|
Commerzbank Trojaner Hallo zusammen, ich habe heute festgestellt, dass ich mir irgendwie einen Trojaner gefangen habe, der mich nach dem Login bei der COmmerzbank auffordert 100 TANs einzugeben. :pfui: Dumm genug mir den Trojaner einzufangen war ich wohl, so dumm bin ich dann nun auch wieder nicht.:zunge: Ich habe gesehen, dass es hier schon einige Threads zu diesem Thema gibt, hege aber die Hoffnung, dass es aufgrund der Tatsache, dass diese Threads schon etwas älter sind, eine Möglichkeit besteht diesen Trojaner los zu werden, ohne meine komplette Festplatte leer zu räumen. Sollte dem nicht so sein halte ich mich natürlich an die Anweisungen der vorangegangen Threads. Vielen Dank für Eure Antworten im vorraus. Gruß Tetsuo_Shima |
hi schaun wir uns erst mal das gerät an. Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt beide posten |
Hallo, erstmal danke für die super schnelle Antwort :daumenhoc Anbei die Reports OTL.txt und Extras.txt Da die OTL.txt zu groß war,habe ich sie aufgeteilt. Bin auf Eure Meinung gespannt und hoffe, dass ich eine vollständige Systemformatierung umgehen kann. Gruß Tetsuo_Shima |
achtung! dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user. wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts. • Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. :OTL O4 - HKU\S-1-5-21-3432800156-3789349857-3756275056-1000..\Run: [R4B1ZAOPF5] C:\Users\skestern\AppData\Local\Temp\Rcc.exe (Sun Microsystems, Inc.) O4 - HKU\S-1-5-21-3432800156-3789349857-3756275056-1000..\Run: [DVYHI42JUG] C:\Windows\Rdypia.exe (Sun Microsystems, Inc.) PRC - C:\Users\skestern\AppData\Local\Temp\Rcd.exe (Sun Microsystems, Inc.) PRC - C:\Users\skestern\AppData\Local\Temp\Rcc.exe (Sun Microsystems, Inc.) PRC - C:\Windows\Rdypia.exe (Sun Microsystems, Inc.) :Files C:\Users\skestern\AppData\Local\Temp\Rcc.exe C:\Windows\Rdypia.exe C:\Users\skestern\AppData\Local\Temp\Rcd.exe :Commands [purity] [EMPTYFLASH] [resethosts] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. öffne computer, öffne C: dann _OTL dort rechtsklick auf moved files wähle zu moved files.rar oder zip hinzufügen. http://www.trojaner-board.de/54791-a...ner-board.html |
Hallo, hier zunächst mal der Text: All processes killed ========== OTL ========== Registry value HKEY_USERS\S-1-5-21-3432800156-3789349857-3756275056-1000\Software\Microsoft\Windows\CurrentVersion\Run\\R4B1ZAOPF5 deleted successfully. C:\Users\skestern\AppData\Local\Temp\Rcc.exe moved successfully. Registry value HKEY_USERS\S-1-5-21-3432800156-3789349857-3756275056-1000\Software\Microsoft\Windows\CurrentVersion\Run\\DVYHI42JUG deleted successfully. C:\Windows\Rdypia.exe moved successfully. No active process named Rcd.exe was found! No active process named Rcc.exe was found! No active process named Rdypia.exe was found! ========== FILES ========== File\Folder C:\Users\skestern\AppData\Local\Temp\Rcc.exe not found. File\Folder C:\Windows\Rdypia.exe not found. C:\Users\skestern\AppData\Local\Temp\Rcd.exe moved successfully. ========== COMMANDS ========== [EMPTYFLASH] User: All Users User: Default ->Flash cache emptied: 56466 bytes User: Default User ->Flash cache emptied: 0 bytes User: Public User: skestern ->Flash cache emptied: 375920 bytes Total Flash Files Cleaned = 0,00 mb C:\Windows\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Public User: skestern ->Temp folder emptied: 48795139 bytes ->Temporary Internet Files folder emptied: 521805021 bytes ->Java cache emptied: 14489017 bytes ->FireFox cache emptied: 56253246 bytes ->Flash cache emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 93506 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 612,00 mb OTL by OldTimer - Version 3.2.24.2 log created on 06302011_154032 Files\Folders moved on Reboot... File\Folder C:\Windows\temp\etilqs_I1ABUttJgiahkbrJzrIy not found! File\Folder C:\Windows\temp\etilqs_vFr2CsU1kY4NPBIP3Mh6 not found! File\Folder C:\Windows\temp\etilqs_ZFGn9XWFaayMStkHIkWt not found! Registry entries deleted on Reboot... Die anderen Dateien werden gleich hochgeladen |
danke bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
Hallo, und hier der combofix.log: Combofix Logfile: Code: ComboFix 11-06-30.01 - skestern 30.06.2011 16:20:44.1.2 - x86Gruß Tetsuo_Shima |
was soll ich damit anfangen, das ist nur der kopf vom log |
Seltsam ich sehe im Board in meinem Beitrag den Log in einem Fenster welches ich hoch und runter scrollen kann. Hier der 2. Versuch: Combofix Logfile: Code: ComboFix 11-06-30.01 - skestern 30.06.2011 16:20:44.1.2 - x86 |
hi, öffne computer, öffne c: dort öffne qoobox, rechtsklick quarantain, mit winrar oder zip packen, hochladen. http://www.trojaner-board.de/54791-a...ner-board.html |
also, auch wenn du das nicht gern hörst, der pc muss neu gemacht werden, du hast hier einige nette trojaner auf dem pc. ein paar, die wohl für werbung etc gesorgt haben, um damit geld zu verdienen, und den spyeye, um fremde websites anzugreifen, und um deine bank daten abzugreifen. der spyeye, und auch die andern, können weitere malware nachladen, deshalb ist nen format das sicherste. 1. daten sichern, deaktiviere zuerst autorun, wähle eine der methoden Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de sichere bilder, musik, dokumente etc. 2. pc formatieren, windows neu aufspielen. falls du hilfe benötigst, sag bescheid. 3. zeige ich dir, wie du das system in zukunft wichtig absicherst, da muss man nämlich mehr tun, als nur ein av zu instalieren. 4. passwörter alle endern! |
Hi, auch wenn es mir in der Tat nicht gefällt vielen Dank für die Mühe und die schnelle Antwort. Passwörter habe ich alle schon geändert, Bankzugang direkt heute morgen sperren lassen. Für ein kleines 1 x 1 wie ich meinen PC absichere bin ich mehr als dankbar :daumenhoc Gruß Tetsuo_Shima |
hi, die passwörter aber nicht vom dem befallenen system aus geendert, das wäre ziemlich sinnfrei :-) 1. sind die daten gesichert? 2. weist du denn, wie man formatiert oder nicht? falls nein, nutzt du ne windows cd, recovery cd, oder recovery partition, falls letzteres, im handbuch nachschauen, oder mir den hersteller des geräts, und den typen nennen |
Hi, nein die Passwörter hab ich schon von einem anderen Rechner aus gesichert :) Formatiert habe ich mein System schonmal, das sollte kein Problem darstellen, aber ich finde unter dem gpedit.msc die Funktion zum deaktivieren von Autorun nicht. Ich welches Unterverzeichnis muss ich, wenn ich in "Windows Komponenten" bin ? Gruß und Dank |
hallo, wenn dus nicht findest, nimm ne andere methode, da ist doch noch einiges mehr beschrieben :-) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:40 Uhr. |
Copyright ©2000-2025, Trojaner-Board