Trojaner entfernen? Spybot ist nicht zuverlässig

Dieses Thema im Forum "Sicherheit" wurde erstellt von Bauer1, 14. April 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Bauer1

    Bauer1 ROM

    Registriert seit:
    23. Juli 2005
    Beiträge:
    7
    Hallo!

    Ich habe mir auf einer Internetbanking-Seite einen Trojaner eingefangen.
    AntiVir hat ihn auch gleich gemeldet, aber nicht gelöscht.

    Danach habe ich mit Spybot drei verdächtige Dateien gefunden und diese auch behoben. Das Ganze habe ich drei Mal gemacht, bis Spybot keine Dateien mehr angezeigt hat. Soweit war es auch gut, denn auch AntiVir hat nichts mehr gefunden und auch keine unerlaubten Änderungsversuche der Registry wurden angezeigt.
    Sowie ich jetzt aber wieder online bin, zeigt mir Windows an, daß auf meinen Rechner von W32.Sinnaka.A@mm zugegriffen wird. Spybot meldet nun auch wieder als Problem "Vcodec" auf C:\windows\system32\ncompat.tlb

    Was kann man machen? Spybots Problembehebung scheint nicht die Lsöung zu sein, da das Problem wieder auftaucht.
    Hilft es die Datei einfach zu entfernen? Oder gibt es andere Programme, die das Problem beheben können?

    Vielen Dank für eine Antwort im Voraus.
    Bauer
     
  2. whisky

    whisky Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2001
    Beiträge:
    11.014

    Bist du etwas auf so eine Phishing Mail reingefallen?

    Nach einer Infektion des Systems kannst du meist nie mehr sicher sein das alles sauber ist. Die Einzige Möglichkeit ist eine Komplette Neuinstallation des Systems.

    BTW: Ich würde meine TANs sperren lassen ....
     
  3. Muddi

    Muddi Megabyte

    Registriert seit:
    27. Juni 2005
    Beiträge:
    1.216
    Erstmal das hier machen

    Und dann das hier durchführen.
     
  4. Bauer1

    Bauer1 ROM

    Registriert seit:
    23. Juli 2005
    Beiträge:
    7
    Nein, ich bin auf keine Phishing Mail reingefallen.
    Ich war nur auf der Bankseite und hatte Glück, daß ich noch nicht komplett meine Kundendaten eingegeben hatte, als die Warnmeldung kam. Natürlich verneint die Bank, daß man sich auf Ihrer Seite dieses Zeug eingefangen hat.

    Muddi: Dein Link hört sich kompliziert an. Oder ist es nur komplizierter geschrieben als es ist? Kann man danach sicher sein, daß der Rechner sauber ist, oder ist die Neuinstallation der einzige Weg?
    Es sind jetzt ja Feiertage, da würde es sich nämlich anbieten ihn zu reinigen, wenn das Andere keine sichere Alternative ist.

    Gruß
    Bauer
     
  5. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Jetzt wäre interessant zu wissen, wie der genaue Link lautet und wie genau du dorthin gelangt bist.
    Es sieht so aus, als wäre dein Rechner vorher infiziert gewesen und deine Hosts-Datei manipuliert.

    Nein, du kannst dir nicht sicher sein. Es kann einem aber die Augen öffnen. Und ohne diese Logs kann man nichts anderes als Neuaufsetzen empfehlen. Aber richtig:

    http://www.cidres-security.de/neuaufsetzen.html
     
  6. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    poste erstmal den Link zu deinem HijackThis Log, wie in dem ersten Link von Muddi beschrieben, dann kann man sich einen Überblick verschaffen.

    Wie bist du auf diese "angebliche" Bankseite(sie war natürlich gefälscht) gekommen? Einen Link angeklickt, oder die normale Bankadresse eingegeben und dorthin umgeleitet worden?

    Wahrscheinlich wird es in Richtung Neuaufsetzen gehen, aber schauen wir mal was HijackThis zu Tage fördert.

    Edit
    Tach Steppl, da war ich mal wieder etwas zu langsam. *Tasse Kaffee hol*


    Grüße Jasager
     
  7. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Jetzt noch? :D

    Ich bin mit meiner Kanne schon durch, ich bin schon beim :popcorn:
     
  8. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Hallo Bauer1

    Du könntest ja mal den Link zu deinem HijackThis-Log posten, damit wir wissen, was auf deinem Rechner los ist. Klick dazu auf das >>hier<< in Muddi's Beitrag.

    Letztendlich ist es aber trotzdem ratsamer, wenn du dein System komplett neu aufsetzt. Eine gute Anleitung findest du, wenn du auf den Link in steppl's Beitrag klickst. Jetzt sind ja gerade Feiertage und du hast bestimmt 'ne Menge Zeit, da bietet sich eine Neuinstallation gerade zu an.

    Die nachfolgenden Links solltest du dir auch mal anschauen:

    http://www.cidres-security.de/sicherheitskonzept.html
    http://www.cidres-security.de/heimnetzwerk.html
    http://www.ntsvcfg.de/
    http://www.ntsvcfg.de/#_v20

    Gruß
    Nevok
     
  9. Bauer1

    Bauer1 ROM

    Registriert seit:
    23. Juli 2005
    Beiträge:
    7
    Da ich nun keinem Programm mehr getraut habe, habe ich meinen MEDION-Rechner in den Auslieferungszustand versetzt.

    Reicht dieses Vorgehen? Es sind nun allle Programme auf C:\ wieder so aufgespielt worden, wie nach der Auslieferung. Die aktuellesten Versionen von AntiVir, Spybot und Adaware haben nun auch nichts mehr gefunden. Windows gibt mir auch keine Warnmeldung mehr, daß jemand auf meinen Rechner zugreift.

    Kann ich dem Frieden jetzt trauen?

    Die Bankseite war übrigens die von Cortal Consors. Dessen Adresse habe ich in den Browser eingeben. Ich bin also nicht über die Favoriten oder Links in einer Email dahin gekommen. Ich hoffe aber, daß ich Glück gehabt habe, da schon bei Eingabe der Kontonummer der Virenschutz ansprang, das Ding aber dann doch nicht gelöscht hat, wie mit der Eingabeaufforderung bestätigt. Die Bank sagt natürlich, daß es nicht von Ihrer Seite kommt.

    Gruß
    Bauer
     
  10. whisky

    whisky Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2001
    Beiträge:
    11.014

    Das ändert nichts daran. Fremde Einträge in der Hosts Datei leiten die Anfrage des Browser auf jede beliebige IP um
     
  11. the_armageddon

    the_armageddon Byte

    Registriert seit:
    25. Oktober 2004
    Beiträge:
    15
    Versuchs mal mit "Ad-Aware SE Personal"
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen