad1.adfarm1.adition[1].txt
	C:\Users\Dennis Breuer\AppData\Roaming\Microsoft\Windows\Cookies\dennis_breuer@2o7[1].txt
	C:\Users\Dennis Breuer\AppData\Roaming\Microsoft\Windows\Cookies\dennis_breuer@serving-sys[2].txt
         

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5140

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

17.11.2010 22:21:40
mbam-log-2010-11-17 (22-21-40).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 282198
Laufzeit: 37 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Die ollen Cookies! Hab ich gleich gelöscht. Frag mich immer, wieso man trotz löschen des Browserverlaufs immernoch Cookies aufm Rechner hat. FF ist so eingestellt, das der immer den kompletten Verlauf nach beenden des Browsers löscht.

Habe gerade gesehen da gibts nen schönes Add On was Ihr bei Euch auch beschreibt. Das klappt gut. No Script funktioniert auch sehr gut, muss man halt nen paar Ausnahmen für manche Seiten hinzufügen, sonst funktionieren die nicht so richtig.

Naja, ich hoffe die Scans sehen gut aus.

An dieser Stelle nochmal ein DICKES Danke!!!

Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Nein, keine Meldung, alles ruhig! Notebook scheint also i.O. zu sein.

Den Rechner daheim habe ich bis gerade neu aufgesetzt. Wollte eigentlich OTL usw. durchlaufen lassen und die Logs posten, habe aber leider nicht die Zeit gehabt, und meine bessere Hälfte muss fleißig für Studium texten, deswegen habe ich die Gelegenheit einfach gleich genutzt und format c: gemacht. bzw. noch besser, alte Festplatten raus und zwei mal 1TB rein. Windows 7 drauf, Eure Tipps befolgt und alles ist gut.

War eh mal Zeit, da hilft auch kein Windows 7, der Rechner war derbe zugemüllt und warum vier kleine Platten wenns auch eine bzw. 2 im RAID genauso tun.

Hatte die ganze Sache doch noch was gutes!

Naja, ich werde die Sache mal beobachten und in Zukunft häufiger mal die Scanner durchlaufen lassen und weiterhin Eure Tipps befolgen.

Danke, und einen schönen Abend noch! Gruß, Dennis

Dann wären wir durch!

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

So, alles klar, habe die Updates gemacht. Die Programme für die Updates sind echt eine Erleichterung! Von Hand wäre das um einiges aufwändiger!

Die FF Plugins verrichten optimal Ihren Dienst, war bisher nie auf die Idee gekommen da mal zu schauen, was es gibt.

PDF Technisch bin ich jetzt auf die Foxit Geschichte umgestiegen, sehr gutes Angebot von denen, da hat man alles aus einer Hand.

Dann nochmal ein dickes Dankeschön!

Bis dann, Gruß, Dennis