Hallo,

ich benötige eure Hilfe. Trotz eScan habe ich mir den commerzbank Trojan.Generic. eingefangen. Er wurde mehrmals gelöscht. Bis zum letzten mal am 20.12.10. Ich hoffe ich habe die nötigen Vorarbeiten richtig umgesetzt. Ist der Jetzt noch drauf und muss ich den PC trotzdem Formatieren?
Anbei:

1. den Report von eScan
2. die Unter Quarantäne gestellten Datein
3. Ergebniss Malware
4. OTL Ergebniss

Malware hat den genannten Trojaner nicht mehr gefunden. Ist das dann sicher das der runter ist?

Danke Vorab

Zitat:

Art des Suchlaufs: Quick-Scan

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Es hat etwas gedauer aber er hat nichts gefunden! Im Anhanng die Logdatei.

Ist der jetzt gelöscht? Muss ich trotzdem Formatieren?

Danke Vorab

Code: Alles auswählenAufklappen

ATTFilter

Drive T: | 148,04 Gb Total Space | 101,87 Gb Free Space | 68,81% Space Free | Partition Type: NTFS
Drive U: | 148,04 Gb Total Space | 101,87 Gb Free Space | 68,81% Space Free | Partition Type: NTFS
Drive V: | 148,04 Gb Total Space | 101,87 Gb Free Space | 68,81% Space Free | Partition Type: NTFS
Drive W: | 148,04 Gb Total Space | 101,87 Gb Free Space | 68,81% Space Free | Partition Type: NTFS
Drive X: | 148,04 Gb Total Space | 101,87 Gb Free Space | 68,81% Space Free | Partition Type: NTFS
Drive Y: | 148,04 Gb Total Space | 101,87 Gb Free Space | 68,81% Space Free | Partition Type: NTFS
Drive Z: | 148,04 Gb Total Space | 101,87 Gb Free Space | 68,81% Space Free | Partition Type: NTFS
         

Was sind das für Netzlaufwerke?
Das ist nicht rein zufällig ein Bürorechner, von dem die Logs stammen?

Hallo Arne,
es handelt sich tatsächlich um einen Bürorechner. Allerdings ein sehr kleines Netzwerk mit einem XP-Rechner als Datenablage, auf den diese Netzlaufwerke zeigen (Server will ich ihn nicht nennen, da eben XP).
Im Netzwerk befinden sich der Rechner von dem die Logs sind, sporadisch ein Notebook und der Rechner für die Datenablage.
Gruß,
mawi01

Ihr habt keinen, der in der EDV ist, verantwortlich ist für die Computer und das Netzwerk?

Hallo Arne,

ich bin Harry. Ich bin der Cumputerfritze von mawi01. Den letzten Beitrag habe ich geschrieben. Allerdings hatte ich noch keine Probleme mit Trojanern zu beseitigen.
Was schlägst Du als weitere Vorgehensweise vor.

Gruß,

Harry

PS: ich habe mich auch im Board angemeldet, kann aber in diesem Beitrag keine Antworten schreiben. Ist das normal?

Hallo Arne,

da ich inn Sachen PC nicht so FIT bin, habe ich Harry mein Cumputerfritze gebeten die Sache zu übernehmen. Er wird Dir allen Antworten geben können.

Danke Gruß Marko

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:59677
[2010.12.28 18:51:26 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\wuombci.sys
[2010.12.20 14:13:17 | 000,000,851 | ---- | M] () -- C:\Dokumente und Einstellungen\Marko Will\Eigene Dateien\pinfect.zip
[2010.12.05 14:12:49 | 000,007,022 | ---- | M] () -- C:\Dokumente und Einstellungen\Marko Will\Anwendungsdaten\ED3A.0D6
[2010.12.05 13:09:47 | 004,972,965 | ---- | M] () -- C:\WINDOWS\REGBK14.ZIP
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Hier das Ergebniss. Gruß mawi01

All processes killed
========== OTL ==========
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
File C:\WINDOWS\System32\drivers\wuombci.sys not found.
C:\Dokumente und Einstellungen\****\Eigene Dateien\pinfect.zip moved successfully.
C:\Dokumente und Einstellungen\****\Anwendungsdaten\ED3A.0D6 moved successfully.
C:\WINDOWS\REGBK14.ZIP moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 5752094 bytes
->Temporary Internet Files folder emptied: 281841020 bytes

User: All Users

User: BU
->Temp folder emptied: 5518075 bytes
->Temporary Internet Files folder emptied: 5998509 bytes
->Flash cache emptied: 662 bytes

User: ****->Temp folder emptied: 625008543 bytes
->Temporary Internet Files folder emptied: 262164009 bytes
->Java cache emptied: 96778833 bytes
->Flash cache emptied: 5923 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes

User: ET
->Temp folder emptied: 10035152 bytes
->Temporary Internet Files folder emptied: 19437416 bytes
->Java cache emptied: 1073925 bytes
->Flash cache emptied: 507 bytes

User: LocalService
->Temp folder emptied: 65536 bytes
->Temporary Internet Files folder emptied: 24035597 bytes
->Flash cache emptied: 857 bytes

User: LogMeInRemoteUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes

User: ****->Temp folder emptied: 75339018 bytes
->Temporary Internet Files folder emptied: 306981211 bytes
->Java cache emptied: 99290362 bytes
->Flash cache emptied: 12823 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: remoteservice

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 39097 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 43029355 bytes
RecycleBin emptied: 107144166 bytes

Total Files Cleaned = 1.878,00 mb


OTL by OldTimer - Version 3.2.20.1 log created on 01042011_010550

Files\Folders moved on Reboot...
File\Folder C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\~DF6ED6.tmp not found!
File\Folder C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\~DF6EEE.tmp not found!
File\Folder C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\~DF6F9A.tmp not found!
File\Folder C:\Dokumente und Einstellungen\***Lokale Einstellungen\Temp\~DF6FE0.tmp not found!
File\Folder C:\Dokumente und Einstellungen\Marko Will\Lokale Einstellungen\Temp\~DF70CF.tmp not found!
File\Folder C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\~DF70E7.tmp not found!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TYK4YAPE\ads[1].htm moved successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NNZ50GT6\ads[2].htm moved successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\L5IPND4P\69886-fuer-alle-hilfesuchenden-muss-ich-vor-der-eroeffnung-eines-themas-beachten[1].html moved successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\L5IPND4P\ads[1].htm moved successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\J5FA4PBL\85104-otl-otlogfile-oldtimer[1].html moved successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G6BDOKUS\ads[2].htm moved successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G6BDOKUS\redirect-to[1].htm moved successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AKEG0CVL\94261-commerzbank-trojan-generic[1].html moved successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5D5FHUK1\ads[2].htm moved successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\20TYS05C\ads[1].htm moved successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1FCPRBU4\ads[1].htm moved successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat moved successfully.

Registry entries deleted on Reboot...

Habt ihr für den Fall der Fälle ein Backup der Maschine?

Muss ich machen. Ich melde mich, sobald es erstellt ist.

Gruß,

Harry

Viele Tools die wir hier einsetzen, sind eigentlich nicht erlaubt auf Bürorechnern.
Außerdem wäre die Frage, ob das Restrisiko für euch vertretbar ist, bei Privatanwendern mag das ja alles noch sein, aber eine bereinigte Bürokiste?

Hallo Arne,
nach Rücksprache mit mawi01 haben wir uns entschlossen eine Bereinigung zu versuchen.
Vom System habe ich ein Backup erstellt.
Was muss ich nun tun?

Gruß,

Harry

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.