Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   20-TAN-Trojaner / Scanner finden nichts (https://www.trojaner-board.de/91611-20-tan-trojaner-scanner-finden-nichts.html)

NewbieOkt10 09.10.2010 06:44
20-TAN-Trojaner / Scanner finden nichts
 
Hallo. Ich habe mir den "20-TAN-Trojaner" eingefangen, der beim Online-Banking gerne 20 TANs von mir hätte. Bankkonto wurde natürlich gesperrt. Ich will mein System auch neu aufsetzen, vorher würde ich den Trojaner aber gerne loswerden. Denn sämtliche Schutzprogramme (Free-AV, Malwarebytes, spybot) finden nichts! Selbst als der Trojaner auf dem Bildschirm war, hat HijackThis nichts wirklich Bedenkliches gefunden. Was kann ich noch tun?

Die Logfiles (Hijack-This, Free-AV, Malwarebytes) habe ich angehangen.

markusg 09.10.2010 10:11
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten.

NewbieOkt10 09.10.2010 17:00
Danke schonmal für eure Hilfe. Übrigens: der Trojaner legt auch meine Browser lahm, dh mit dem IE lassen sich einige Seiten nicht mehr öffnen und Dateien zum Download werden "nicht gefunden". Und Firefox funktioniert nach einer Installation genau einmal und öffnet sich dann nicht mehr.

Hier die Logfiles von OTL (die "OTL.txt" musste ich splitten).

markusg 09.10.2010 17:07
• Starte bitte die OTL.exe.
• Kopiere nun das Folgende in die Textbox.

:OTL
O36 - AppCertDlls: autoties - (C:\Windows\system32\chkdnfig.dll) - C:\Windows\System32\chkdnfig.dll ()
:FILES
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument dieses posten


öffne mein computer, c:\_OTL rechtsklick auf moved files und zu moved files.rar oder zip hinzufügen.
archiv zu uns hochladen.
http://www.trojaner-board.de/54791-a...ner-board.html

NewbieOkt10 09.10.2010 20:53
Beim ersten Versuch ist OTL abgestürzt; nach einem Neustart kamen dann die angehängten Ergebnisse.

markusg 09.10.2010 21:08
ok du kannst jetzt mit datensicherung anfangen und dann geb ich dir tipps zum neu aufsetzen

NewbieOkt10 09.10.2010 21:41
Prima. Apropos Datensicherung: ich habe alle meine Dokumente auf eine externe Festplatte gezogen; es wäre wohl nicht sonderlich schlau, von dieser die Daten einfach nach dem Neuaufsetzen zurückzukopieren, oder? Ist es besser, die Daten auf eine DVD zu brennen, sie per E-Mail irgendwohin zu schicken oder ähnliches?

Und wie gehe ich bei einer Neuaufsetzung sinnvollerweise vor (habe Win Vista Recovery und eine Win 7 Update DVD, die ich natürlich direkt mitinstallieren würde)?

markusg 10.10.2010 11:06
naja du kannst nach neu aufsetzen die daten auf der festplatte mit deinem antiviren programm scannen
instaliere also zu erst vista und dann windows 7.
dann windows updates aufspielen und evtl. treiber.
dann avira nach dieser anleitung:
http://www.trojaner-board.de/54192-a...tellungen.html
unter konfiguration, guard, autostart kannst du die haken noch raus nehmen.
dann weiter hiermit:
1. solltest du nur noch als eingeschrenkter nutzer arbeiten , das admin konto ist nur für instalationen gedacht.
klicke start, tippe unter suchen (ausführen) systemsteuerung. wähle dort Benutzerkonten hinzufügen/entfernen.
wähle "neues konto erstellen"
Wähle standard benutzer.

die konten sollten mit einem passwort geschützt werden.
dazu auf konto endern klicken und passwörter vergeben.

die uac sollte auf maximum stehen.
klicke auf start, ausführen (suchen) tippe
uac
enter
nachfrage bestätigen, regler auf höchste stufe.
so ist es schwiriger heimlich etwas auf dem pc zu instalieren.
Die folgenden konfigurationen als admin ausführen:
2.
dep aktivieren:
dep für alle prozesse:
Datenausführungsverhinderung (DEP)
• "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:".
wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen.

3. sehop aktivieren:
SEHOP aktivieren:
Aktivieren von SEHOP (Structured Exception Handling Overwrite Protection) in Windows-Betriebssystemen
klicke auf "Feature automatisch aktivieren"
und folge den anweisungen
dieser tipp, gilt auch für windows 7
4.
einer der sichersten browser ist opera.
Opera Webbrowser | Schneller & sicherer | Die neuen Internet-Browser kostenlos herunterladen
in den letzten jahren lag er was die sicherheit angeht weit vor den großen wie dem internet explorer und dem firefox.
mit diesem tool lässt sich ein werbeblocker laden
Opera AdBlock Configurator - Freeware - DE - Download.CHIP.eu
zusätzlich kannst du das auch manuell erledigen, falls mal etwas nicht geblockt wird:
Computerbase - Werbung blockieren
5.
bitte folgendes durchführen:
Windows-Dienste sicher konfigurieren und abschalten (Windows 7/Vista/XP/2000) - www.ntsvcfg.de
download link ist hier
http://ntsvcfg.de/svc2kxp.zip
lies den abschnitt über die svc2kxp.md
du solltest die methode 2 wählen, diese ist ausreichend gut.
je weniger dienste der pc nach außen anbietet, desto besser.
automatische windows updates sowie inteligenter hintergrundübertragunsdienst sollten schon aktiev sein, prüfe das bitte nachdem du das tool ausgeführt hast nach.
start ausführen
services.msc
suche die beiden dienste und schaue ob der starttyp automatisch lautet, falls nicht, wähle den dienst aus, rechtsklick, eigenschaften, starttyp automatisch

6.
um das surfen sicherer zu machen, würde ich sandboxie empfehlen.
Download:
Sandboxie Download
anleitung:
drop.io
(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.
7. autorun für usb deaktivieren:
über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab.
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
usb sticks, festplatten etc, sollte man mit panda vaccine impfen:
ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY
so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit.
hake an:
hake an:
run panda usb vaccine automatically when computer boots
automatically vaccine any new insert usb key
enable ntfs file suport
8.
updates:
Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt.
instaliere die folgenden update checker.
Secunia:
http://www.trojaner-board.de/83959-s...ector-psi.html
und file hippo update checker:
FileHippo.com Update Checker - FileHippo.com
das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok.
dann doppelklicke file hippo, eine Internetseite wird geöffnet, auf der dier die aktuellsten updates gezeigt werden, diese downloaden und instalieren.

Beide programme sollten im autostart bleiben, und sobald eines der programme updates anzeigt sollten diese umgehend instaliert werden.
9.
regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht.
Acronis True Image 2011 - Festplatten-Backup-Software, Datei-Backup und Disk Imaging, Wiederherstellung von Anwendungseinstellungen, Backup von Musik, Videos, Fotos und Outlook-Mails
außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen.
Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden.
Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll.
10. passwörter endern.
11. allgemeine tipps, instaliere keine toolbars, sie machen din browser langsam und sind ein zusatz risiko.
benutze keine illegalen downloads aus torrentnetzen und sonstigen filssharing netzen. keine stremmting seiten wie kino.to dort wird ebenfalls gern malware verteilt.
bitte surfe ab sofort nur noch im eingeschrenkten (standard) nutzerkonto und dort in sandboxie. zu erreichen mit klick auf "sandboxed web browser"
bei den recovery dvds wird auch oft einiges an unnützem zeug instaliert, wenn du magst können wir die liste der instalierten programme am ende durchgehen und unnötiges runter hauen.

NewbieOkt10 11.10.2010 08:29
Vielen Dank,
mein PC läuft wieder und der Trojaner ist offenbar weg.

Noch zwei Fragen:
Beim Zurückkopieren der gesicherten Dateien: reicht da ein VirenScan mit Avira oder sollte man ein anderes (weiteres) Programm benutzen?
Und sollte man neben Avira noch einen weiteren Viren-Schutz laufen lassen (WIN Defender, Spybot, etc.)?

markusg 11.10.2010 09:54
hi, avira reicht zum scannen. wenn du die ganzen tipps umsetzt ist 1 av ausreichend


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:18 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131