Trojaner-Board - Gozi-Befall: Ausbreitung auf andere angeschlossenen Geräte bzw. Rechner im Netzwerk?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Gozi-Befall: Ausbreitung auf andere angeschlossenen Geräte bzw. Rechner im Netzwerk? (https://www.trojaner-board.de/93137-gozi-befall-ausbreitung-andere-angeschlossenen-geraete-bzw-rechner-netzwerk.html)

Gozi-Befall: Ausbreitung auf andere angeschlossenen Geräte bzw. Rechner im Netzwerk?

Hallo Forum!

Leider wurde auch mir von meiner Bank mitgeteilt, dass ich von dem Trojaner Gozi befallen sei. Mir wurde geraten, die Festplatte zu formatieren und das System neu aufzusetzen, was ich auch - nachdem ich bereits zahlreiche andere Forenbeiträge zu dem Thema gelesen habe - machen will.

Vorher stellen sich mir aber noch zwei wichtige Fragen:

1. Mein PC ist Teil eines Heimnetzwerkes, bestehend aus insgesamt 4 Rechnern, wobei einzelne Dateien im Netzwerk freigegeben sind. Genauso hatte ich in letzter Zeit auch eine externe Festplatte sowie verschiedene USB-Sticks angeschlossen. Kann sich Gozi "von alleine" auch auf diesen Geräten verbreiten und müssen diese nun ebenfalls formatiert werden???

2. Ist es möglich noch Daten zu retten, indem ich Sie z.B. auf eine externe Festplatte überspiele, oder laufe ich dann Gefahr auch den Trojaner zu behalten? Es handelt sich bei den zu rettenden Dateien hauptsächlich um wichtige MS Office-Dateien (inkl. Outlook pst-Dateien), PDFs, Bilder und mp3s. Außerdem noch Datensicherungen verschiedener Programme (Bank-Software, Depotverwaltungsprogramm, Projekt NetObjects Fusion 11 etc).

Natürlich habe ich wie viele andere hier auch den Fehler gemacht, nur auf die üblichen Windows-Sicherheitseinstellungen und auf meinen Virenscanner zu vertrauen... :( --> das wird sich in Zukunft ändern, versprochen!
Die zweite Partition "H" wurde von mir erst nach der Meldung der Bank erstellt, in der Hoffnung dort alle wichtigen Dateien speichern zu können und somit nur die Windows-Partition formatieren zu müssen. Nun bin ich aber total unsicher, ob das überhaupt etwas bringen würde (siehe Frage 1).

Im Anhang habe ich die beiden OTL Reports von meinem Rechner beigefügt.
Wäre super, wenn ihr mal drüber schauen und mir sagen könntet, wie ich jetzt am besten vorgehen soll :)
Schon mal vielen Dank im Voraus!!!

Gruß,
matze7

Hallo und :hallo:

Zitat:

Mir wurde geraten, die Festplatte zu formatieren und das System neu aufzusetzen, was ich auch - nachdem ich bereits zahlreiche andere Forenbeiträge zu dem Thema gelesen habe - machen will.

Ob format c: wirkich notwendig ist wage ich mal zu bezeifeln, ich hab hier schon einige Fälle gehabt wo die Bank das einfach behauptete, es aber keine Hinweise auf ein infiziertes System gab!

Hast du außer OTL auch schon malwarebytes ausgeführt? Wenn ja alle Logs posten, wenn nicht bitte nen Vollscan machen.

Zitat:

Kann sich Gozi "von alleine" auch auf diesen Geräten verbreiten und müssen diese nun ebenfalls formatiert werden???

Nimm den FlashDisinfector, der deaktiviert auf allen USB-Datenträgern die autorunfunktion. Das ist die Hauptinfektionsquelle von USB-Sticks und externen Platten. Es verhindert aber nur den automatischen Start, natürlich kannst du dir selbst virulente Dateien draufkopieren und diese auch manuell ausführen.

Zitat:

2. Ist es möglich noch Daten zu retten, indem ich Sie z.B. auf eine externe Festplatte überspiele, oder laufe ich dann Gefahr auch den Trojaner zu behalten

Reine Datendateien kann man immer gefahrlos sichern, denn ohne ausführbaren Code gibt es keine Schädlinge.

Hallo Arne,

vielen Dank für die schnelle Antwort!

Malwarebytes habe ich vergangenen Freitag ausgeführt, aber ohne Fund.
Vorher hatte ich auch das Programm aktualisiert.

Ich mache jetzt trotzdem noch einen neuen Durchlauf und sende dir dann alle Logs. Bis später!

Gruß,
Matze

Hier noch die letzten drei Logs von Malwarebytes

Gruß,
Matze

Malwarebytes hat nie was gefunden bei dir? :wtf:

Hallo Arne,

nein, zumindest nicht seitdem mich meine Bank auf den Trojaner aufmerksam gemacht hat.
Ansonsten hab ich Antivir drauf, der hat aber auch nichts gefunden.

Gruß,
Matze

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:

:OTL

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: xTiY611ckY = C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\AdobeFlashPlayerHD.exe File not found

[2010.11.20 09:00:10 | 000,000,000 | ---D | C] -- C:\WINDOWS\6FA6B9935E5A49DF8AA3A2BD0649F9A7.TMP

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

habe nun alles wie beschrieben ausgeführt.
Zur Info: Zunächst hatte ich Antivir nur deaktiviert, als ComboFix die Meldung machte, dass er immer noch aktiv sei, habe ich ihn kurzerhand deinstalliert und gerade eben wieder aufgespielt.

Im Anhang das Logfile.

Gruß,
Matze

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

GMER habe ich zweimal versucht, einmal davon im abgesicherten Modus wie in der Anleitung vorgeschlagen, hat aber beide Male nicht funktioniert, weil der Rechner sich nach einiger Zeit heruntergefahren hat.
Bei Osam habe ich den Online-Teil übersprungen.

Anbei die beiden anderen Logfiles.

Gruß,
Matze

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Beide Durchläufe waren wieder ohne Fund.
Anbei die beiden Logs.

Gruß,
Matze

Sieht ok aus, keine Funde :)
Noch Probleme oder weitere Funde in der Zwischenzeit?