Ist mein Rechner infiziert?

#1 Hallo,

als ich mich heute bei meiner Bank online für das Online Banking einloggen wollte, teilte man mir mit, dass mein Konto für das Online Banking gesperrt sei. Ich rief bei meiner Bank an und dort teilte mir ein Experte mit, dass man im Internet meine Bankdaten + PIN gefunden hat und deswegen sicherheitshalber mein Konto für das Online Banking gesperrt habe.
Ich soll nun meinen Rechner scannen und dann ein Fax abschicken, dass mein PC wieder clean ist und ich neue Online Banking Zugangsdaten bekomme.

Habe zuerst mit KAV gescannt. Es wurden 3 Trojaner gefunden, aber nur die exe dateien - sonst keine gefährlichen Registry Einträge oder ähnliches laut KAV.
Ich konnte alle 3 Dateien anstandslos durch KAV löschen lassen!
Ich bin mir auch sicher, dass ich die gefundenen Dateien nie ausgeführt habe und die nur auf meinem Rechner lagen...

KAV Logfile + weitere LogFiles als txt Datei im Anhang.


Danke schonmal im Voraus!

#2 Entferne auf C:\ Qoobox-->Papierkorb leeren

Download
CleanUp
Wenn man CleanUp weiter benutzen will das haeckchen bei Delete Prefetch files entfernen!
Anleitung: http://www.virus-protect.org/cleanup.html

Systemwiederherstellung
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)

Scanne mal mit Panda Online
http://board.protecus.de/t8642.htm
__________
MfG Argus

#3 Ok hab CleanUp wie beschrieben durchgeführt.

Der Scan von Panda Online lieferte noch folgenden Befund:

Code

Incident
Potentially unwanted tool: Application/NirCmd.A
Status: Not disinfected
Location: C:\WINDOWS\NirCmd.exe

Online malware Scan von Jotti LogFile:

Code

Service load:  0%        100%  
 
File:  NirCmd.exe  
Status:  INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)  
MD5:  c1c4f864edf67dfda95b9819263e2939  
Packers detected:  - 
Bit9 reports:  High threat detected (more info)  

Scan taken on 24 Oct 2007 09:02:44 (GMT)  
A-Squared  Found nothing 
AntiVir  Found APPL/NirCmd.1
ArcaVir  Found nothing 
Avast  Found nothing 
AVG Antivirus  Found nothing 
BitDefender  Found nothing 
ClamAV  Found nothing 
CPsecure  Found nothing 
Dr.Web  Found nothing 
F-Prot Antivirus  Found nothing 
F-Secure Anti-Virus  Found nothing 
Fortinet  Found nothing 
Kaspersky Anti-Virus  Found nothing 
NOD32  Found nothing 
Norman Virus Control  Found nothing 
Panda Antivirus  Found Application/NirCmd.A
Rising Antivirus  Found nothing 
Sophos Antivirus  Found nothing 
VirusBuster  Found nothing 
VBA32  Found nothing 

Was nun? Hab die Datei "NirCmd.exe" noch nicht gelöscht.

#4 NirCmd.exe gehört zum ComboFix

Soll das heissen das routercontrol viren in sich hat?
__________
MfG Argus

#5 Ok - Aber wieso meldet Panda dann, es sei ein Schädling?

Die Version von Router-Control war eine modifzierte aus dem Web.

Ach ja, hier noch ein Screenshot von KAV. Was hat es mit dem iexplorer da aufsich - Fehlmeldung?



nur ein auszug als code:

Code

23.10.2007 21:03:10    Prozess C:\Programme\Internet Explorer\iexplore.exe (PID: 832): verdächtige Aktion. Versuch zum Schreiben die Parameter der Plug-Ins für den Browser Microsoft Internet Explorer (Schlüssel HKEY_USERS\S-1-5-21-1214440339-1604221776-839522115-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser, Wert {F2CF5485-4E02-4F68-819C-B92DE9277049}, Daten 85 54 cf f2 02 4e ...

Code

gefunden: potentiell gefährliche Software Internet Browser Control    Prozess: C:\Programme\Internet Explorer\iexplore.exe

#6 Über Kaspersky weiss ich nichts aber
Dein Java software ist veraltet,
Download jre-6u3-windows-i586-p.exe
Scrolle runter nach ----> Java Runtime Environment (JRE) 6 Update 3
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf Download
Setze in haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6u3-windows-i586-p.exe” zum Desktop zu installieren
Schliesse alle Programme auch dein Webbrowser
Ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> jre-6u3-windows-i586-p.exe
__________
MfG Argus

#7 Ok, Danke!

Ist mein Rechner denn nun wieder sicher für Online Banking? Oder muss ich weiterhin Angst haben, dass jemand meine Bankdaten + PIN abliest und verbreitet?

#8 Neben dein Virenscanner solltest du auch noch ein Spywarescanner benutzen
z.b. AVG AntiSpyware http://board.protecus.de/t29853.htm
Und keine Bilder in MSN

Zitat

gelöscht: trojanisches Programm Backdoor.Win32.IRCBot.aaq Datei: C:\Dokumente und Einstellungen\***\Eigene Dateien\Meine empfangenen Dateien\photos.zip/photos album-2007-5-26.scr

__________
MfG Argus

#9

Zitat

Ok - Aber wieso meldet Panda dann, es sei ein Schädling?

Zitat

Potentially unwanted tool: Application/NirCmd.A

Panda meldet dieses Programm nicht als "Schaedling", sondern als potentieller Gefahrentraeger. Die meisten "hausgemachten" Programme wie ComboFix enthalten solche Tools um deren Funktionen fuer das jeweilige Programm zu nutzen (Bei Smitfraudfix ist es die process.exe).

Es ist lediglich ein Hinweis darauf, dass dieses Programm schaden anrichten kann. Deswegen werden diese auch nicht entfernt.

Wenn Du IRC nutzt dann wirst Du feststellen, dass mIRC auch als potentieller Schaedling gehandelt wird, da es Bots gibt, die dieses Programm zur Verbreitung nutzen und damit mIRC zum potentiellen Gefahrentraeger machen.

Zitat

Was hat es mit dem iexplorer da aufsich - Fehlmeldung?

Code

23.10.2007 21:03:10    Prozess C:\Programme\Internet Explorer\iexplore.exe (PID: 832): verdächtige Aktion. Versuch zum Schreiben die Parameter der Plug-Ins für den Browser Microsoft Internet Explorer (Schlüssel HKEY_USERS\S-1-5-21-1214440339-1604221776-839522115-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser, Wert {F2CF5485-4E02-4F68-819C-B92DE9277049}, Daten 85 54 cf f2 02 4e ...

Auch hier handelt es sich nicht um den IE selber, sonder ein vom IE genutzten Browser Toolbar / Plugin. Diese koennen durch driveby Malware Installationen, oder aber auch durch Adware installierte Elemente sein, die als Gefahrentraeger / Gefahrenpunkt erkannt wurden. Leider ist ein wichtiger Teil abgeschnitten und daher kann ich nicht genauer darauf eingehen.

Hope this helps.

YoHi
__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)

#10 Der Scan mit AVG AntiSpyware hat nur Cookies gefunden, die als etwas risikoreich eingestuft wurden. Erfolgreich gelöscht.

Habe bereits mit folgenden Scannern mein System geprüft:
AdAware
A-Squared Free
Spybot Search & Destroy
KAV
Panda Online Scan

Es wird nichts mehr gefunden. Kann ich sonst noch etwas tun, um sicher zu gehen?
Muss meiner Bank mitteilen, dass mein Rechner wieder clean ist, damit ich neue Online Banking Daten bekomme...

#11 Systemwiederherstellung
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)
__________
MfG Argus

#12 Ok Danke - Nun kann ich wieder sicher Online Banking benutzen?

#13 Wioe ist es mit dein English? http://www.diamondcs.com.au/software.php
__________
MfG Argus

#14

Zitat

Arnold postete
Wioe ist es mit dein English? http://www.diamondcs.com.au/software.php

Ja kann Englisch verstehen. Was genau soll ich mit dem Link anfangen?

#15 Den Processguard
http://www.diamondcs.com.au/processguard/screenshots.php
__________
MfG Argus