Code: Alles auswählenAufklappen

ATTFilter

"MEMSWEEP2" (MEMSWEEP2) - ? - C:\WINDOWS\system32\66.tmp  (File not found)
"MpKsl16ef787e" (MpKsl16ef787e) - ? - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{ED1C8BFB-4051-4938-93EE-94FD9D966B5C}\MpKsl16ef787e.sys  (File not found)
"MpKslee22f22c" (MpKslee22f22c) - "Microsoft Corporation" - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{1A7AF54D-EDBF-4351-B406-BB4DF7D2CDDF}\MpKslee22f22c.sys
         

Hm, hast du den Scanner von Microfot (Security Essentials) drauf?

ja, den Microfot (Security Essentials) habe ich seit ein paar Tagen installiert, bevor ich gepostet habe und in der Hoffnung auf neue Ergebnisse. Hatte in einem anderen gozi Thread darüber gelesen und nichts Nachteiliges von Eurer Seite dazu gefunden.
Wie ich die Sache sehe - und wenn ich von Deiner Seite keinen gegenteiligen Rat bekomme - kommt der aber wieder runter, sobald wir hiermit durch sind; Spybot habe ich dann ebenfalls vor zu deinstallieren. Ich wollte nur nicht vorgreifen und eigenmächtig etwas ändern, seitdem Du Dich um eine Lösung des Problems bemühst - hatte schließlich gelesen, dass das nicht unbedingt gut ankommt.
Dann hätte ich nur noch die Windoos Firewall und Antivir aktiv und werde mich durch Deine/Eure generellen Anleitungen arbeiten, einer Kompromittierung künftig noch besser aus dem Weg zu gehen.

...bin morgen früh online und dann am abend wieder. ebenso mittwoch.

Nein, der von MS ist okay, ich wollte nur wissen, ob du den wirklich installiert hast oder ob sich Schädlinge evtl. als MSSE tarnen.

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Puh, da fällt mir schon mal ein großer Stein vom Herzen. Danke für Deine Mühen schon mal an dieser Stelle!
Habe die Scans durchgeführt: Malwarebytes war sauber, SuperAS hat noch zwei Trojaner entdeckt in Programmen, die ich eigentlich sowieso nicht benutze. Hier die Logs:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5591

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

24.01.2011 23:48:41
mbam-log-2011-01-24 (23-48-41).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 368343
Laufzeit: 1 Stunde(n), 5 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 01/25/2011 at 09:25 AM

Application Version : 4.48.1000

Core Rules Database Version : 6269
Trace Rules Database Version: 4081

Scan type       : Complete Scan
Total Scan Time : 01:39:31

Memory items scanned      : 415
Memory threats detected   : 0
Registry items scanned    : 6354
Registry threats detected : 0
File items scanned        : 236730
File threats detected     : 2

Trojan.Agent/Gen-FakeAV
	C:\PROGRAMME\WINRAR\DEFAULT.SFX

Adware.GAIN/Gator
	D:\PROGRAMME\GMAPTOOL\GMT\GMT.EXE
         

Ein paar Fragen zum Abschluss habe ich noch:
1 wenn ich das richtig sehe, hatte sich gozi in der Autoexec.bat eingenistet und einen alternate data stream möglich gemacht, über den daten von meinem Rechner versendet wurden bzw. über den Daten auf meinen Rechner gelangen konnten?

2 Was ist mit diesem und ähnlichen Hosts, die im Otl Log aufgeführt sind?
O1 - Hosts: 127.0.0.1 100sexlinks.com
Hatte das auch mit gozi zu tun oder war es ein anderer Trojaner?

3 Muss ich jetzt alle Passwörter neu vergeben, die ich in der letzten Zeit benutzt habe? Also alle mit denen ich mich aktiv eingeloggt habe und alle mit denen sich Programme automatisch eingeloggt haben wie Outlook express oder FileZilla?

4 Wie gefährdet sind die Kreditkartendaten, die ich während der Kompromittierung auf Amason eingegeben habe?

5 ich hatte in einem anderen gozi Thread gelesen, dass angeschlossene Datenträger (extere Festplatten, Usb Sticks, gebrannte Cds zur Datensicherung) nicht befallen werden, kann ich die nun wieder gefahrlos anschließen und verwenden?

Das von SUPERAntiSpyware sieht nach Fehlalarmen aus.

Zitat:

1 wenn ich das richtig sehe, hatte sich gozi in der Autoexec.bat eingenistet und einen alternate data stream möglich gemacht, über den daten von meinem Rechner versendet wurden bzw. über den Daten auf meinen Rechner gelangen konnten?

Wie genau kommst du darauf?

Zitat:

2 Was ist mit diesem und ähnlichen Hosts, die im Otl Log aufgeführt sind?

Kommt wohl durch die Immunisierung mit Spybot.

Zitat:

3 Muss ich jetzt alle Passwörter neu vergeben, die ich in der letzten Zeit benutzt habe? Also alle mit denen ich mich aktiv eingeloggt habe und alle mit denen sich Programme automatisch eingeloggt haben wie Outlook express oder FileZilla?

Ja, den Hinweis hätte ich so oder so aber noch gegeben.

Zitat:

4 Wie gefährdet sind die Kreditkartendaten, die ich während der Kompromittierung auf Amason eingegeben habe?

Man sollte davon ausgehen, dass diese bekannt sind.

Zitat:

5 ich hatte in einem anderen gozi Thread gelesen, dass angeschlossene Datenträger (extere Festplatten, Usb Sticks, gebrannte Cds zur Datensicherung) nicht befallen werden, kann ich die nun wieder gefahrlos anschließen und verwenden?

Hast du diese nicht mit Malwarebytes und/oder einem Virenscanner überprüft?
Automatische Wiedergabe auf allen Datenträgern deaktiviert?

Danke für die Antworten.

zu 1 nochmal: Du hattest mir das otl custum fix geschrieben, welches sich unter anderem auf die autoexec.bat bezog, daher meine Mutmaßung. Ich würde schon gern nachvollziehen, wo und wie sich das Biest versteckt hatte, dass es nicht mehr von Antivir oder Malwarebytes gefunden wurde, und woran ich es hätte erkennen können, um in Zukunft in diesem Punkt wachsamer zu sein (neben neuen Maßnahmen zur besseren Vorbeugung). Ich bin immer noch sauer, dass die mir meine Bank die Erkenntnis von meiner Kompromittierung bis zu meiner eher zufälligen Nachfrage fast 3 Wochen später verschwiegen hat; hätte ich vorher davon erfahren, hätte ich z.B. die neue Kreditkarte gar nicht benutzt...

zu 5: externe Datenträger habe ich noch nicht überprüft - ich bin gar nicht mehr sicher, ob ich die externe Festplatte in der Zeit überhaupt verwendet habe. Die automatische Wiedergabe hatte ich seit kurzem über "Gruppenrichtlinie - Computerkonfiguration - Administrative Vorlagen - Windows-Komponenten" für alle Laufwerke deaktiviert. Damit kann ich die Laufwerke also jetzt eingermaßen gefahrlos anschließen und Malwarebytes, MicrofotSE oder SuperAS (solange die noch installiert sind) drüber laufen lassen, oder soll ich vorher noch den flashDisinfector verwenden?

Nee, die autoexec.bat hab ich wohl versehentlich als Mülleintrag gewertet. In dem Bereich im OTL-Log befinden sich fast immer müllige Mountpoints2, die man bedenkenlos löschen kann, v.a. wenn man da Reste von wahrscheinlich infizierten Platten oder USB-Sticks wahrnimmt. Wahrscheinlich ist die autoexec.bat deswegen mit reingekommen, aber die ist eh ein Relikt aus grauer DOS-Zeit und schon lange nicht mehr nötig.

Wenn die automatische Wiedergabe deaktiviert ist, solltest du sie gefahrlos anschließen können - theoretisch. Ich meine mal gelesen zu haben, dass das u.U. nicht ausreicht und Platten und USB-Sticks dennoch den Aurorun drin haben (danke MS )

Deswegen hab ich diesen Baustein mal geschrieben:

Autorun auf allen Laufwerken deaktivieren
Ich empfehle, den Autorun grundsätzlich zu deaktivieren. Falls Du einen verseuchten Stick dransteckst und der Virenscanner erkennt das nicht hast Du den Salat.

Um den zu deaktivieren hab ich mal die noautoplay.reg hochgeladen. Lad das mal auf dem Desktop herunter, führ die Datei aus und bestätige mit ja. Nach einem Neustart des Rechners ist die automatische Wiedergabe (von Datenträgern) auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.

Hi Arne,

hm, wo lag der Schädling denn dann? waren es Reste des eigentlich schon gelöschten comsgfat.dll oder das unsichtbare Verzeichnis TEMP:5F64C164??

Danke jedenfalls für die Hilfe. Ich werde alle exteren Speichermedien scannen und mich danach an Deine Sicherheitstipps halten, die ich schon in anderen Beiträgen gelesen habe.

Wenn alles wieder läuft und die Bank keine neuen Bedenken hat, melde ich mich nochmal abschließend (kann aber etwas dauern). Ich werde mich ebenfalls für die Hilfe über Euer Trojaner-Board - Spendenkonto erkenntlich zeigen!

Gruß,
Chriss

...bevor Du meinen Vorgang nachher nicht mehr vor Augen hast:

Code: Alles auswählenAufklappen

ATTFilter

hm, wo lag der Schädling denn dann? waren es Reste des eigentlich schon gelöschten comsgfat.dll oder das unsichtbare Verzeichnis TEMP:5F64C164??
         

war mein System überhaupt mit Gozi kompromittiert?

Danke.

Zitat:

Infizierte Dateien:
c:\WINDOWS\system32\comsgfat.dll (Trojan.Agent) -> Delete on reboot

Wenn war der es hier. Mit OTL und CF wurden aber noch weitere müllige bzw. womöglich virulente Dateien gelöscht.

aha, alles klar. Danke.

noch eins: ich habe immer noch einen "unkown boot code" mit dem bootkit remover, aber ich denke, das liegt an ein paar Feineinstellungen, die ich irgendwann einmal gemacht habe (timeout, geladene Dienste, etc.) und ist kein Grund zur Beunruhigung... ist dem so?

Der Bootkit Remover ist nicht perfekt. MBRCheck zeigt saubere MBR an.
Timeouts und Dienste haben rein garnichts mit dem MBR zu tun.