|
Hi Arne, beide Programme haben (leider) im Ordner "C:\SYSTEM VOLUME INFORMATION\_RESTORE{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP2\ " angeschlagen // editiert am 19.10. um 0:56h zur Info: jetzt hat sich auch gerade die KIS gemeldet: 19.10.2010 00:38:53 Datei c:\dokumente und einstellungen\ABC\desktop\cofi.exe/32788R22FWJFW\catchme.cfxxe, gefunden: Virus 'Heur.Invader' (Modifikation). 19.10.2010 00:38:55 Datei c:\dokumente und einstellungen\ABC\desktop\cofi.exe/32788R22FWJFW\FileKill.cfxxe, gefunden: Virus 'Heur.Invader' (Modifikation). Hier die Log`s: 1. Malwarebytes Malwarebytes' Anti-Malware 1.46 Malwarebytes Datenbank Version: 4875 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 18.10.2010 22:06:12 mbam-log-2010-10-18 (22-06-12).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 289890 Laufzeit: 2 Stunde(n), 0 Minute(n), 37 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP2\A0000105.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP2\A0000107.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully. 2. SUPERAntiSpyware SUPERAntiSpyware Scan Log SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware! Generated 10/19/2010 at 00:17 AM Application Version : 4.44.1000 Core Rules Database Version : 5704 Trace Rules Database Version: 3516 Scan type : Complete Scan Total Scan Time : 03:57:21 Memory items scanned : 533 Memory threats detected : 0 Registry items scanned : 6816 Registry threats detected : 0 File items scanned : 130648 File threats detected : 38 Adware.Tracking Cookie .apmebf.com [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ] .mediaplex.com [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ] .mediaplex.com [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ] etracker Webcontrolling - Echtzeit Webanalyse statt Besucherzähler [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ] .tradedoubler.com [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ] .tradedoubler.com [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ] .tradedoubler.com [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ] .tradedoubler.com [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ] .doubleclick.net [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ] .bwincom.122.2o7.net [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ] tracking.tchibo.de [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ] .secmedia.de [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ] .secmedia.de [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ] etracker Webcontrolling - Echtzeit Webanalyse statt Besucherzähler [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ] .im.banner.t-online.de [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ] Google [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ] .liveperson.net [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ] server.iad.liveperson.net [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ] Google [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ] .zanox.com [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ] track.effiliation.com [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ] track.effiliation.com [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ] track.effiliation.com [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ] track.effiliation.com [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ] track.effiliation.com [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ] .traffictrack.de [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ] .webmasterplan.com [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ] .webmasterplan.com [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ] Google [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ] .nextag.de [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ] .nextag.de [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ] .nextag.de [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ] .nextag.de [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ] .stats4free.de [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ] .stats4free.de [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ] .stats4free.de [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ] .stats4free.de [ C:\Dokumente und Einstellungen\DEF\Anwendungsdaten\Mozilla\Firefox\Profiles\k9s3p5a7.default\cookies.sqlite ] Trojan.Agent/Gen-Nullo[Short] C:\SYSTEM VOLUME INFORMATION\_RESTORE{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP2\A0000106.EXE |
Zitat:
Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde. Ansonsten wurdne nur Cookies gefunden. Sonst noch Probleme oder weitere Funde? |
Die Systemwiederherstellung habe ich jetzt deaktiviert. Habe gerade AntiVir laufen lassen. Hier wurde nichts gefunden. Wie beurteilst Du die Funde von gestern Abend? 19.10.2010 00:38:53 Datei c:\dokumente und einstellungen\ABC\desktop\cofi.exe/32788R22FWJFW\catchme.cfxxe, gefunden: Virus 'Heur.Invader' (Modifikation). 19.10.2010 00:38:55 Datei c:\dokumente und einstellungen\ABC\desktop\cofi.exe/32788R22FWJFW\FileKill.cfxxe, gefunden: Virus 'Heur.Invader' (Modifikation). |
Zitat:
|
Ah ok. Dann bin ich beruhigt. http://www.trojaner-board.de/images/smilies/taenzer.gif Allerdings blicke ich noch nicht so recht durch. War mein System jetzt mit einem Passwort-Schnüffler namens Gozi infiziert? Irgendwie müssen meine Bankdaten ja auf den Hacker-Server gekommen sein. Würdest Du mir einen Tip zur besseren Absicherung meines Systems (z.B. auch durch Sandboxie) geben. Ein ganz herzliches Dankeschön für Deine Analysen, Auswertungen, Anweisungen und Deine schnellen Rückmeldungen!!! hxxp://www.trojaner-board.de/images/smilies/dankeschoen.gif |
Zitat:
Halte Dich am besten grob an diese fünf Regeln: 1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!! 2) Halte Windows und alle verwendeten Programme immer aktuell 3) Führe regelmäßig Backups auf externe Medien durch 4) Arbeite mit eingeschränkten Rechten 5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar? Ansonten sind wir soweit durch! :abklatsch: Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
Hallo Arne, dann zu Abschluss noch mal mein ganz herzliches Dankeschön für Deine tolle Unterstützung!! Final würde mich jedoch noch Deine Einschätzung zu u.a. Zitat interessieren: Zitat:
|
SCHADE, zu früh gefreut. Habe gerade gesehen, dass mein OnlineAccount zum Bankingportal schon wieder dicht gemacht wurde. Morgen mal wieder mit der Bank sprechen, wo meine Daten jetzt lagen.... :-( |
Kam das überhaupt von diesem Rechner? So "dicke" Funde waren AFAIR garnicht auf Deinem Rechner. Machst Du Online-Banking nur auf diesem PC? |
Siehe hierzu meinen ersten Beitrag: Zitat:
Von dort hab ich am Sonntag auch zum ersten Mal seit der Info von der Bank das Passwort geändert... SUPERAntiSpyware und Malwarebytes habe ich meinem privaten Rechner heute ohne Funde durchlaufen lassen. |
Achja, ok. Vllt kannste Du das NB mal checken, evtl. von den Admins checken lassen. Du wirst ja wohl kaum Adminrechte auf dem Teil haben bei so hohen Sicherheitsstandards oder ;) |
OK, das nehm ich morgen in Angriff. Wenn was brauchbares bei rauskommt, werd ich hier nochmal mitteilen. |
Hi Arne, so, unsere Admins haben auf dem Firmen-NB alles mal durchgecheckt (Virenscanner, Firewall-Protokolle usw.) und nichts gefunden. Als einziges Sicherheitsriskio wurde die Verwendung des IE in der Version 6 festgestellt. Meine Hausbank kann / will mir keine nähreren Infos zu den Funden geben. Es heißt immer nur: "Ihr Rechner ist mit Gozi verseucht...!" Allerdings konnte man mir mitteilen, dass die Sperrung meines Accounts von gestern auf einem Fund meiner Daten vom 14.10. basierte. Zu diesem Zeitpunkt war mein Online-Account aber schon zum ersten Mal auf inaktiv gesetzt und neue TAN´s zur Reaktivierung waren noch per Post auf dem Weg zu mir. Wichtig ist aber, dass alle hier durchgeführten Check´s, Log´s, Scan´s erst nach dem zweiten Fund durchgeführt wurden. Wenn also auf meinem privaten Rechner was drauf war, haben wir´s ggf. durch die dann durchführten Aktionen gereinigt!?!? |
Zitat:
|
Nein. natürlich nicht. Die berufen sich auf ihr internes Sicherheitszentrum, und die wollen über ihre "Ermittlungsmethoden" nichts verraten... Man hat mir allerdings angeboten, dass ich auf Chip-Tan umstellen soll, weil damit dann die Sperrungen aufhören würden. Tangenerator kann ich für 10 EUR kaufen. Aktuell ist die Nachfrage nach diesen Teilen sehr hoch (vermutlich weil ein Zugang nach dem anderen gesperrt wird) und die Lieferung würde bis Ende Nov. dauern. Hab zwar mal kurz gedacht, ob die Bank das ganze "nur insziniert", um ihre Kunden von i-Tan auf Chip-Tan umzustellen (vermutlich verdienen die auch an den Tangenerator); allerdings kann ich mir derartige Geschäftspraktiken bei der Sparkasse nur schwer vorstellen. SuperAntiSpyware, Malwarebytes und AntiVir lieferte bei den letzten drei Checks keine Befunde. Meinst Du es macht Sinn, dass Du nochmal nen Blick auf ein aktuelles OTL-Log wirfst? Oder fällt Dir sonst ein Check ein? Bin halt irgendwie noch verunsichert, dass hier doch noch irgendwo was lauert. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:28 Uhr. |
Copyright ©2000-2025, Trojaner-Board