|
Online-Banking wegen Trojaner "gozi" gesperrt Nachdem ich nun seit einiger Zeit hier verfolge, dass es hier offensichtlich sehr kompetente Hilfe gibt, hier auch mein Problem mit der Bitte um Hilfe: Meine Bank hat mir mitgeteilt, dass am 15.10.10 meine Login-Daten ausgespäht worden sind. Lt. Bank ein "gozi"-Trojaner. Ich bin dabei, auf einem "sauberen" Rechner alle relevanten Passwörter usw. zu ändern, möchte aber den befallenen Rechner säubern, möglichst ohne Neuinstallation. Ich habe, nachdem das hier empfohlen wird, sowohl Malwarebytes als auch OTL installiert und laufen lassen. Die entsprechenden Log-Dateien hänge ich an. Heute habe ich, nachdem Avir nichts findet, Ad-Aware laufen lassen. Das hat gefunden: "Win32.Backdoor.Papras/A". Gibt es eine Chance, das System ohne Neuinstallation zu säubern; wer kann mir dabei helfen? |
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
Erst mal Danke für die Antwort. Bevor ich das ausführe: Sollte ich vorab meine wichtigen Daten noch einmal sichern, denn das ist bereits ein paar Tage her? Wenn ja, werde ich erst morgen Abend weitermachen können. Gruß wolly0209 |
Ja, Datensicherung vorher ist immer eine gute Idee :D |
Hallo Arne, Daten gesichert und OTL ausgeführt. LOG-File ist angehängt: All processes killed ========== OTL ========== Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{32a4dd04-4940-11dd-ba91-00010349a7e0}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32a4dd04-4940-11dd-ba91-00010349a7e0}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{32a4dd04-4940-11dd-ba91-00010349a7e0}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32a4dd04-4940-11dd-ba91-00010349a7e0}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{32a4dd04-4940-11dd-ba91-00010349a7e0}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32a4dd04-4940-11dd-ba91-00010349a7e0}\ not found. File J:\LaunchU3.exe not found. Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\regscmgr:C:\WINDOWS\system32\clicepad.dll deleted successfully. C:\WINDOWS\system32\clicepad.dll moved successfully. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32768 bytes User: xxxx ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32768 bytes ->Flash cache emptied: 405 bytes User: LocalService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 3613120 bytes User: NetworkService ->Temp folder emptied: 295392 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: xxxxx ->Temp folder emptied: 5141015 bytes ->Temporary Internet Files folder emptied: 15683964 bytes ->Flash cache emptied: 32810 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 19569 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 0 bytes RecycleBin emptied: 12271741 bytes Total Files Cleaned = 35,00 mb OTL by OldTimer - Version 3.2.16.0 log created on 10252010_162306 Files\Folders moved on Reboot... C:\Dokumente und Einstellungen\xxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AHG9VD03\adsCAYCQU5T.htm moved successfully. C:\Dokumente und Einstellungen\xxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4EVLD3UQ\92175-online-banking-wegen-trojaner-gozi-gesperrt[1].html moved successfully. C:\Dokumente und Einstellungen\xxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2SH89C8D\adsCAI4NSE9.htm moved successfully. Registry entries deleted on Reboot... Weiter geht's! Danke wolly0209 |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Hallo Arne, alles so ausgeführt. Der Inhalt der ComboFix.txt sieht so aus: Code: ComboFix 10-10-25.01 - xxxxx 26.10.2010 7:00.1.1 - x86Danke wolly0209 |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Downloade Dir anschließend bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Hallo Arne, alle drei Prgramme ausgeführt. Gmer.txt ist angehängt, Osam.log hier: Code: Report of OSAM: Autorun Manager v5.0.11926.0Gruß wolly0209 |
Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus. Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen) Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus mbrcheck und gmer nochmals aus und poste die Logs. |
Hallo Arne, beides so durchgeführt. Gmer.txt und MBRCheck.txt sind angehängt. Kann es sein, dass die Meldung in MBRCheck sich auf die zweite im Rechner befindliche Festplatte bezieht? Gruß wolly0209 |
Starte bitte MBRCheck.exe erneut. Diesmal tippe in das Fenster folgendes ein und bestätige jede Eingabe mit Enter bei
Nun findest Du 2 MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop. Poste mir den Inhalt von beiden .txt Dokumenten |
Hallo Arne, ausgeführt wie von Dir beschrieben. Die zwei MBRCheck.txt sind angehängt. Gruß wolly0209 |
Wofür nutzt die 2. Festplatte eigentlich? Die 2. Platte ist bei Dir Laufwerk F: |
Hallo Arne, ich nutze die 2. Festplatte zur Speicherung von Musikalben. Dazu gleich noch eine Frage: Ich habe auch noch eine externe Festplatte (I:) dranhängen. Müsste die (oder ist sie) mit geprüft werden? Außerdem habe ich im fraglichen Zeitraum des Trojanerbefalls auch einen USB-Stick benutzt. Muss der auch eprüft werden und wenn ja, wie geht das? Danke für Deine weiteren Bemühungen. Gruß wolly0209 |
Ok. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! Den Stick kannst Du natürlich auch mit Malwarebytes prüfen lassen! |
Hallo Arne, ich wollte nur mal eine Zwischenmeldung geben, denn SUPERAntiSpyware läuft jetzt schon seit gut 19 Stunden, arbeitet fröhlich vor sich hin und hat inzwischen nach den internen Platten auf der externen Festplatte (500 GB) über die Hälfte abgearbeitet. Bisher wurden aber nur 20 Adware.Tracking Cookies gefunden. Danach werde ich Malwarebytes laufen lassen und die Ergebnisse posten. Gruß wolly0209 |
Hallo Arne, so jetzt kann ich endlich die Ergebnisse posten: Hier die log-Datei von SUPERAntiSpyware: Code: SUPERAntiSpyware Scan LogGruß wolly0209 |
Sieht ok aus, da wurden nur Cookies gefunden. Noch Probleme oder weitere Funde in der Zwischenzeit? |
Hallo Arne, habe noch einmal Ad-Aware mit einem Vollscan laufen lassen. Das hat 2 Funde für "Backdoor.Win32.Papras.rx(V)" gemeldet und in Quarantäne gestellt. Das Scanprotokoll habe ich angehängt. Ich hoffe, dass es sich nur um die bereits einmal in Quarantäne verschobenen Dateien handelt. Gruß wolly0209 |
Das sind nur Überreste. Einmal in der Systemwiederherstellung, und der andere Fund im Quarantäneordner von OTL, dort ist das harmlos weil isoliert. Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde. |
Hallo Arne, ich habe die Systemwiederherstellung deaktiviert. Soll die jetzt wieder aktiviert werden? Kann ich also davon ausgehen, dass mein System wieder "clean" ist? Trotzdem habe ich noch einige Fragen: 1. Welche der im Laufe der Aktion installierten Programme und vor Allem welche Daten kann/oder soll ich löschen? 2. Ist es sinnvoll, CCleaner zu behalten und in Abständen mal laufen zu lassen? 3. Ich habe Avira AntiVir Personal installiert und als Guard aktiviert. Das hat aber nichts angezeigt. Nachdem ich Ad-Aware (das habe ich auch installiert, aber nicht aktiv laufen) habe laufen lassen, hat dies die Malware erkannt. Welches der beiden Programme sollte ich denn behalten? 4. Hast Du noch ein paar Tipps für die Sicherheit? Gruß wolly0209 |
Zitat:
Zitat:
Zitat:
Zitat:
Halte Dich am besten grob an diese fünf Regeln: 1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!! 2) Halte Windows und alle verwendeten Programme immer aktuell 3) Führe regelmäßig Backups auf externe Medien durch 4) Arbeite mit eingeschränkten Rechten 5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar? |
Hallo Arne, letzte (hoffentlich) Frage: Auf der Festplatte ist mit c:\qoobox ein Ordner vorhanden, der mir so gar nichts sagt und einen Unterordner namens "quarantine" beinhaltet. Auf einen anderen vorhandenen Unterordner "BackEnv" kann ich nicht zugreifen. Kann/muss der so stehen bleiben oder kann der gelöscht werden? Danke für die Antwort. Ansonsten kann ich mich nur herzlich bedanken und das Board weiterempfehlen. Ich werde mich im Spendenkonto noch erkenntlich zeigen. Gruß wolly0209 |
Qoobox ist von CF, der kann bleiben muss aber nicht. Ansonsten wären wir durch! :abklatsch: Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
Hallo Arne, danke für die weiteren Tipps. Übrigens: Beim download des Foxit PDF Reader hat mein Avira sich gemeldet: APPL/Agent.4085.C Ich habe daraufhin auf den download verzichtet und mir SumatraPDF heruntergeladen. Ich gehe mal davon aus, dass das auch vernünftig funktioniert. Gruß wolly0209 |
Der FoxitReader ist keine Malware! Von wo hast Du den runtergeladen? Wenn von der offiziellen Seite, ist das ein Fehlalarm. |
Hallo Arne, ich habe den Link in Deinem Beitrag benutzt. Ich habe es eben gerade noch einmal probiert und es kam kein Hinweis von Avira, download hat also funktioniert. Welchen der beiden Reader sollte ich denn nutzen? Danke für die Antwort und damit können wir das Thema hier dann wohl beenden! ganz freundliches letztes großes Dankeschön wolly0209 |
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:50 Uhr. |
Copyright ©2000-2025, Trojaner-Board