|
Commerzbank Trojaner Hallo zusammen, ich habe heute festgestellt, dass ich mir irgendwie einen Trojaner gefangen habe, der mich nach dem Login bei der COmmerzbank auffordert 100 TANs einzugeben. :pfui: Dumm genug mir den Trojaner einzufangen war ich wohl, so dumm bin ich dann nun auch wieder nicht.:zunge: Ich habe gesehen, dass es hier schon einige Threads zu diesem Thema gibt, hege aber die Hoffnung, dass es aufgrund der Tatsache, dass diese Threads schon etwas älter sind, eine Möglichkeit besteht diesen Trojaner los zu werden, ohne meine komplette Festplatte leer zu räumen. Sollte dem nicht so sein halte ich mich natürlich an die Anweisungen der vorangegangen Threads. Vielen Dank für Eure Antworten im vorraus. Gruß Tetsuo_Shima |
hi schaun wir uns erst mal das gerät an. Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt beide posten |
Hallo, erstmal danke für die super schnelle Antwort :daumenhoc Anbei die Reports OTL.txt und Extras.txt Da die OTL.txt zu groß war,habe ich sie aufgeteilt. Bin auf Eure Meinung gespannt und hoffe, dass ich eine vollständige Systemformatierung umgehen kann. Gruß Tetsuo_Shima |
achtung! dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user. wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts. • Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. :OTL O4 - HKU\S-1-5-21-3432800156-3789349857-3756275056-1000..\Run: [R4B1ZAOPF5] C:\Users\skestern\AppData\Local\Temp\Rcc.exe (Sun Microsystems, Inc.) O4 - HKU\S-1-5-21-3432800156-3789349857-3756275056-1000..\Run: [DVYHI42JUG] C:\Windows\Rdypia.exe (Sun Microsystems, Inc.) PRC - C:\Users\skestern\AppData\Local\Temp\Rcd.exe (Sun Microsystems, Inc.) PRC - C:\Users\skestern\AppData\Local\Temp\Rcc.exe (Sun Microsystems, Inc.) PRC - C:\Windows\Rdypia.exe (Sun Microsystems, Inc.) :Files C:\Users\skestern\AppData\Local\Temp\Rcc.exe C:\Windows\Rdypia.exe C:\Users\skestern\AppData\Local\Temp\Rcd.exe :Commands [purity] [EMPTYFLASH] [resethosts] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. öffne computer, öffne C: dann _OTL dort rechtsklick auf moved files wähle zu moved files.rar oder zip hinzufügen. http://www.trojaner-board.de/54791-a...ner-board.html |
Hallo, hier zunächst mal der Text: All processes killed ========== OTL ========== Registry value HKEY_USERS\S-1-5-21-3432800156-3789349857-3756275056-1000\Software\Microsoft\Windows\CurrentVersion\Run\\R4B1ZAOPF5 deleted successfully. C:\Users\skestern\AppData\Local\Temp\Rcc.exe moved successfully. Registry value HKEY_USERS\S-1-5-21-3432800156-3789349857-3756275056-1000\Software\Microsoft\Windows\CurrentVersion\Run\\DVYHI42JUG deleted successfully. C:\Windows\Rdypia.exe moved successfully. No active process named Rcd.exe was found! No active process named Rcc.exe was found! No active process named Rdypia.exe was found! ========== FILES ========== File\Folder C:\Users\skestern\AppData\Local\Temp\Rcc.exe not found. File\Folder C:\Windows\Rdypia.exe not found. C:\Users\skestern\AppData\Local\Temp\Rcd.exe moved successfully. ========== COMMANDS ========== [EMPTYFLASH] User: All Users User: Default ->Flash cache emptied: 56466 bytes User: Default User ->Flash cache emptied: 0 bytes User: Public User: skestern ->Flash cache emptied: 375920 bytes Total Flash Files Cleaned = 0,00 mb C:\Windows\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Public User: skestern ->Temp folder emptied: 48795139 bytes ->Temporary Internet Files folder emptied: 521805021 bytes ->Java cache emptied: 14489017 bytes ->FireFox cache emptied: 56253246 bytes ->Flash cache emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 93506 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 612,00 mb OTL by OldTimer - Version 3.2.24.2 log created on 06302011_154032 Files\Folders moved on Reboot... File\Folder C:\Windows\temp\etilqs_I1ABUttJgiahkbrJzrIy not found! File\Folder C:\Windows\temp\etilqs_vFr2CsU1kY4NPBIP3Mh6 not found! File\Folder C:\Windows\temp\etilqs_ZFGn9XWFaayMStkHIkWt not found! Registry entries deleted on Reboot... Die anderen Dateien werden gleich hochgeladen |
danke bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
Hallo, und hier der combofix.log: Combofix Logfile: Code: ComboFix 11-06-30.01 - skestern 30.06.2011 16:20:44.1.2 - x86Gruß Tetsuo_Shima |
was soll ich damit anfangen, das ist nur der kopf vom log |
Seltsam ich sehe im Board in meinem Beitrag den Log in einem Fenster welches ich hoch und runter scrollen kann. Hier der 2. Versuch: Combofix Logfile: Code: ComboFix 11-06-30.01 - skestern 30.06.2011 16:20:44.1.2 - x86 |
hi, öffne computer, öffne c: dort öffne qoobox, rechtsklick quarantain, mit winrar oder zip packen, hochladen. http://www.trojaner-board.de/54791-a...ner-board.html |
also, auch wenn du das nicht gern hörst, der pc muss neu gemacht werden, du hast hier einige nette trojaner auf dem pc. ein paar, die wohl für werbung etc gesorgt haben, um damit geld zu verdienen, und den spyeye, um fremde websites anzugreifen, und um deine bank daten abzugreifen. der spyeye, und auch die andern, können weitere malware nachladen, deshalb ist nen format das sicherste. 1. daten sichern, deaktiviere zuerst autorun, wähle eine der methoden Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de sichere bilder, musik, dokumente etc. 2. pc formatieren, windows neu aufspielen. falls du hilfe benötigst, sag bescheid. 3. zeige ich dir, wie du das system in zukunft wichtig absicherst, da muss man nämlich mehr tun, als nur ein av zu instalieren. 4. passwörter alle endern! |
Hi, auch wenn es mir in der Tat nicht gefällt vielen Dank für die Mühe und die schnelle Antwort. Passwörter habe ich alle schon geändert, Bankzugang direkt heute morgen sperren lassen. Für ein kleines 1 x 1 wie ich meinen PC absichere bin ich mehr als dankbar :daumenhoc Gruß Tetsuo_Shima |
hi, die passwörter aber nicht vom dem befallenen system aus geendert, das wäre ziemlich sinnfrei :-) 1. sind die daten gesichert? 2. weist du denn, wie man formatiert oder nicht? falls nein, nutzt du ne windows cd, recovery cd, oder recovery partition, falls letzteres, im handbuch nachschauen, oder mir den hersteller des geräts, und den typen nennen |
Hi, nein die Passwörter hab ich schon von einem anderen Rechner aus gesichert :) Formatiert habe ich mein System schonmal, das sollte kein Problem darstellen, aber ich finde unter dem gpedit.msc die Funktion zum deaktivieren von Autorun nicht. Ich welches Unterverzeichnis muss ich, wenn ich in "Windows Komponenten" bin ? Gruß und Dank |
hallo, wenn dus nicht findest, nimm ne andere methode, da ist doch noch einiges mehr beschrieben :-) |
ok ich hab es hingekriegt. Jetzt muss ich erstmal nem Kollegen beim Umzug helfen und heute Abend mach ich Festplatte nieder und spiel Windows neu auf. Bevor ich dann wieder anfange "Nonsens" zu installieren, warte ich auf deine Hilfe Nochmals Danke :daumenhoc:daumenhoc:daumenhoc |
naja, so schlecht wars ja nicht, windows scheint auf jeden fall aktuell gewesen zu sein, mit servicepack etc. ist nen guter anfang. wenn du windows neu oben hast. start suchen tippe: windows update enter dann optionale updates, instaliere dort so lange, bis es nichts mehr gibt. kann neustarts geben, dann wieder aufrufen und instalieren. das selbe mit wichtigen. konfiguriere windows updates, unter einstellungen so, dass updates, wichtig und optional, automatisch geladen werden. ich weis, die folgende anleitung ist lang, und sieht vllt schwierig aus, ist sie aber nicht. wenn du nen punkt nicht verstehst, oder nicht weist, warum du das machen sollst, überspringe es nicht, frage mich und wir werden es klären :-) http://www.trojaner-board.de/96344-a...-rechners.html hier alles unter windows Vista / 7 und allgemeines abarbeiten! außerdem den abschnitt Maßnahmen für ALLE Windows-Versionen abarbeiten. als antivirus kannst du zb avast nutzen. pdf zur anleitung gibts hier: Bremer Treff - Downloads - Anleitungen - Installation und Einstellung von avast 6 Free Edition denke die haben das beste gesammt angebot für kostenlose produkte. als browser opera. falls er dir nicht zusagt, passe ich die anleitung für nen andern browser an um das surfen sicherer zu machen, würde ich sandboxie empfehlen. Download: http://filepony.de/download-sandboxie/ anleitung: Sandbox*Einstellungen | (als pdf) hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar. den direkten datei zugriff bitte auf opera beschrenken, bei Internetzugriff: opera.exe öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok. somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern. wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. eine sandbox ist eine isulierte umgebung aus der kein programm raus kommt. um die volle wirkung zu erreichen muss alles umgesetzt und eingehalten werden. alle benötigten verknüpfungen fürs eingeschrenkte konto nach c:\benutzer\Default\desktop bzw \startmenü kopieren. so sind sie für alle sichtbar wenn du fragen hast, probleme, oder erfolgreich warst, melde dich bitte. wenn du online banking betreibst, lese den passenden abschnitt, die card reader gibts verbilligt bei den banken. ist ein sehr sicheres verfahren. |
Mann das ging ja schnell, bin noch nocht mal umgezogen ;) Eingentlich bin ich Firefox User, wobei ich jetzt auch kein Problem darin sehe mich mal mit Opera anzufreunden. Ich werde mich melden, sobald ich alles abgearbeitet habe. Nochmals vielen vielen Dank Tetsuo_Shima |
sieh dir den opera an, wenn er dir nicht gefällt, kann man die anleitung noch anpassen. den meisten gefiehl er aber bisher besser als der ff. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:27 Uhr. |
Copyright ©2000-2025, Trojaner-Board