![]() |
online banking dank gozi gesperrt Hallo, mir wurde von meiner Bank das Onlinebanking gesperrt, weil der Trojaner Gozi meine Daten ausgespäht haben soll. Ich bin nicht sicher, ob sich das auf meinem Rechner befindet, da ich auch andere zum Online-Banking benutzt habe. ich habe mit Antivir nichts gefunden und dann Malwarebytes benutzt und folgendes Logfile erhalten: Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 5455 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.11 04.01.2011 12:57:29 mbam-log-2011-01-04 (12-57-29).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 294938 Laufzeit: 2 Stunde(n), 34 Minute(n), 35 Sekunde(n) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 15 Infizierte Registrierungswerte: 6 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 5 Infizierte Speicherprozesse: c:\programme\application updater\applicationupdater.exe (PUP.Dealio) -> 676 -> Unloaded process successfully. Infizierte Speichermodule: c:\programme\gemeinsame dateien\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Application Updater (PUP.Dealio) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} (Rogue.WinAntiVirus) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (PUP.Dealio) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\AppID\activex.DLL (Adware.180Solutions) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055FD26D-3A88-4e15-963D-DC8493744B1D} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{055FD26D-3A88-4e15-963D-DC8493744B1D} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\TypeLib\{77D6DDFA-7834-4541-B2B3-A8B0FB0E3924} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{7558E739-8E7C-44BB-BCE7-1BF0D72B7026} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\ToolBand.XTTBPos00.1 (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\ToolBand.XTTBPos00 (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055FD26D-3A88-4E15-963D-DC8493744B1D} (Trojan.BHO) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\APPLICATION UPDATER\APPLICATIONUPDATER.EXE (PUP.Dealio) -> Value: APPLICATIONUPDATER.EXE -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\GEMEINSAME DATEIEN\SPIGOT\WTXPCOM\COMPONENTS\WIDGITOOLBARFF.DLL (Adware.WidgiToolbar) -> Value: WIDGITOOLBARFF.DLL -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Value: {B922D405-6D13-4A2B-AE89-08A030DA4402} -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Value: {B922D405-6D13-4A2B-AE89-08A030DA4402} -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{90B8B761-DF2B-48AC-BBE0-BCC03A819B3B} (Adware.Zango) -> Value: {90B8B761-DF2B-48AC-BBE0-BCC03A819B3B} -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{90B8B761-DF2B-48AC-BBE0-BCC03A819B3B} (Adware.Zango) -> Value: {90B8B761-DF2B-48AC-BBE0-BCC03A819B3B} -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\programme\application updater\applicationupdater.exe (PUP.Dealio) -> Quarantined and deleted successfully. c:\programme\gemeinsame dateien\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully. c:\programme\pdfforge toolbar\IE\4.1\pdfforgetoolbarie.dll (PUP.Dealio) -> Quarantined and deleted successfully. c:\programme\pdfforge toolbar\widgihelper.exe (PUP.Dealio) -> Quarantined and deleted successfully. c:\programme\icqtoolbar\toolbaru.dll (Trojan.BHO) -> Quarantined and deleted successfully. Die Frage wäre nun, war das der besagte Trojaner und wenn ja, reicht das so und kann ich es nun dabei belassen? danke im Voraus! Ninas |
Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
|
Hallo Arne, danke für die schnelle Antwort-OTL hat gescannt, allerdings speichert es mir keine logfiles, nur 2 leere Editor-Fenster-was mache ich falsch?? |
Probiers nochmal. Eigentlich müssten die Logs auch auf dem Desktop sein. Du hast XP und führst es als Admin aus? Dann musst du auf dem Desktop des Benutzers auch schauen, der OTL ausgeführt hat! |
das klappt nicht-egal auf welchem desktop ich gucke-sagt immer, datei...txt. kann nicht gefunden werden" neu erstellen? und egal ob ich ja, nein oder abbrechen klicke, ich krieg nur 2 leere editor fenster. was kann ich da tun?? |
Wie führst du die Datei aus? Per Doppelklick oder per Rechtsklick ausführen als? |
Danke, ich glaube das Ausführen war tatsächlich das Problem. Ich habe die logs mal angehängt-bin gespannt, ob das was aussagt?? Grüße :) |
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTL Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
Hallo, dankeschön! hier nun das file: All processes killed ========== OTL ========== Service ICQ Service stopped successfully! Service ICQ Service deleted successfully! C:\Programme\ICQ6Toolbar\ICQ Service.exe moved successfully. Service vsdatant stopped successfully! Service vsdatant deleted successfully! C:\WINDOWS\system32\vsdatant.sys moved successfully. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\ deleted successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3685f1c0-611b-11db-9021-00030d1cb05e}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3685f1c0-611b-11db-9021-00030d1cb05e}\ not found. File MSOCache\doWTP_RESTORE.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3685f1c0-611b-11db-9021-00030d1cb05e}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3685f1c0-611b-11db-9021-00030d1cb05e}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9c3a67c0-3472-11dd-a0e2-00030d1cb05e}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9c3a67c0-3472-11dd-a0e2-00030d1cb05e}\ not found. File 3wcxx91.cmd not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9c3a67c0-3472-11dd-a0e2-00030d1cb05e}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9c3a67c0-3472-11dd-a0e2-00030d1cb05e}\ not found. File 3wcxx91.cmd not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9c3a67c0-3472-11dd-a0e2-00030d1cb05e}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9c3a67c0-3472-11dd-a0e2-00030d1cb05e}\ not found. File 3wcxx91.cmd not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9c3a67c1-3472-11dd-a0e2-000e35296756}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9c3a67c1-3472-11dd-a0e2-000e35296756}\ not found. File 3wcxx91.cmd not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9c3a67c1-3472-11dd-a0e2-000e35296756}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9c3a67c1-3472-11dd-a0e2-000e35296756}\ not found. File 3wcxx91.cmd not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9c3a67c1-3472-11dd-a0e2-000e35296756}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9c3a67c1-3472-11dd-a0e2-000e35296756}\ not found. File 3wcxx91.cmd not found. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 65670 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 65670 bytes ->Flash cache emptied: 0 bytes User: jani ->Temp folder emptied: 3640947635 bytes ->Temporary Internet Files folder emptied: 225347906 bytes ->Java cache emptied: 95484476 bytes ->FireFox cache emptied: 149896884 bytes ->Flash cache emptied: 2003283 bytes User: LocalService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 598107 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 39097 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 25074993 bytes RecycleBin emptied: 4139008246 bytes Total Files Cleaned = 7.895,00 mb OTL by OldTimer - Version 3.2.20.1 log created on 01052011_124835 Files\Folders moved on Reboot... Registry entries deleted on Reboot... Gruß, Nina |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
mir bleibt beim CCleaner eine nicht zu löschende Endung/Fehlermeldung übrig, das ist Folgende: Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} kann ich dennoch mit cofi fortfahren im nächsten Schritt? danke |
mir bleibt nach dem CCleaner in der Registry folgender Eintrag übrig: Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} ist das schlimm oder kann ich mit dem Cofi als nächsten Schritt weitermachen? danke!! |
nach dem CCleaner bleibt mir immer eine Sache übrig: Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} kann ich dennoch mit dem Cofi als nächsten Schritt fortfahren? danke!! |
Willst du die CCleaner-Anleitung vllt mal bis zum Ende komplett durchlesen? Dann hätte sich die Frage garnicht so gestellt :rolleyes: |
hier ist nun das logfile vom combofix: Combofix Logfile: Code: ComboFix 11-01-06.05 - xx 07.01.2011 11:38:09.1.1 - x86 Was sagt das jetzt aus? danke |
Alle Zeitangaben in WEZ +1. Es ist jetzt 21:30 Uhr. |
Copyright ©2000-2025, Trojaner-Board