![]() |
Welcher Trojaner an Bord? Bank sperrt online Account Hallo zusammen, Meinen Einstand hatte ich bei Lob und Kritik gegeben...nun denn noch einmal: Super Arbeit, die ich bis jetzt hier sehen konnte und ich ziehe den Hut vor Eurer Aufopferung für Leute, die Probleme haben. Kurz zu meinem Fall: Letzte Woche habe ich mitbekommen, dass meine Bank mir den Online-Zugang dicht gemacht hat. Auf meine Nachfrage wurde mir erklärt, dass bei meinem Login ein Trojaner/Virus registriert und deshalb mein Account vorsorglich gesperrt wurde. Als ich dann anrief, um weitere Infos zu bekommen, wurde mir dann gesagt, das der Virus/Trojaner bei denen unter dem Namen "URL Zone" geführt wird. Eine weitere Recherche mit der Bezeichnung hat mich später aber auch nicht weiter gebracht. Mir wurde außerdem ein Neuaufsetzen nahe gelegt - wahrscheinlich, um DAU-Fehler komplett ausschließen zu können. Ich habe leider keinen blassen Schimmer, woher das Ding - so es denn existiert - stammen soll. Bei mir läuft Antivir, ab und an mache ich einen Scan mit HJT und Stinger.exe, da ich auch ein wenig paranoid, aber anscheinend nicht genug bin. Außerdem versuche ich mein System mit TuneUp2007 sauber zu halten und habe, nach meiner Einschätzung, alle unnötigen Prozesse (updater von Anwendungen u.ä.) beim Systemstart auf Eis gelegt. Ich hoffe, dadurch werden auch meine LogFiles entsprechend schmal gehalten. Ich weiß, dass ich mit dem ServicePack 2 unterwegs bin und habe Schiß mir mein System mit einem Upgrade zu zerschießen (hab ich schonmal erlebt bei SP1 auf SP2) - das hatte mit damals die Userverwaltung zerschossen, ich kam nicht mehr in das System und die XP Reparatur hat nicht gegriffen, da Version SP 0 --> vielen Dank, einmal Neu bitte. Hier also mein HJT-Scan: Code: Logfile of Trend Micro HijackThis v2.0.2 die Punkte 1 und 2 unter "Für alle Neuen" habe ich bereits gelesen und durchgeführt. hier noch das Log von Malwarebytes: Code: Malwarebytes' Anti-Malware 1.39 Viele Grüße, Marcus |
Hi, aufsetzten ist immer die beste Methode, wenn man ein aktuelles Backup hat! Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\WINDOWS\SYSTEM32\TosBtNP.dll <- gehört ev. zu Deinem (Toshiba)-Notebook
Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-a...tellungen.html Führe einen Systemscan durch und poste das Ergebnis! RSIT: Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/) * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. chris |
Hallo Chris, Danke, dass Du Dich der Sache angenommen hast.:daumenhoc Ich werde alles durchführen, sobald ich zu Haus bin - tagsüber bin ich halt viel unterwegs. Dann bis später und viele Grüße |
Hallo Chris, Dateieinstellungen war bereits Standard bei mir. Die Datei gehört zum Notebook und war auch schon immer da. Onlinescan der Datei TosBtNP.dll - Ergebnis: Code: Antivirus Version letzte aktualisierung Ergebnis Komplett-Scan: läuft, Ergebnis kommt Unter AntiVir --> Scanner --> Suche --> Weitere Einstellungen gibt es in der aktuellen Version mehr Optionen als auf dem Screenshot, ich habe alle aktiv geschaltet bis auf "offline Dateien ignorieren", das ist hoffentlich in Deinem Sinne? Kann ich rsit auch während des Avira-Scans starten? Das spart u.U. viel Zeit? Danke und viele Grüße, Marcus |
Hi Chris, Ich hab es halt parallel gestartet. Hier das editierte RSIT log.txt_1: Code: Logfile of random's system information tool 1.06 (written by random/random) |
und das RSIT log.txt_2: Code: ======Scheduled tasks folder====== |
und hier die rsit info.txt_1: Code: info.txt logfile of random's system information tool 1.06 2009-07-28 23:26:37 |
und die RSIT info.txt_2: Code: Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe" |
Hier der AV-Scan_1: Code: Avira AntiVir Personal |
und der AV-Scan_2 - wirklich so schlimm, oder evtl. Fehlmeldungen? Code: er Suchlauf über die ausgewählten Dateien wird begonnen: |
Hi, warten wir noch auf das Log von GMER, allerdings kannst Du jetzt bereits folgendes machen: Systemwiederherstellung löschen http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen Bin noch beim Durchsuchen der Treiber, Du hast unglaublich viel "Ballast" auf dem Rechner (Arcobat Reader 1.0?) und solltest auch unbedingt mal das System auf den neusten Stand bringen! chris |
Hi Chris, Ja, das GMER-Log muss ich leider auf heute Abend verschieben, das hab ich nicht mehr geschafft, da ich tagsüber unterwegs bin. Gerstern Nacht bin ich irgendwann einfach eingepennt. Die Systemwiederherstellung nehme ich mir dann ebenfalls vor. :snyper: Das ich so viel Ballast drauf hab, hatte ich nicht vermutet. Ich führe regelmäßig eine "Säuberung" mit TuneUp durch und dachte, dadurch wäre einiges runter. Auch nicht genutzte Sachen versuche ich herunterzuwerfen. Der Acrobat 1.0 ist mir wohl völlig durch die Lappen gegangen. Hast Du irgeneinen Hinweis, was das für ein Ding ist, dass da bei mir herumgeistert? Ist der noch aktiv? Wie könnte die Bank den überhaupt festgestellt haben? Danke für die Mühe, Sorry für die Umstände bis später, Marcus |
Hi, bitte noch folgende Sachen fixen (das sind "Reste"): Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code: O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Prevx: http://www.prevx.com/freescan.asp Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters... chris |
Hallo Chris, hier das ausstehende GMER-Log: Code: GMER 1.0.15.14972 - http://www.gmer.net Hast Du schon irgeneinen Hinweis, was und / oder woher das Ding ist und / oder stammen sollte? Mich würde halt sehr interessieren, um zu verstehen, woher der stammen soll. Bist Du dir bei den zu fixenen Einträgen wirklich sicher? Der PC ist nämlich in der auseditierten Domain zu Haus und gegenwärtig bin ich nur abgekapselt unterwegs - wenn ich mich dort anstöpsel, bin ich dort im Netzwerk. :confused: Code: O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = <edit-domain> den Rest arbeite ich jetzt auch noch ab, Gruß, Marcus |
Ja hi, ich nochmal: Der Link funzt net: http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html Was soll ich jetzt in welcher Reihenfolge machen. Bin jetzt etwas verwirrt. Viele Grüße, Marcus |
Alle Zeitangaben in WEZ +1. Es ist jetzt 10:46 Uhr. |
Copyright ©2000-2025, Trojaner-Board