|
Trojaner bei Online-Banking Postbank Liebe Forengemeinde, nachdem ich nun schon eine längere Zeit passiv mitlese und ich bei euch schon Hilfe für so manche Computerprobleme gefunden habe, musste ich mich jetzt doch mal anmelden, da ich nun selbst ein größeres Problem habe. Mein Problem ähnelt diesem hier. Wenn ich mich in mein Postbank-Konto einlogge, werde ich aufgefordert, 20 Tan-Nummern einzugeben. Mein Antivirenprogramm (Avira) findet nichts verdächtiges. Mein Postbank-Konto habe ich sicherheitshalber schon sperren lassen. Die Auswertungen von OTL habe ich beigefügt. (Wobei es für mich wohl immer rätselhaft bleiben wird, wie jemand aus diesen Auswertungen etwas herauslesen kann :pfeiff: ) Falls es hilft: Ich weiß nicht, ob dies etwas mit diesem Trojaner zu tun hat, aber ich kann seit ein paar Tagen den Energiersparmodus des Laptops nur noch aktivieren, wenn das Ladekabel ausgesteckt ist Über einen Hilfsbereiten Experten würde ich mich sehr freuen. Vielen Dank :) |
ok sehe es mir an |
hi, du wirst den pc neu aufsetzen müssen, will aber einige dateien einsammeln. du musst dich auch nicht wundern, wenn an nicht alle updates und servicepacks instaliert dann passiert so was. • Starte bitte die OTL.exe. Vista-User mit Rechtsklick "als Administrator starten" • Kopiere nun das Folgende in die Textbox. :OTL O4 - HKCU..\Run: [certvaws] C:\Users\***\AppData\Local\Temp\chkdywiz.DLL () :Files :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument dieses posten bitte öffne den arbeitsplatz, dann c: dann rechtsklick auf _OTL und zu _OTL.zip oder rar hinzufügen, das archiv an uns hochladen. http://www.trojaner-board.de/54791-a...ner-board.html gib bescheid wenn das erledigt ist. fang dann schon mal an mit daten sichern, dann gebe ich dir tipps wie du nach dem neu aufsetzen absichern solltest |
Danke für die schnelle Hilfe. Habe zuerst vergessen, die "***" durch den Benutzernamen zu ersetzten => Programm hat sich aufgehängt Beim zweiten Mal hab ich meinen Benutzernamen eingesetzt und das ergebnis beigefügt. |
ok will mal noch was probieren, und hänge die dateien nicht hier an, sondern lad sie hoch, waren gott sei dank nur txt dateien, aber willst ja wohl nicht das das wer läd und sich evtl. infiziert. bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
Hab die zip-Datei nochmals über den uploadChannel hochgeladen. ComboFix folgt morgen, sobald ich mir die gesamte Anleitung & ausgeführt habe. |
ok bis dann |
ComboFix funktioniert bei mir nicht richtig.. Als ca. Stufe 40 fertiggestellt wird, will sich der Laptop (Windows Vista) neu starten, bleibt aber bei "Abmelden" stehen. Nachdem sich ca. 2 Stunden nichts getan hat und immernoch "Abmelden" angezeigt wird, habe ich den Laptop neu gestartet. Das ganze habe ich mehrmals wiederholt, er bleibt immer bei "Abmelden" hängen. Dennoch finde ich nach dem Neustart unter C:\ComboFix\ComboFix.txt die beigefügte Log-Datei. Der Trojaner ist übrigens scheinbar verschwunden - jedenfalls werde ich nicht mehr zur TAN-Eingabe aufgefordert. |
prüfe bei VirusTotal - Free Online Virus, Malware and URL Scanner C:\Windows\system32\wininit.exe falls datei bereits analysiert, klicke erneut prüfen, ergebniss link hier reinkopieren |
Habe die Datei bei VirusTotal prüfen lassen, das Ergebnis ist hier zu finden: hxxp://www.virustotal.com/file-scan/report.html?id=9a02771da9c226552a1766c2dd0295eca8b5b80aae13076ffce6a806fa5c21b8-1282829580 |
kannst du combofix im abgesicherten modus versuchen? |
Sorry Markus, habe ganz übersehen, dass es auf der zweiten Seite weiter geht. Programm wurde im abgesicherten Modus gestartet. Ergebnis: Nach Stufe_25 und Stufe_38 kommt die Fehlermeldung "Acces Denied. Administrator permissions are needed to use the selected options. Use an administrator command prompt to complete these tasks." Und nach Stufe_50 kommt "System file is infected!!! Attempting to restore C:\Widnwos\System32\winint.exe". Kurz darauf "Succesfully restored :)" Wenig später zeigt ComboFix die Meldung, dass der Computer neu gestartet wird. Diese Meldung bleibt jedoch ewig stehen, es passiert nichts. Eine Log-Datei wurde nach dem manuellen Neustart erstellt, Diese erhält aber nur folgende Aussage: "ComboFix 10-08-24.0C - *** 27.08.2010 21:07:47.4.2 - x86 MINIMAL Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.49.1031.18.3062.2565 [GMT 2:00] ausgeführt von:: C:\Users\***\Desktop\ComboFix.exe SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46} ." |
sorry, irgendwie wurde mein beitrag mehrfach abgeschickt.. |
sorry, irgendwie wurde mein beitrag mehrfach abgeschickt.. |
sorry war nicht online. kannst du deine version von combofix.exe löschen, dann erneut downloaden und das cfscript erneut erstellen und ausführen? wenn das nicht klappt versuchen wir was anderes. |
Ich hab jetzt nochmal ein anderes Virenprogramm installiert und dieses hat noch ein paar Viren gefunden. Bevor sich diese Viren noch weiter auf meinem PC ausbreiten, habe ich mich jetzt dazu entschlossen, die wichtigsten Daten zu sichern, den Rest zu löschen und Windows neu zu installieren. Hofftentlich bleibt mein PC dann virenfrei ;-) Vielen Dank nochmal für deine Hilfe :applaus: |
ich geb dir noch tipps zum absichern. nach dem neu aufsetzen sofort die windows update seite aufrufen, spiele servicepack 1 und 2 auf, auch den internet explorer 8. natürlich die weiteren wichtigen windows updates nicht vergessen, dann antivirus. weiter gehts: 1. solltest du nur noch als eingeschrenkter nutzer arbeiten , das admin konto ist nur für instalationen gedacht. klicke start, tippe unter suchen (ausführen) systemsteuerung. wähle dort Benutzerkonten hinzufügen/entfernen. wähle "neues konto erstellen" Wähle standard benutzer. die konten sollten mit einem passwort geschützt werden. dazu auf konto endern klicken und passwörter vergeben. Die folgenden konfigurationen als admin ausführen: 2. dep aktivieren: dep für alle prozesse: Datenausführungsverhinderung (DEP) • "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:". wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen. 3. sehop aktivieren: SEHOP aktivieren: Aktivieren von SEHOP (Structured Exception Handling Overwrite Protection) in Windows-Betriebssystemen klicke auf "Feature automatisch aktivieren" und folge den anweisungen 4. als browser den firefox nutzen: Webbrowser Firefox | Schneller, sicherer & anpassbar | Mozilla Europe 5. als adon noscript, es werden dadurch alle scripts (java) zb blockiert, du kannst diese dann frei geben, in dem du auf der seite, die freigegeben werden soll, nen rechtsklick machst, noscript wählst, und temporär alle berectigungen aufheben wählst, somit werden sie für den besuch aufgehoben, oder alle beschrenkungen aufheben, somit wird die seite freigegeben. das kann man natürlich wieder rückgängig machen. http://filepony.de/download-noscript// 6. adblock+ um werbung zu blockieren: http://filepony.de/download-adblock_firefox// hier gibt es noch filterlisten: Adblock Plus: Bekannte Filterlisten für Adblock Plus hier würde ich 2 oder 3 deutsche filter auswählen. unter sonstiges die malware blocklist. 7. um das surfen sicherer zu machen, würde ich sandboxie empfehlen. Download: Sandboxie Download anleitung: drop.io (als pdf) wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 25 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. ab sofort also nur noch in der sanbox surfen bitte. 8. autorun für usb deaktivieren: über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab. Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de 9. um deine software aktuell zu halten, instaliere secunia. http://www.trojaner-board.de/83959-s...ector-psi.html und file hippo update checker: FileHippo.com Update Checker - FileHippo.com 10. regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht. Acronis True Image 2011 - Festplatten-Backup-Software, Datei-Backup und Disk Imaging, Wiederherstellung von Anwendungseinstellungen, Backup von Musik, Videos, Fotos und Outlook-Mails außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen. Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden. Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll. so ab jetzt nur noch im standard nutzerkonto arbeiten und dort nur noch in der sandbox surfen. klicke dazu auf "sandboxed web browser". |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:38 Uhr. |
Copyright ©2000-2025, Trojaner-Board