Doch ein Schädling? |
||
---|---|---|
#0
| ||
20.03.2012, 09:44
...neu hier
Beiträge: 10 |
||
|
||
21.03.2012, 13:06
Member
Beiträge: 420 |
#2
Hi
1. Malwarebytes hast Du ja schon. Aktualisiere das Programmm mache einen Quick-Scan, lasse evtl. Funde entfernen und poste bitte das Log. 2. OTL http://oldtimer.geekstogo.com/OTL.exe Starte das Programm, setze Häckchen bei "Scanne alle Benutzer", "LOP Prüfung" und "Purity Prüfung", kopiere unten in das Script-Feld rein: Zitat msconfigund klicke auf Scan. Poste bittedie OTL.txt und Extras.txt |
|
|
||
21.03.2012, 14:57
...neu hier
Themenstarter Beiträge: 10 |
#3
Code Malwarebytes Anti-Malware (Test) 1.60.1.1000Das OTL-Programm ist auf Englisch bei mir. Soll ich da "Run Scan" oder "Quick Scan" durchführen? |
|
|
||
21.03.2012, 15:14
...neu hier
Themenstarter Beiträge: 10 |
#4
Ich habe mit dem OTL jetzt den Quick Scan durchgeführt. Ich hoffe, dass das passt.
Code OTL logfile created on: 21.03.2012 15:01:00 - Run 1 Code OTL Extras logfile created on: 21.03.2012 15:01:00 - Run 1 |
|
|
||
21.03.2012, 16:33
Member
Beiträge: 420 |
#5
Nun, ist tatsächlich Malware, die Online-Banking Daten stiehlt. Entweder sitzt noch was im MBR, oder Du holst Dir das Ding immer wieder selbst auf die Kiste, z. B. durch Installation unvertrauenswürdiger Programme. Generell empfehle ich für's Online-Banking die Benutzung einer Linux Version, z. B. sowas wie Knoppix: http://www.knoppix.org/
1. Starte OTL, kopiere unten in das Skript-Feld rein: Zitat
und klicke auf Run Fix. Poste bitte das Fix-Log. 2. Lade aswmbr von avast! herunter http://public.avast.com/~gmerek/aswMBR.exe Starte das Programm wähle "Ja" bei der Frage nach avast-Engine. Klicke auf Scan Klicke nach dem Scan auf Save Log, speichere es ab und poste es bitte hier (nichts "Fixen") |
|
|
||
21.03.2012, 17:42
...neu hier
Themenstarter Beiträge: 10 |
#6
Also ich weiß nicht, was MBR bedeutet, aber ich achte eigentlich viel genauer als früher drauf, was genau ich mir auf den PC packe. Ich glaube, es kommt von meiner Liebe fürs Rumsurfen und das viele Googlen... Und nein, ich bin auch nicht auf unanständigen Seiten unterwegs.
Danke für den Tipp mit Knoppix, ich werde es mir bei Gelegenheit anschauen. Code All processes killedLeider hat sich aswmbr beim Scannen aufgehängt mit: "avast Antirootkit! funktioniert nicht mehr [...] Programm schließen". Ich versuche es gleich nochmal! |
|
|
||
21.03.2012, 17:50
...neu hier
Themenstarter Beiträge: 10 |
#7
Leider hängt sich das Programm schon wieder auf, dabei habe ich alle unnötigen Programme sowie mein Antivir ausgeschaltet und den PC neugestartet...
|
|
|
||
21.03.2012, 20:32
Member
Beiträge: 420 |
#8
Hm, ok, dann lass aswmbr erstmal.
1. Folge nun dieser Anleitung http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird und poste das Log. |
|
|
||
22.03.2012, 10:05
...neu hier
Themenstarter Beiträge: 10 |
#9
Ach ja, nach OTL wurden meine Ordneroptionen zurückgesetzt, z.B. dass bekannte Dateitypenerweiterungen wieder ausgeblendet wurden. Ich hoffe, das ist normal, habe es aber wieder geändert.
Und wie gewünscht, die ComboFix-Log nach Anleitung. Bitte schön: Code ComboFix 12-03-22.01 - Hacer 22.03.2012 9:44.1.6 - x64Und ein Dankeschön zwischendurch für deine Hilfe! Vielleicht ist es nur Einbildung, aber es kommt mir vor, als arbeite mein PC seit gestern um einiges schneller, Internet lädt auch fixer usw. EDIT: Oh, ist das auch noch interessant? Das habe ich aus der Datei "ComboFix-quarantined-files.txt": Code 2012-03-22 08:54:29 . 2012-03-22 08:54:29 223 ----a-w- C:\Qoobox\Quarantine\Registry_backups\Wow6432Node-BHO-{6C680BAE-655C-4E3D-8FC4-E6A520C3D928}.reg.dat Dieser Beitrag wurde am 22.03.2012 um 10:30 Uhr von TxT editiert.
|
|
|
||
22.03.2012, 11:02
Member
Beiträge: 420 |
#10
Zitat Ach ja, nach OTL wurden meine Ordneroptionen zurückgesetzt, z.B. dass bekannte Dateitypenerweiterungen wieder ausgeblendet wurden. Ich hoffe, das ist normal, habe es aber wieder geändert.Jepp, ist normal. So, das Log von Combofix sieht gut aus, trotzdem möchte ich noch den MBR prüfen, um sich den Rücken frei zu halten. Da aswmbr nicht will, versuchen wir mal einen anderen: 1. Hol Dir bitte den RougueKiller http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe Stelle sicher, dass das Häckchen bei "MBR Scan" gesetzt ist. Klicke auf "Scan" Warte, bis der Scan beendet ist, klicke dann auf "Report" und poste das Log. Zitat EDIT: Oh, ist das auch noch interessant? Das habe ich aus der Datei "ComboFix-quarantined-files.txt"Das ist eine Auflistung dessen, was Combofix gemacht hat. Der Ordner Qoobox wird von dem Programm erstellt, dort werden dann Sicherungen des Gelöschten und diverse Logs abgespeichert. Ist vor allem dann interessant, wenn was schief geht. |
|
|
||
22.03.2012, 11:16
...neu hier
Themenstarter Beiträge: 10 |
#11
Mit dem Programm hats super funktioniert.
Code RogueKiller V7.3.2 [03/20/2012] by Tigzy |
|
|
||
22.03.2012, 11:33
Member
Beiträge: 420 |
#12
Ok, sieht gut aus. Dann noch einen letzten:
1. Eset Online Scanner http://www.eset.de/onlinescanner (hier sollte der Browser mit Rechtsklick als Administrator gestartet werden) Poste bitte nach Ende des Scans das Log, normalerweise zu finden unter C:\Programme\Eset\EsetOnlineScanner\log.txt |
|
|
||
22.03.2012, 13:35
...neu hier
Themenstarter Beiträge: 10 |
#13
Also, erstmal hats bei mir wieder rumgezickt und wollte nicht updaten aufgrund von Proxy-Einstellungen oder so. Dann hab ich mal in den Einstellungen von FF geguckt und tatsächlich war da komischerweise "Proxy-Einstellungen des Systems verwenden" aktiviert. Das hab ich auf "Kein Proxy" umgestellt... Daraufhin lief das Programm!
Code ESETSmartInstaller@High as downloader log: |
|
|
||
22.03.2012, 13:52
Member
Beiträge: 420 |
#14
Interessant, normalerweise zeigen sich solche Proxy-Einstellungen im OTL-Log, diese Malware war schlauer. Aber Ende gut, alles gut, Eset fand nur noch bereits gelöschtes Zeug in Quarantäne. Wenn der PC keine Probleme mehr macht, wären wir durch:
1. Starte OTL und klicke bitte auf Clean Up. OTL entfernt sich daraufhin selbst. 2. Ändere alle Deine Passwörter (E-Mail etc.), da möglicherweise die aktuellen abgeschöpft wurden. Für die Erstellung von sicheren Passwörtern und deren Verwaltung, empfehle ich ein Programm wie z.B. KeePass http://keepass.info/ 3. Halte Dein System auf dem neuesten Stand. http://secunia.com/vulnerability_scanning/personal/ kann dabei helfen (kostenlos). 4. Lies Dir das hier durch: http://malte-wetz.de/wiki/pmwiki.php/De/KompromittierungUnvermeidbar Fertig Gruß, gangren |
|
|
||
22.03.2012, 14:14
...neu hier
Themenstarter Beiträge: 10 |
#15
Erstmal vielen lieben Dank für deine Hilfe! Eigentlich habe ich keine Probleme derzeit, ich hoffe, das bleibt auch so.
Ich habe da aber noch eine kleine Frage. Ist dieser Eintrag von OTL eventuell auch infiziert? Code [2012.03.19 17:51:12 | 000,000,016 | ---- | C] () -- C:\Users\Hacer\AppData\Roaming\blckdom.resIn meinem Anfangspost hatte ich ja geschrieben, dass sich wohl beim Surfen etwas eingeschlichen hat. Das war so gegen 6 Uhr abends. Beim Fixen mit OTL hast du Einträge angegeben, bei denen die Uhrzeit 17:50 / 17:51 vom selben Tag davor steht. Die gleiche Uhrzeit steht auch vor oben genanntem Eintrag und befindet sich im selben Verzeichnis. Oder ist das Zufall? |
|
|
||
ich habe ein ungutes Gefühl, dass ich mir schon wieder etwas eingefangen haben könnte. Außerdem bin ich gestern beim Surfen auf einer Seite gelandet, woraufhin mein Antivirus-Programm gemeldet hat, dass Änderungen am PC durchgeführt wurden im Autostart und Internet Explorer, da hat sich auch Java kurz in der Startleiste neben der Uhr blicken lassen. Ich benutze aber ausschließlich Mozilla FF. Habe die Änderungen wieder rückgängig gemacht, was mir angeboten wurde. Allerdings muss ich sagen, dass ich mich mit meinem Antivirus-Programm (Trend Micro) leider nicht sooo gut auskenne, weil ich es zu unübersichtlich finde... Ich versuche aber mein Bestes.
Ich habe meinen PC vor ca. einem Monat formatiert, da ich oft und gern per OnlineBanking Zahlungen durchführe und ich aufgrund von früheren Erlebnissen mit Schädlingen paranoid geworden bin, aber ich kann ja wohl auch nicht jede Woche formatieren und bitte daher um eure Hilfe.
Ich wollte nach den Info-Threads gehen und habe Malwarebytes installiert, allerdings stehen wiederum in einem anderen Info-Thread andere Anleitungen. Wie soll ich denn nun vorgehen?
Bitte nicht gleich steinigen, ich bin ein wenig von der Flut an Infos überwältigt und bin neu in dem Bereich alternative Schädlings-Bekämpfung.
Liebe Grüße, TxT