Hm, hast du den Scanner von Microfot (Security Essentials) drauf? :confused:

ja, den Microfot (Security Essentials) habe ich seit ein paar Tagen installiert, bevor ich gepostet habe und in der Hoffnung auf neue Ergebnisse. Hatte in einem anderen gozi Thread darüber gelesen und nichts Nachteiliges von Eurer Seite dazu gefunden.
Wie ich die Sache sehe - und wenn ich von Deiner Seite keinen gegenteiligen Rat bekomme - kommt der aber wieder runter, sobald wir hiermit durch sind; Spybot habe ich dann ebenfalls vor zu deinstallieren. Ich wollte nur nicht vorgreifen und eigenmächtig etwas ändern, seitdem Du Dich um eine Lösung des Problems bemühst - hatte schließlich gelesen, dass das nicht unbedingt gut ankommt.
Dann hätte ich nur noch die Windoos Firewall und Antivir aktiv und werde mich durch Deine/Eure generellen Anleitungen arbeiten, einer Kompromittierung künftig noch besser aus dem Weg zu gehen.

...bin morgen früh online und dann am abend wieder. ebenso mittwoch.

Nein, der von MS ist okay, ich wollte nur wissen, ob du den wirklich installiert hast oder ob sich Schädlinge evtl. als MSSE tarnen.

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Puh, da fällt mir schon mal ein großer Stein vom Herzen. Danke für Deine Mühen schon mal an dieser Stelle!
Habe die Scans durchgeführt: Malwarebytes war sauber, SuperAS hat noch zwei Trojaner entdeckt in Programmen, die ich eigentlich sowieso nicht benutze. Hier die Logs:


Ein paar Fragen zum Abschluss habe ich noch:
1 wenn ich das richtig sehe, hatte sich gozi in der Autoexec.bat eingenistet und einen alternate data stream möglich gemacht, über den daten von meinem Rechner versendet wurden bzw. über den Daten auf meinen Rechner gelangen konnten?

2 Was ist mit diesem und ähnlichen Hosts, die im Otl Log aufgeführt sind?
O1 - Hosts: 127.0.0.1 100sexlinks.com
Hatte das auch mit gozi zu tun oder war es ein anderer Trojaner?

3 Muss ich jetzt alle Passwörter neu vergeben, die ich in der letzten Zeit benutzt habe? Also alle mit denen ich mich aktiv eingeloggt habe und alle mit denen sich Programme automatisch eingeloggt haben wie Outlook express oder FileZilla?

4 Wie gefährdet sind die Kreditkartendaten, die ich während der Kompromittierung auf Amason eingegeben habe?

5 ich hatte in einem anderen gozi Thread gelesen, dass angeschlossene Datenträger (extere Festplatten, Usb Sticks, gebrannte Cds zur Datensicherung) nicht befallen werden, kann ich die nun wieder gefahrlos anschließen und verwenden?

Das von SASW sieht nach Fehlalarmen aus.

Wie genau kommst du darauf?

Kommt wohl durch die Immunisierung mit Spybot.

Ja, den Hinweis hätte ich so oder so aber noch gegeben.

Man sollte davon ausgehen, dass diese bekannt sind.

Hast du diese nicht mit Malwarebytes und/oder einem Virenscanner überprüft?
Automatische Wiedergabe auf allen Datenträgern deaktiviert?

Danke für die Antworten.

zu 1 nochmal: Du hattest mir das otl custum fix geschrieben, welches sich unter anderem auf die autoexec.bat bezog, daher meine Mutmaßung. Ich würde schon gern nachvollziehen, wo und wie sich das Biest versteckt hatte, dass es nicht mehr von Antivir oder Malwarebytes gefunden wurde, und woran ich es hätte erkennen können, um in Zukunft in diesem Punkt wachsamer zu sein (neben neuen Maßnahmen zur besseren Vorbeugung). Ich bin immer noch sauer, dass die mir meine Bank die Erkenntnis von meiner Kompromittierung bis zu meiner eher zufälligen Nachfrage fast 3 Wochen später verschwiegen hat; hätte ich vorher davon erfahren, hätte ich z.B. die neue Kreditkarte gar nicht benutzt...

zu 5: externe Datenträger habe ich noch nicht überprüft - ich bin gar nicht mehr sicher, ob ich die externe Festplatte in der Zeit überhaupt verwendet habe. Die automatische Wiedergabe hatte ich seit kurzem über "Gruppenrichtlinie - Computerkonfiguration - Administrative Vorlagen - Windows-Komponenten" für alle Laufwerke deaktiviert. Damit kann ich die Laufwerke also jetzt eingermaßen gefahrlos anschließen und Malwarebytes, MicrofotSE oder SuperAS (solange die noch installiert sind) drüber laufen lassen, oder soll ich vorher noch den flashDisinfector verwenden?

Nee, die autoexec.bat hab ich wohl versehentlich als Mülleintrag gewertet. In dem Bereich im OTL-Log befinden sich fast immer müllige Mountpoints2, die man bedenkenlos löschen kann, v.a. wenn man da Reste von wahrscheinlich infizierten Platten oder USB-Sticks wahrnimmt. Wahrscheinlich ist die autoexec.bat deswegen mit reingekommen, aber die ist eh ein Relikt aus grauer DOS-Zeit und schon lange nicht mehr nötig.

Wenn die automatische Wiedergabe deaktiviert ist, solltest du sie gefahrlos anschließen können - theoretisch. Ich meine mal gelesen zu haben, dass das u.U. nicht ausreicht und Platten und USB-Sticks dennoch den Aurorun drin haben (danke MS :mad:) :stirn:

Deswegen hab ich diesen Baustein mal geschrieben:

Autorun auf allen Laufwerken deaktivieren
Ich empfehle, den Autorun grundsätzlich zu deaktivieren. Falls Du einen verseuchten Stick dransteckst und der Virenscanner erkennt das nicht hast Du den Salat.

Um den zu deaktivieren hab ich mal die noautoplay.reg hochgeladen. Lad das mal auf dem Desktop herunter, führ die Datei aus und bestätige mit ja. Nach einem Neustart des Rechners ist die automatische Wiedergabe (von Datenträgern) auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.

Hi Arne,

hm, wo lag der Schädling denn dann? waren es Reste des eigentlich schon gelöschten comsgfat.dll oder das unsichtbare Verzeichnis TEMP:5F64C164??

Danke jedenfalls für die Hilfe. Ich werde alle exteren Speichermedien scannen und mich danach an Deine Sicherheitstipps halten, die ich schon in anderen Beiträgen gelesen habe.

Wenn alles wieder läuft und die Bank keine neuen Bedenken hat, melde ich mich nochmal abschließend (kann aber etwas dauern). Ich werde mich ebenfalls für die Hilfe über Euer Trojaner-Board - Spendenkonto erkenntlich zeigen!

Gruß,
Chriss

...bevor Du meinen Vorgang nachher nicht mehr vor Augen hast:
war mein System überhaupt mit Gozi kompromittiert?

Danke.

Wenn war der es hier. Mit OTL und CF wurden aber noch weitere müllige bzw. womöglich virulente Dateien gelöscht.

aha, alles klar. Danke.

noch eins: ich habe immer noch einen "unkown boot code" mit dem bootkit remover, aber ich denke, das liegt an ein paar Feineinstellungen, die ich irgendwann einmal gemacht habe (timeout, geladene Dienste, etc.) und ist kein Grund zur Beunruhigung... ist dem so?

Der Bootkit Remover ist nicht perfekt. MBRCheck zeigt saubere MBR an.
Timeouts und Dienste haben rein garnichts mit dem MBR zu tun.