Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: online banking gesperrt wegen gozi

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 24.01.2011, 14:50   #16
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
online banking gesperrt wegen gozi - Standard

online banking gesperrt wegen gozi



Code:
ATTFilter
"MEMSWEEP2" (MEMSWEEP2) - ? - C:\WINDOWS\system32\66.tmp  (File not found)
"MpKsl16ef787e" (MpKsl16ef787e) - ? - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{ED1C8BFB-4051-4938-93EE-94FD9D966B5C}\MpKsl16ef787e.sys  (File not found)
"MpKslee22f22c" (MpKslee22f22c) - "Microsoft Corporation" - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{1A7AF54D-EDBF-4351-B406-BB4DF7D2CDDF}\MpKslee22f22c.sys
         
Hm, hast du den Scanner von Microfot (Security Essentials) drauf?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 24.01.2011, 19:07   #17
chriss3
 
online banking gesperrt wegen gozi - Standard

online banking gesperrt wegen gozi



ja, den Microfot (Security Essentials) habe ich seit ein paar Tagen installiert, bevor ich gepostet habe und in der Hoffnung auf neue Ergebnisse. Hatte in einem anderen gozi Thread darüber gelesen und nichts Nachteiliges von Eurer Seite dazu gefunden.
Wie ich die Sache sehe - und wenn ich von Deiner Seite keinen gegenteiligen Rat bekomme - kommt der aber wieder runter, sobald wir hiermit durch sind; Spybot habe ich dann ebenfalls vor zu deinstallieren. Ich wollte nur nicht vorgreifen und eigenmächtig etwas ändern, seitdem Du Dich um eine Lösung des Problems bemühst - hatte schließlich gelesen, dass das nicht unbedingt gut ankommt.
Dann hätte ich nur noch die Windoos Firewall und Antivir aktiv und werde mich durch Deine/Eure generellen Anleitungen arbeiten, einer Kompromittierung künftig noch besser aus dem Weg zu gehen.

...bin morgen früh online und dann am abend wieder. ebenso mittwoch.
__________________


Alt 24.01.2011, 20:27   #18
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
online banking gesperrt wegen gozi - Standard

online banking gesperrt wegen gozi



Nein, der von MS ist okay, ich wollte nur wissen, ob du den wirklich installiert hast oder ob sich Schädlinge evtl. als MSSE tarnen.

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
__________________

Alt 25.01.2011, 10:07   #19
chriss3
 
online banking gesperrt wegen gozi - Standard

online banking gesperrt wegen gozi



Puh, da fällt mir schon mal ein großer Stein vom Herzen. Danke für Deine Mühen schon mal an dieser Stelle!
Habe die Scans durchgeführt: Malwarebytes war sauber, SuperAS hat noch zwei Trojaner entdeckt in Programmen, die ich eigentlich sowieso nicht benutze. Hier die Logs:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5591

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

24.01.2011 23:48:41
mbam-log-2011-01-24 (23-48-41).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 368343
Laufzeit: 1 Stunde(n), 5 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
Code:
ATTFilter
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 01/25/2011 at 09:25 AM

Application Version : 4.48.1000

Core Rules Database Version : 6269
Trace Rules Database Version: 4081

Scan type       : Complete Scan
Total Scan Time : 01:39:31

Memory items scanned      : 415
Memory threats detected   : 0
Registry items scanned    : 6354
Registry threats detected : 0
File items scanned        : 236730
File threats detected     : 2

Trojan.Agent/Gen-FakeAV
	C:\PROGRAMME\WINRAR\DEFAULT.SFX

Adware.GAIN/Gator
	D:\PROGRAMME\GMAPTOOL\GMT\GMT.EXE
         

Ein paar Fragen zum Abschluss habe ich noch:
1 wenn ich das richtig sehe, hatte sich gozi in der Autoexec.bat eingenistet und einen alternate data stream möglich gemacht, über den daten von meinem Rechner versendet wurden bzw. über den Daten auf meinen Rechner gelangen konnten?

2 Was ist mit diesem und ähnlichen Hosts, die im Otl Log aufgeführt sind?
O1 - Hosts: 127.0.0.1 100sexlinks.com
Hatte das auch mit gozi zu tun oder war es ein anderer Trojaner?

3 Muss ich jetzt alle Passwörter neu vergeben, die ich in der letzten Zeit benutzt habe? Also alle mit denen ich mich aktiv eingeloggt habe und alle mit denen sich Programme automatisch eingeloggt haben wie Outlook express oder FileZilla?

4 Wie gefährdet sind die Kreditkartendaten, die ich während der Kompromittierung auf Amason eingegeben habe?

5 ich hatte in einem anderen gozi Thread gelesen, dass angeschlossene Datenträger (extere Festplatten, Usb Sticks, gebrannte Cds zur Datensicherung) nicht befallen werden, kann ich die nun wieder gefahrlos anschließen und verwenden?

Geändert von chriss3 (25.01.2011 um 10:12 Uhr)

Alt 25.01.2011, 11:12   #20
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
online banking gesperrt wegen gozi - Standard

online banking gesperrt wegen gozi



Das von SUPERAntiSpyware sieht nach Fehlalarmen aus.

Zitat:
1 wenn ich das richtig sehe, hatte sich gozi in der Autoexec.bat eingenistet und einen alternate data stream möglich gemacht, über den daten von meinem Rechner versendet wurden bzw. über den Daten auf meinen Rechner gelangen konnten?
Wie genau kommst du darauf?

Zitat:
2 Was ist mit diesem und ähnlichen Hosts, die im Otl Log aufgeführt sind?
Kommt wohl durch die Immunisierung mit Spybot.

Zitat:
3 Muss ich jetzt alle Passwörter neu vergeben, die ich in der letzten Zeit benutzt habe? Also alle mit denen ich mich aktiv eingeloggt habe und alle mit denen sich Programme automatisch eingeloggt haben wie Outlook express oder FileZilla?
Ja, den Hinweis hätte ich so oder so aber noch gegeben.

Zitat:
4 Wie gefährdet sind die Kreditkartendaten, die ich während der Kompromittierung auf Amason eingegeben habe?
Man sollte davon ausgehen, dass diese bekannt sind.

Zitat:
5 ich hatte in einem anderen gozi Thread gelesen, dass angeschlossene Datenträger (extere Festplatten, Usb Sticks, gebrannte Cds zur Datensicherung) nicht befallen werden, kann ich die nun wieder gefahrlos anschließen und verwenden?
Hast du diese nicht mit Malwarebytes und/oder einem Virenscanner überprüft?
Automatische Wiedergabe auf allen Datenträgern deaktiviert?

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 25.01.2011, 21:45   #21
chriss3
 
online banking gesperrt wegen gozi - Standard

online banking gesperrt wegen gozi



Danke für die Antworten.

zu 1 nochmal: Du hattest mir das otl custum fix geschrieben, welches sich unter anderem auf die autoexec.bat bezog, daher meine Mutmaßung. Ich würde schon gern nachvollziehen, wo und wie sich das Biest versteckt hatte, dass es nicht mehr von Antivir oder Malwarebytes gefunden wurde, und woran ich es hätte erkennen können, um in Zukunft in diesem Punkt wachsamer zu sein (neben neuen Maßnahmen zur besseren Vorbeugung). Ich bin immer noch sauer, dass die mir meine Bank die Erkenntnis von meiner Kompromittierung bis zu meiner eher zufälligen Nachfrage fast 3 Wochen später verschwiegen hat; hätte ich vorher davon erfahren, hätte ich z.B. die neue Kreditkarte gar nicht benutzt...

zu 5: externe Datenträger habe ich noch nicht überprüft - ich bin gar nicht mehr sicher, ob ich die externe Festplatte in der Zeit überhaupt verwendet habe. Die automatische Wiedergabe hatte ich seit kurzem über "Gruppenrichtlinie - Computerkonfiguration - Administrative Vorlagen - Windows-Komponenten" für alle Laufwerke deaktiviert. Damit kann ich die Laufwerke also jetzt eingermaßen gefahrlos anschließen und Malwarebytes, MicrofotSE oder SuperAS (solange die noch installiert sind) drüber laufen lassen, oder soll ich vorher noch den flashDisinfector verwenden?

Geändert von chriss3 (25.01.2011 um 21:50 Uhr)

Alt 25.01.2011, 21:53   #22
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
online banking gesperrt wegen gozi - Standard

online banking gesperrt wegen gozi



Nee, die autoexec.bat hab ich wohl versehentlich als Mülleintrag gewertet. In dem Bereich im OTL-Log befinden sich fast immer müllige Mountpoints2, die man bedenkenlos löschen kann, v.a. wenn man da Reste von wahrscheinlich infizierten Platten oder USB-Sticks wahrnimmt. Wahrscheinlich ist die autoexec.bat deswegen mit reingekommen, aber die ist eh ein Relikt aus grauer DOS-Zeit und schon lange nicht mehr nötig.

Wenn die automatische Wiedergabe deaktiviert ist, solltest du sie gefahrlos anschließen können - theoretisch. Ich meine mal gelesen zu haben, dass das u.U. nicht ausreicht und Platten und USB-Sticks dennoch den Aurorun drin haben (danke MS )

Deswegen hab ich diesen Baustein mal geschrieben:

Autorun auf allen Laufwerken deaktivieren
Ich empfehle, den Autorun grundsätzlich zu deaktivieren. Falls Du einen verseuchten Stick dransteckst und der Virenscanner erkennt das nicht hast Du den Salat.

Um den zu deaktivieren hab ich mal die noautoplay.reg hochgeladen. Lad das mal auf dem Desktop herunter, führ die Datei aus und bestätige mit ja. Nach einem Neustart des Rechners ist die automatische Wiedergabe (von Datenträgern) auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 25.01.2011, 22:51   #23
chriss3
 
online banking gesperrt wegen gozi - Standard

online banking gesperrt wegen gozi



Hi Arne,

hm, wo lag der Schädling denn dann? waren es Reste des eigentlich schon gelöschten comsgfat.dll oder das unsichtbare Verzeichnis TEMP:5F64C164??

Danke jedenfalls für die Hilfe. Ich werde alle exteren Speichermedien scannen und mich danach an Deine Sicherheitstipps halten, die ich schon in anderen Beiträgen gelesen habe.

Wenn alles wieder läuft und die Bank keine neuen Bedenken hat, melde ich mich nochmal abschließend (kann aber etwas dauern). Ich werde mich ebenfalls für die Hilfe über Euer Trojaner-Board - Spendenkonto erkenntlich zeigen!

Gruß,
Chriss

Geändert von chriss3 (25.01.2011 um 23:29 Uhr)

Alt 26.01.2011, 19:38   #24
chriss3
 
online banking gesperrt wegen gozi - Standard

online banking gesperrt wegen gozi



...bevor Du meinen Vorgang nachher nicht mehr vor Augen hast:
Code:
ATTFilter
hm, wo lag der Schädling denn dann? waren es Reste des eigentlich schon gelöschten comsgfat.dll oder das unsichtbare Verzeichnis TEMP:5F64C164??
         
war mein System überhaupt mit Gozi kompromittiert?

Danke.

Alt 26.01.2011, 19:43   #25
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
online banking gesperrt wegen gozi - Standard

online banking gesperrt wegen gozi



Zitat:
Infizierte Dateien:
c:\WINDOWS\system32\comsgfat.dll (Trojan.Agent) -> Delete on reboot
Wenn war der es hier. Mit OTL und CF wurden aber noch weitere müllige bzw. womöglich virulente Dateien gelöscht.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 27.01.2011, 15:48   #26
chriss3
 
online banking gesperrt wegen gozi - Standard

online banking gesperrt wegen gozi



aha, alles klar. Danke.

noch eins: ich habe immer noch einen "unkown boot code" mit dem bootkit remover, aber ich denke, das liegt an ein paar Feineinstellungen, die ich irgendwann einmal gemacht habe (timeout, geladene Dienste, etc.) und ist kein Grund zur Beunruhigung... ist dem so?

Alt 27.01.2011, 19:16   #27
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
online banking gesperrt wegen gozi - Standard

online banking gesperrt wegen gozi



Der Bootkit Remover ist nicht perfekt. MBRCheck zeigt saubere MBR an.
Timeouts und Dienste haben rein garnichts mit dem MBR zu tun.
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu online banking gesperrt wegen gozi
antivir, antvir, banker, beste, besten, entfernen, formatierung, gesperrt, gozi trojaner, inprocserver32, installiert, internet, malwarebytes, meldet, online, online banking, recovery, remover, revealer, rootkit, schnell, trojaner, updates, videospin, weihnachten, windows, windows updates, windows xp




Ähnliche Themen: online banking gesperrt wegen gozi


  1. Sparkasse Online Banking gesperrt wegen Troyaner
    Log-Analyse und Auswertung - 30.09.2014 (19)
  2. Bank hat Online-Banking gesperrt wegen Verdacht von Trojaner
    Log-Analyse und Auswertung - 13.06.2014 (22)
  3. Online-Banking wegen Trojaner gesperrt, keine Anzeichen, wie System überprüfen?
    Plagegeister aller Art und deren Bekämpfung - 02.10.2012 (1)
  4. Online-Banking gesperrt wegen torpig-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 09.02.2012 (22)
  5. Online Banking gesperrt wegen Viren
    Log-Analyse und Auswertung - 11.09.2011 (22)
  6. Online Banking Volksbank gesperrt, wegen Trojaner !
    Plagegeister aller Art und deren Bekämpfung - 15.07.2011 (1)
  7. Online Banking Gesperrt wegen Verdacht auf Trojaner
    Log-Analyse und Auswertung - 13.07.2011 (7)
  8. Gozi online Banking gesperrt
    Plagegeister aller Art und deren Bekämpfung - 07.02.2011 (24)
  9. online banking dank gozi gesperrt
    Plagegeister aller Art und deren Bekämpfung - 10.01.2011 (24)
  10. Online Banking gesperrt, Hinweis mals von mail provider, ebay, etc (Gozi)
    Plagegeister aller Art und deren Bekämpfung - 28.12.2010 (15)
  11. Online-Banking gesperrt wegen Schadsoftware
    Plagegeister aller Art und deren Bekämpfung - 11.12.2010 (13)
  12. Online-Banking gesperrt - Trojaner Gozi?
    Plagegeister aller Art und deren Bekämpfung - 15.11.2010 (18)
  13. Online-Banking durch Trojaner Gozi gesperrt
    Plagegeister aller Art und deren Bekämpfung - 14.11.2010 (21)
  14. Online-Banking wegen Trojaner "gozi" gesperrt
    Plagegeister aller Art und deren Bekämpfung - 04.11.2010 (28)
  15. Gozi-Trojaner Online Banking gesperrt
    Plagegeister aller Art und deren Bekämpfung - 04.11.2010 (8)
  16. online-banking gesperrt - Gozi auf Rechner
    Plagegeister aller Art und deren Bekämpfung - 15.10.2010 (3)
  17. Online Banking gesperrt wegen Phishing und Trojanern
    Log-Analyse und Auswertung - 15.06.2009 (6)

Zum Thema online banking gesperrt wegen gozi - Code: Alles auswählen Aufklappen ATTFilter "MEMSWEEP2" (MEMSWEEP2) - ? - C:\WINDOWS\system32\66.tmp (File not found) "MpKsl16ef787e" (MpKsl16ef787e) - ? - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{ED1C8BFB-4051-4938-93EE-94FD9D966B5C}\MpKsl16ef787e.sys (File not found) "MpKslee22f22c" (MpKslee22f22c) - online banking gesperrt wegen gozi...
Archiv
Du betrachtest: online banking gesperrt wegen gozi auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.