Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   postbank 50 tans-trojaner (https://www.trojaner-board.de/94604-postbank-50-tans-trojaner.html)

medilearner 08.01.2011 23:20
postbank 50 tans-trojaner
 
Hallo Liebes Forum Team,
ich habe, wie so einige hier, mir den Postbank-Tan-Trojaner eingefangen.
Wie das ganze aussieht, erspare ich euch also und komme gleich zur sache.
Hoffe, ihr könnt mir, wie den ganzen anderen auch, helfen.
Als Antivirus-Software benutze ich AVG.free. Diese hat aber nichts gefunden.

Hier also die abgearbeitete Checkliste. (Logfiles als Zip-Datein)
Bei der OTL-Geschichte ging wohl irgendwas schief --> hatte Probleme mit dem w-lan und dann hat sich der Laptop auch noch ins stand by verabschiedet.
Wollte aber mit einem zweiten Durchgang warten, ob das so einfach geht, bzw was ihr dazu sagt.

Danke schon mal im Voraus.
(ich hoffe, ihr könnt mir schnell helfen, muss ne Rechnung bezahlen - via online-banking ;-) )

cosinus 09.01.2011 17:10
Zitat:
Art des Suchlaufs: Quick-Scan
Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

medilearner 09.01.2011 17:24
dachte, ich hab das im anhang drin....
oder ging da was schief beim upload?

cosinus 09.01.2011 17:30
Sry aber ich wollte einen Vollscan sehen, in deiner ZIP sieht man nur den Quickscan.
Poste auch alle etwaigen anderen Logs von MBAM, die du im Reiter Logdateien siehst.

medilearner 09.01.2011 17:33
achso, ok.
hab den vollscan grad angeschmissen.

medilearner 09.01.2011 17:34
ah ok, danke
habs grad angeworfen

medilearner 09.01.2011 19:12
erstmal sorry, wegen dem doppel-post.
irgendwie hat das gehangen bei mir.

also, hier der log-bericht:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5488

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

09.01.2011 19:10:16
mbam-log-2011-01-09 (19-10-16).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 217936
Laufzeit: 1 Stunde(n), 36 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

cosinus 09.01.2011 19:31
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
O27 - HKLM IFEO\userinit.exe: Debugger - C:\WINDOWS\system32\defkvideo.exe ()
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

medilearner 09.01.2011 19:46
alles klar, hab ich gemacht.

hier das logfile:

All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\ deleted successfully.
File move failed. C:\WINDOWS\system32\defkvideo.exe scheduled to be moved on reboot.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Juliane
->Temp folder emptied: 22726 bytes
->Temporary Internet Files folder emptied: 3642234 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 103284869 bytes
->Flash cache emptied: 2957 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 218112 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 102,00 mb


OTL by OldTimer - Version 3.2.20.1 log created on 01092011_193811

Files\Folders moved on Reboot...
C:\WINDOWS\system32\defkvideo.exe moved successfully.

Registry entries deleted on Reboot...

cosinus 09.01.2011 19:50
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

medilearner 09.01.2011 20:08
hab das mit dem cc-cleaner gemacht
aber cofi will, dass ich avg - mein anti-virus-programm- deinstalliere.

wollte ich auch machen.
dabei kam aber folgende fehlermeldung:

Arbeitsplatz: Installation fehlgeschlagen
Installation:
Fehler: Aktion Registryschlüssel HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows: Erstellen eines Registry-Schlüssels... fehlgeschlagen.
Error 0x80070005


das deinstallieren war also erfolglos.
:-(

cosinus 09.01.2011 20:13
Es gibt da spezielle AVG-Remover, die das Programm deinstallieren, wenn es auf dem normalen Weg nicht funktioniert.
Schau mal hier => AVG - Tools-Download

medilearner 09.01.2011 20:16
danke, ich probiers nochmal

medilearner 13.01.2011 18:26
hm, war wohl nix
dank des avg-removers fährt mein laptop nun gar nicht mehr hoch und ich musste ihn zum datensichern wegbringen :-(


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:25 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19