|
Sparkassen Onlinebanking-Virus (TAN-Nummer-Abfrage) und weiterer Systemcheck Ein herzliches Hallo von mir. Ich bin das erste mal hier und melde mich gleich mit einem Problem. Meine Schwester hat vor einigen Tagen versucht sich bei der Sparkasse beim Onlinebanking anzumelden, worauf gleich eine Abfrage nach mehreren Nummern kam. Ich vermute es waren TAN-Nummern o.ä.. Ich habe mich umgesehen und auch gefunden, dass es ein Trojaner ist. Nur das Problem ist, dass es keine Universal-Lösung gibt, sondern die Probleme immer durch einen kompletten System-Check und Analyse von Profis beseitigt wurden. Da ich selber kein Profi bin, poste ich hier mal meine .log Dateien und hoffe auf Hilfe. In der Überschrift habe ich "und weiterer Systemcheck" geschrieben, da ich mir erhoffe möglichst alle Viren etc. von diesem PC zu löschen (insofern das möglich ist). Wäre bestimmt auch einmal angebracht, da ich des öfteren auf diesem schon Viren hatte, die auch zum Teil schon von der etwas härteren Sorte waren. (Logs im Anhang) Danke im Voraus. |
hiho achtung! dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user. wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts. • Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. :OTL O4 - HKCU..\Run: [4Y3Y0C3A9F7XWDZWACIGIV] C:\Recycle.Bin\B6232F3A4F1.exe () O4 - HKCU..\Run: [Icmpar] C:\Users\Eltern\AppData\Roaming\Adobe\Update\natgdi.exe () :Files :Commands C:\Recycle.Bin [purity] [EMPTYFLASH] [resethosts] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. öffne arbeitsplatz, öffne C: dann _OTL dort rechtsklick auf moved files wähle zu moved files.rar oder zip hinzufügen. http://www.trojaner-board.de/54791-a...ner-board.html |
Sorry für die späte Antwort. Ich hatte viel um die Ohren. =/ Hier die geforderten Daten. [edit] Markus hat dich gebeten die MovedFiles in den Uploadchannel hochzuladen! Bitte die Anleitungen der Helfer genau lesen und umsetzen! -- cosinus [/edit] |
Hab den Beitrag editiert, siehe Kommentar von mir in deinem Posting. Halte dich bitte an die Anweisungen. Danke. |
Entschuldigung, aber das ist wie bereits erwähnt mein erster Post. ;) Habe die Datei Hochgeladen. Mich würde nun aber auch mal brennend interessieren, ob ich viele Viren auf dem PC habe, ob alle beseitigt werden können und vor allem, welche Viren jetzt beseitigt werden. Und vielleicht auch mal eine Einschätzung, ob die schädlichen Dateien eine ernsthafte Bedrohung darstellen. Danke im Voraus. :> |
hi, du hast den sogenannten spyeye trojaner auf dem pc. deswegen würde ich dich jetzt bitten, wichtige daten wie bilder dokumente etc zu sichern und dann das system zu formatieren und neu aufzusetzen, falls du nicht weist wie das geht, gibts ne anleitung. danach erkläre ich dir auch, wie man das system vernünftig absichert. |
Also ich wäre dir zu größtem Dank verpflichtet, wenn du mir eine andere Lösung, als mein System neu aufzusetzen nenn könntest. Ich habe von meinem Windows leider nur diese Aktivierungs-CD oder wie auch immer sich das schimpft. Und mein Ziel war es mit dem Post hier das Neuaufsetzen zu verhindern. |
ja, man erreicht nun mal nicht immer all seine ziehle :-) wir müssen hier dass machen was für deinen pc am sichersten ist, oder hast du so viel geld das es dir jemand im zweifelsfalle klauen kann. was für ne cd hast du genau? |
3 Stück besitze ich. Ich schreib einfach mal, was alles darauf steht. 1. CD: Operating System Already installed on your PC 2.CD:Drivers and Documentation 3.CD:Drivers and Utilities Kannst du damit was anfangen? :o |
Oh... Es hat sich gerade geklärt. Auf der 1. CD steht: Use this DVD only to reinstall the operating System on a DELL PC. ;D Ich denke mal, die kann ich nutzen. ;D Nun gut, das mit dem neu aufsetzen, wird wohl ein wenig daueren, da es der PC meiner Eltern ist und die erstmal alles zusammenramschen müssen. :p Aber da du dich auskennst, hätte ich mal eine Frage: Kannst du mir vielleicht während ich auf meine Eltern warte, erklären, wie ich selbst Viren aus solchen Dateien herauslesen kann und wie ich sie bekämpfen kann? Das würde mir sehr helfen. ;D Ich weis ja nicht, wieviel Zeit du so nebenbei hast, aber es wäre sehr nett. =P |
naja, so allgemein kann man das nie sagen. bei deinem fall wars zb der ordnername und datei name die nach spyeye aussehen. aber es gibt halt viele andere trojaner wo man auf andere dinge achten muss. wenn dich so was interessiert kann ich dir den link zu unserer schulung geben. aber wie gesagt, sucht erst mal zusammen was ihr braucht, dann gehts weiter. |
Ich wäre dann soweit, würdest du mir mal erklären wie ich den neu aufsetze und wie ich die Datein auf ein Medium kopiere ohne Viren mitzuschleppen. Bzw will ich sie auf meine externe Festplatte schmeißen. Nu weis ich nicht, ob da schon Viren drauf sind, die dann wieder mit auf den neu aufgesetzten PC geraten. |
also, schmeiße erst mal alles auf ne externe festplatte, diese prüfen wir dann auf dem neuen system erst dann, wenn du meine gesammten sicherheitstipps abgearbeitet hast. wenn du damit durch bist, gehts weiter. |
Eine Anleitung zum neu aufstezen wäre ganz lieb. ;D |
ja, bekommst du sobald die datensicherung durch ist. ich möchte, falls es zwischendurch fragen gibt, lieber alles nacheinander abarbeiten. deswegen daten sichern, dann der nächste schritt. |
Ok, dann gib dir erstmal bis morgen frei. Wenn morgen kein Post kommt, kann es etwas dauern. ;) Bin Schüler und hab Ferien. Muss mal schauen, wann ich dann wieder Zeit dafür habe. ;D Dauert ja sicher auch eine Weile das System wieder aufzuspielen. ;) |
übers wochenende bin ich auch nicht da. na je nach dem wie schnell du alles umsetzen kannst maximal 8 stunden. |
Ok also das mit dem Überspielen ging schneller als gedacht. Bin gerade dabei. Du kannst mir ja schonmal den nächsten Schritt schreiben. =P |
ok, lege die windows cd ein, (recovery cd) dann starte den pc neu. eine meldung sollte erscheinen, beliebige taste drücken. mach dies bitte. falls das nicht klappt, bitte über f12 bei pc start ins boot menü gehen und dort das cd bzw dvd laufwerk auswählen, dass sollte dann klappen. dann wähle benutzerdefiniert. gehe jetzt bis zu dem schritt, wo du die partition siehst. voreingestellt ist c:\windows, dort klicke auf optionen und dann auf formatieren. dann auf instalieren. falls eine meldung erscheint, daten sollen nach windows.old verschoben werden, hast du etwas falsch gemacht und musst noch mal zurück und formatieren. folge nun weiter den anweisungen. wenn windows instaliert ist, nimmst du die cd mit der beschriftung drivers. und instalierst alle driver. klicke jetzt als nächstes, start suchen tippe: windows update enter. unter einstellungen, updates instalieren, täglich, uhrzeit, eine wo ihr häufig online seit. sonst alles aktivieren, außer detailierte anzeige. dann bitte auf updates suchen, wichtige updates und instalieren. es wird zwischendrinn neustarts geben, dann musst du noch mal windows update aufrufen, suchen, instalieren. das selbe mit den wichtigen updates. http://www.trojaner-board.de/96344-a...-rechners.html hier alles unter windows 7 bzw vista und allgemeines abarbeiten. unter dem abschnitt xp noch dep abarbeiten. anmerkung 3: gehe mal nach c:\benutzer. da müsste jetzt ein ordner sein, der deinen vergebenen nutzer namen trägt. dort klickst du mal drauf. dann siehst du verschiedene ordner. wähle desktop dort alles markieren, kopieren. dann gehe wieder zurück auf benutzer, und wähle c:\benutzer\Default\desktop dort rechtsklick, einfügen. evtl das ganze wiederhohlen mit dem startmenü ordner. damit siehst du alle verknüpfungen im eingeschrenktem nutzerkonto wenn du jetzt alles umgesetzt hast. bitte nur noch im eingeschrenkten konto arbeiten, da das admin konto nur für instalationen gedacht ist. und, wie gesagt, nur noch in sandboxie surfen, mit klick auf "sandboxed web browser" ich weis, viel arbeit, bei fragen, stelle sie! |
Oha, das ist viel, ich werd wohl auch nicht alles umsetzen können, weil meine Eltern das wohl nicht verstehen werde. (So zum Beispiel das mit dem eingeschränkten Nutzer) Aber die Sandbox werd ich wolh nutzen und Avast ebenso. =P Für Emisoft werd ich sie wohl auch nicht begeistern können. =D Ich werd mich morgen dahinter klemmen. Wäre gut, wenn due zwischen 13 und 17 Uhr da bist, damit ich das angehen kann. ;D Ich werd auch schauen, dass mein Onkel mir da helfen kann. Der ist ein Computerfreak. ;D Aber da muss ich aufpassen, dass er auch die programme so installiert. Eines wäre noch nett zu erfahren... Wie kann ich die Partition teilen? :o |
hi, ist die partition im moment schon geteilt? ähm das mit dem nutzerkonto ist doch kein problem, gib ihnen doch richtige bezeichnungen wie arbeitskonto und instalationskonto, deine eltern müssen ja nur das konto anklicken und es wird geladen. wegen emsisoft musst halt mal mit ihnen sprechen, diesmal ists ja sehr gut ausgegangen aber es gibt auch durchaus fälle wo malware mehr anrichten kann. |
Ja ich weis, aber sie halten davon nicht viel. ;D Ich brauch den Schutz ja auch nurnoch maximal ein halbes Jahr. Meine Schwester ist die einzge die onlinebanking nutzt. Sonst haben wir keinerlei Datein, die für Hacker von Interesse seien könnten. =P Die Partitionen sind in C: und D: geteilt. So wäre es danach auch wieder angenehm. Ok wenn ich dann die Konten einstelle, musst du da sein. :o Kann auch sein, das ich es dann erst nächste Woche mache, damit ich auch die ganze Zeit da bin. Wie lange dauert denn die reine Reinstallation und alles was nötig zum Start ist, wenn ich mich ausschließlich damit beschäftige? |
vllt 4 stunden. naja, trojaner können auch noch viel mehr als daten klauen, pcs können auch zum spam versand oder schlimmeres verwendet werden. auf jeden fall sollte deine schwester sich den card reader hohlen den kann man ja mitnehmen wenn sie zb umzieht. |
Ok, was bringt der Card Reader? :o Oder was kann man damit alles machen? 4 Stunden, das heißt, wenn du 13 Uhr da bist und wir gleich Anfangen, dann bin ich 14 Uhr fertig? :o Das wär super. ;) Ja ich rede mal mit ihnen. ;] |
von 13 bis 14 uhr sind 4 stunden? na ein card reader mit entsprechender software erlaubt es dir, überweisungen zu tätigen ohne die tastatur des pcs zu nutzen. dies hat den vorteil, dass du nicht von einem trojaner ausgespät werden musst. eine banking software baut dann auch direkt ne verbindung zur bank auf, was zb das umleiten des browsers bzw der verbindung woanders hin erschweren sollte. |
Ok, also ein Cardreader ist ausspäh-sicher oder wie? Ich meinte 13-17 Uhr. ;D |
naja, wie ich bereits gesagt habe, es gibt nichts 100 %iges aber es ist im mom das beste für privat kunden denke ich. mit den sonstigen getroffenen schutz maßnamen, wenn sie denn eingehalten werden, solltest du sehr sicher unterwegs sein. und mit backups in der hinterhand ist das ganze noch mal besser, denn du kannst im notfall sofort das backup nutzen und sparst dir ewige instalationen, da du das system so hast, wie zu dem zeitpunkt als du das backup erstellt hast. |
Ok also ich hab gerade beim Abendbrot erfahren, dass meine Schwester so einen Cardreader schon besitzt. ;D Ja ok, also die Neuinstallation machen wir morgen. Und wie sieht es jetzt mit so eine Schulung aus? Ich würde mich in den 2 Wochen Ferien gerne mit dem Thema beschäftigen. =P |
naja, in 2 wochen wirst du das nicht schaffen. hier lesen http://www.trojaner-board.de/88896-a...ml?#post548085 |
Oha, ok. :o Da steht was davon, dass ich Abitur und andere Ausbildungen damit nicht kreuzen soll. Ich bin 11. Klasse. Könnte ich damit trotzdem anfangen? Könnte halt nur sein, dass ich länger bräuchte, weil ich nicht so viel Zeit hab. :o |
na ich bin nicht derjenige der die ausbildung macht, aber ich denke wenn man das alles vernünftig abklärt und die auszeiten nicht monate dauern, kann man da sicher einig werden :-) |
Ok ich werd mal schauen. :> Würde mich echt interessieren. =P |
Ok, tut mir Leid. Heute war Feueralarm-Probe in der Schule und ich hab meinen Bus verpasst. Ich werde das wohl Montag machen, heute hab ich zu wenig Zeit. ._. |
kein problem, is eh günstig, das we über bin ich nicht da :-) |
Ich habe jetzt angefangen. Bei mir waren 4 Partitionen ich hab die alle formatiert und alle so gelassen, ist das ok? |
ist ok. start suchen, tippe: windows update updates suchen instaliere jetzt wichtige updates, so lange, bis es keine mehr gibt, es wird neustarts geben dann wieder auf windows update, suchen und weiter instalieren. das selbe mit optionalen http://www.trojaner-board.de/96344-a...-rechners.html anmerkungen: arbeite erst alles ab, was unter windows 7 bzw vista zu finden ist. aus dem bereich xp folgendes abarbeiten: Datenausführungsverhinderung: Maßnahmen für ALLE Windows-Versionen danach dieses abarbeiten. emsisoft Meine Antivirus-Empfehlung: Emsisoft Anti-Malware der blockiert alle von mir getesteten malware samples. dies bedeutet natürlich nicht 100 %iger schutz, denn so was gibts nicht. du hast da ne 30 tage test version zur verfügung, würd ich mir auf jeden fall mal ansehen. als kostenlosen scanner würde ich avast empfehlen, ist nicht so gut wie emsisoft, aber meiner meinung nach das beste als kostenloser scanner. als browser würde ich persönlich opera einsetzen. er hat erst mal mehr ausstattung als der ff, ist weniger fehler anfällig, heißt weniger lücken in den letzten jahren. und er ist, meines erachtens nach, schneller. nächste anmerkung: sandboxie. das programm sandboxie ist ein programm, in dem du deinen browser isuliert vom system laufen lassen kannst. da heut zu tage häufig legitime seiten ziehl von angriffen werden, um zb so viele user mit schadcode zu infizieren damit sie teil eines botnetzes werden, muss man, auch als privat person, seinen pc best möglich schützen. dies haben wir natürlich bereits getan, in dem wir bekannte lücken schließen und weitere maßnamen getroffen haben. trotz alle dem, kann immer mal was "durch rutschen". wenn du jetzt deinen browser in der sandbox gestartet hast, rutscht diese malware nur dort rein, und durch unsere gewählten einstellungen, sollte sie im bestfall überhaupt nicht startenda sie zb durch das av geblockt wird, oder, falls doch, richtet sie in der sandbox keinen schaden an. um das surfen sicherer zu machen, würde ich sandboxie empfehlen. Download: http://filepony.de/download-sandboxie/ anleitung: Sandbox*Einstellungen | (als pdf) hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar. den direkten datei zugriff bitte auf opera beschrenken, bei Internetzugriff: opera.exe öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok. somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern. wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. ist die lizenz dein ganzes leben lang gültig, und du kannst die auf allen pcs nutzen, die sich in deinem haushalt befinden. 2. gibts, wenn du diese lizenz hast, noch einige nützliche funktionen, wie zb, erzwungener programm start. dies bedeutet, wenn du zb bei erzwungener programm start deine browser, mail programme etc einträgst kannst du diese direkt über das entsprechende symbol in der sandbox starten lassen. oder, wenn du einen link in einer mail bekommst und diesen anklickst, startet der browser ebenfalls in der sandbox. wenn du die kostenlose version nutzt, startest du deinen browser absofort immer über das symbol "sandboxed web browser" und alle programme die du noch in der sandbox laufen lassen willst mit rechtsklick und dann auf in sandboxie starten klicken. diese kann man also auch nutzen, um neue programme zu testen. anmerkung 3: gehe mal nach c:\benutzer. da müsste jetzt ein ordner sein, der deinen vergebenen nutzer namen trägt. dort klickst du mal drauf. dann siehst du verschiedene ordner. wähle desktop dort alles markieren, kopieren. dann gehe wieder zurück auf benutzer, und wähle c:\benutzer\Default\desktop dort rechtsklick, einfügen. evtl das ganze wiederhohlen mit dem startmenü ordner. damit siehst du alle verknüpfungen im eingeschrenktem nutzerkonto wenn du jetzt alles umgesetzt hast. bitte nur noch im eingeschrenkten konto arbeiten, da das admin konto nur für instalationen gedacht ist. und, wie gesagt, nur noch in sandboxie surfen, mit klick auf "sandboxed web browser" ich weis, viel arbeit, bei fragen, stelle sie! |
Ok ich hab das alles so gemacht, oder zumindest versucht... Also: 2 Probleme. Sandboxie funktioniert irgendwie nicht richtig. Zumindest kann ich Opera darin nicht öffnen. :o Und das zweite ist: Bei dem Punkt " Maßnahmen zur Absicherung des Rechners" Gibt es einen Punkt: "Dienste Kofigurieren". Also ist der jetzt auch für Windows Vista oder nur für XP gedacht? Und wenn der auch für Vista ist, dann guck dir mal den Link an. Da kommt irgend eine komische Seite die mich etwas stutzig macht. :o |
ja der link muss noch raus, nein er ist nicht für vista. was heißt, opera geht nicht in der sandbox, n bissel genauer brauch ichs schon :-) |
Opera has failed to access or upgrade your profile. This may have occured because your computer has insufficient resources available or because some files are locked by other applications. You may have to restart your computer before Opera will start again. Das ist die Nachricht, die ich bekomme, wenn ich Opera in der SB starten will. :o |
hast du die freigaben für opera gesetzt? |
Ja hab ich, also du meinst bei Einstellungen, Anwendungen, Andere: Da direkten Zugriff auf Opera Ordner. Ja das ist an. Und wenn ich nur bei Bookmarks den Haken setze, geht es ebenso nicht. |
gibts auch ne fehlermeldung von sandboxie selbst? |
Nein, von SandboxIE kommt nichts. |
noch ne frage, außerhalb der sandbox läuft opera? |
Ja. ;D Also langsam hab ich das Gefühl, du weist auch nicht so richtig, was das Problem ist. ;D |
ich wills raus finden, man muss es ja eingrenzen. hast du opera im standard verzeichniss instaliert oder hast du da was geendert? |
Auch das hab ich ich gemacht. ;D Also es ist im Standartordner. =P Ich habe bei Opera bisher nur den Adblocker installiert, bei Sandbox habe ich vorher garnicht rumgespielt und sonst hab ich auch nur ganz wengit am PC bisher gemacht. Ich hab noch Avast installiert. |
die ganzen updates und so weiter für den pc hast du aber instaliert? bei internet zugriff ist die opera.exe eingetragen? |
Ja hab ich und ja ist es. |
ok, dann nehmen wir halt doch den firefox. als adon noscript, es werden dadurch einige scripts (java) zb blockiert, du kannst diese dann frei geben, in dem du auf der seite, die freigegeben werden soll, nen rechtsklick machst, noscript wählst, und temporär alle berectigungen aufheben wählst, somit werden sie für den besuch aufgehoben, oder alle beschrenkungen aufheben, somit wird die seite freigegeben. das kann man natürlich wieder rückgängig machen. http://filepony.de/download-noscript// adblock+ um werbung zu blockieren: http://filepony.de/download-adblock_firefox// hier gibt es noch filterlisten: Bekannte Filterlisten für Adblock Plus hier würde ich 2 oder 3 deutsche filter auswählen. unter sonstiges die malware blocklist. sandboxie einstellung: den direkten datei zugriff bitte auf firefox.exe und plugin-container.exe beschrenken, hier kannst du auch noscript und andere plugins eintragen. geht auch unter c:\windows\sandboxie.ini unter dem eintrag defauld box OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini bei Internetzugriff: firefox.exe und plugin-container.exe eintragen öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, firefox. direkten zugriff auf lesezeichen erlauben auswählen und auf hinzufügen klicken, dann auf ok. anmerkung zu sandboxie, bis zum 20.10 kostet die lebenslang gültige lizenz 15 €, die kannst du auf allen pcs im haushalt einsetzen. |
Jetzt kommt: Firefox wird bereits ausgeführt, reagiert aber nicht. Um ein neues Fenster öffnen zu können, müssen Sie zuerst den bestehenden Firefox-Prozess beenden oder Ihren Computer neu starten. Was nun. ._. |
hmm ist denn im taskmanager der firefox offen? auch wenn du sichtbare fenster geschlossen hast? |
Nein ist es nicht. :o |
So löst man Probleme: Programm deinstallieren, neu runterladen und ALLES nochmal von vorne. ;D Also mit FF funktioniert es jetzt. =P Gibt es sonst noch etwas, was ich nun tun muss? |
das wäre das nächste gewesen das ich vorgeschlagen hätte :d hast du ansonsten alle einstellungen und programme gemacht bzw geladen? dann erstelle jetzt, wenn alles fertig ist, ein backup. |
Ok mach ich. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:05 Uhr. |
Copyright ©2000-2025, Trojaner-Board