[Windows 7-32 bit] Habe ich einen Banking-Trojaner? (Torpig) - Paules-PC-Forum.de

Verzweifelte200 · 27.12.2011, 12:56

Hallo!

Ich schon wieder im Virenbereich.

Mich hat heute morgen eine Internetseite geblockt (Thread: Was ist denn hier passiert?) und wenn ich die Meldungen richtig interpretiere, habe ich evtl. einen Banking-Trojaner (Torpig).

Von den Meldungen bei spamhaus.org habe ich Screenshots gemacht, möchte sie wegen der IP-Adresse aber ungern öffentlich hier einstellen. Bin gerade etwas paranoid.

Online-Banking mache ich übrigens keines.

Wäre großartig, wenn da mal jemand schauen könnte bzw. mir sagen könnte wie ich jetzt loslege.

Vielen Dank im voraus!

**AHT** · 27.12.2011, 13:15

Kein Onlinebanking machen, keine Einkäufe tätigen.
Das tun:

Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
Danach die PPFScan.exe starten.
Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
Wähle im Untermenü Script laden und ausführen.
Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa.
Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

Verzweifelte200 · 27.12.2011, 14:39

**AHT** · 27.12.2011, 14:49

Deinen Rechner kenne ich doch....
Wann war der letzte Virenfund bei dir? Hattest du da mal Probleme?

Verzweifelte200 · 27.12.2011, 14:57

Ja, den kennst du.

Wir hatten doch erst kürzlich das Vergnügen - sogar 2 mal.

Probleme: hast Du den Thread gelesen, den ich im 1. Posting verlinkt habe? (insbes. Posting #13). Evtl. kommt über meine IP ein Trojaner so dass ich geblacklisted wurde.

Falls Du die Screenshots dazu brauchst, sende ich Dir eine PN mit Links.

**AHT** · 27.12.2011, 15:04

Ja, habe ich gesehen.
Soweit ich weiß wurde bei dir nur ein Java Downloader entdeckt.
Lade bitte Combofix
ComboFix.exe Version /auf dem >>Desktop<< speichern und ausführen (vor dem Ausführen aber unbedingt dein Antivirenprogramm beenden - den Guard stoppen!), klicke die Hardware Warnmeldung weg (keine Angst das Prog. ist sicher trotz der Meldung)
nichts machen, keine Mausbewegung, abwarten der PC startet neu. Das Log, das erscheint, in eine Textdatei kopieren, die Datei bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und den Downloadslink posten.

Ich sehe da eine Sache bei dir, die ist etwas merkwürdig. Ich untersuche diesbezüglich gerade was.

Verzweifelte200 · 27.12.2011, 15:55

Ich habe das Combofix jetzt gemacht, aber ich weiß nicht, ob es richtig gelaufen ist.

Ich habe es runtergeladen, den Guard ausgeschaltet und dann ausgeführt. Aber auf dem Desktop hatte es sich nicht gespeichert und der Laptop hat nach Beendigung auch nicht neu gestartet.

Lange Rede, kurzer Sinn - hier ist der Downloadlink:
File-Upload.net - ComboFix.txt

**AHT** · 27.12.2011, 16:20

Scheint geklappt zu haben.

Rechner rebooten.
PPFScan.exe starten.
In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code:

REM->Ordner für Scandateien erzeugen!
CREATE_FOLDER->C:\PPF_Scan2
CREATE_FOLDER->C:\PPFS_Tools
REM->Netstat aufrufen!
CREATE_BATCH_FILE->C:\PPFS_Tools\NETSTAT.BAT
WRITE_BATCH->NETSTAT -abo > C:\PPF_Scan2\NETSTAT.TXT
OPEN->C:\PPFS_Tools\NETSTAT.BAT
REM->Prozesse listen!
SET_OPTIONS->20
REM->Den Dateien eindeutige Namen geben!
SET_OPTIONS->-102
 
REM->Alle anderen Scans nicht durchführen!
SET_OPTIONS->-2,-3,-4,-5,-6,-7,-8,-9,-10
SET_OPTIONS->-11,-12,-13,-14,-15,-16,-17,-18
SET_OPTIONS->-19,-21,-22,-23,-24,-25,-26
SET_OPTIONS->-27,-28,-29,-30,-31,-32,-33,-34,-35
SET_OPTIONS->-36,-37,-38,-39,-40,-41,-42
 
REM->Scan in Scanlist-Ansicht starten!
SCANLIST->
 
THREADS_BY_NAME->CONHOST.EXE
REM->Scandateien kopieren!
COPY_SCANFILES->C:\PPF_Scan2
OPEN->C:\PPF_Scan2
END->

Alle laufenden Programme mit Fenster schließen.
Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
Nach dem Scan beendet sich der Scanner. Es befinden sich danach im Ordner C:\PPF_Scan2 einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.

Verzweifelte200 · 27.12.2011, 16:33

Und was muß ich zum rebooten tun?

**AHT** · 27.12.2011, 16:52

Rechner herunterfahren und neu starten.

Verzweifelte200 · 27.12.2011, 17:20

Zitat:

Zitat von AHT

Rechner herunterfahren und neu starten.

Nun bekomme ich wohl einen Preis für die dümmste Frage des Jahres 2011.

Hier das Scanergebnis (hatte auch die Internetverbindung als laufendes Programm getrennt)

File-Upload.net - NETSTAT.TXT
File-Upload.net - Processes.txt
File-Upload.net - Scripting.txt
File-Upload.net - Threads.txt
File-Upload.net - Warnings.txt

Übrigens:
Meine letzten (und auch einzigen) Virenprobleme auf diesem Notebook:
1. Maleware gefunden (EXP/Java.Dldr.A [exploit] + TR/ATRAPS.Gen [trojan])
2. Infizierter Prozess, da ohne Dateiverweis?

Das Notebook war gebraucht gekauft, auf den 1. Systemwiederherstellungszeitpunkt zurückgesetzt und ist auch hier überprüft worden.
Gebrauchtes Notebook erworben - schaut ihr mal drauf?

Verzweifelte200 · 27.12.2011, 18:32

Ich habe Neuigkeiten, denn irgendwas stimmt nicht mit meinem System:

1. Jede aktuelle IP Adresse. die ich habe, wird von spamhaus.org bei der Überprüfung auf die gleiche Weise wie im verlinkten Thread bemeckert. Ich kann Dir gerne mal die aktuelle IP per PN senden, damit Du die Fehlermeldungen siehst.

2. Antimalwarebytes kann ich nicht mehr nach Updates checken (meine Version ist vom 21.01.) Das Anklickfeld ist grau.

Und noch eine Frage: kann man herausfinden ob am 25.12. kurz nach 14:30 auf meinem System etwas gefährliches passiert ist?

**AHT** · 27.12.2011, 18:37

Nein, kann man nicht.
Controlliere bitte mal in Firefox und im IE, ob dort ein Proxy eingestellt ist.

FireFox:

Im Menü Extras klicken
Einstellungen
Erweitert
Registrierkarte Netzwerk
Einstellungen
Screenshot machen

**AHT** · 27.12.2011, 18:50

Internet Explorer:

Startleiste
Systemsteuerung
Klassische Ansicht
Internet Optionen
Registrierkarte Verbindungen
Button LAN-Einstellungen
Scrennshot machen.

**AHT** · 27.12.2011, 18:53

Danach Scan mit GMER:

GMER - Rootkit Detector and Remover : Download EXE
GMER herunterladen und starten.
Alle Programme schließen.
Nach dem kurzen Anfangsscan Button Scan drücken.
Rechner bis zuende Scannen lassen - kann lange dauern.
Nichts am Rechner machen, warten.
Nach dem Scan über Save LOG abspeichern und hochladen.

27.12.2011, 12:56	#1 (Direktlink)
Verzweifelte200 Stammuser Registriert seit: 18.05.2009 Ort: im Greenländle Alter: 39 Beiträge: 405	Habe ich einen Banking-Trojaner? (Torpig) Hallo! Ich schon wieder im Virenbereich. Mich hat heute morgen eine Internetseite geblockt (Thread: Was ist denn hier passiert?) und wenn ich die Meldungen richtig interpretiere, habe ich evtl. einen Banking-Trojaner (Torpig). Von den Meldungen bei spamhaus.org habe ich Screenshots gemacht, möchte sie wegen der IP-Adresse aber ungern öffentlich hier einstellen. Bin gerade etwas paranoid. Online-Banking mache ich übrigens keines. Wäre großartig, wenn da mal jemand schauen könnte bzw. mir sagen könnte wie ich jetzt loslege. Vielen Dank im voraus!

27.12.2011, 13:15	#2 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Kein Onlinebanking machen, keine Einkäufe tätigen. Das tun: Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS). Danach die PPFScan.exe starten. Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü. Wähle im Untermenü Script laden und ausführen. Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa. Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

27.12.2011, 14:49	#4 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Deinen Rechner kenne ich doch.... Wann war der letzte Virenfund bei dir? Hattest du da mal Probleme? __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

27.12.2011, 15:04	#6 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Ja, habe ich gesehen. Soweit ich weiß wurde bei dir nur ein Java Downloader entdeckt. Lade bitte Combofix ComboFix.exe Version /auf dem >>Desktop<< speichern und ausführen (vor dem Ausführen aber unbedingt dein Antivirenprogramm beenden - den Guard stoppen!), klicke die Hardware Warnmeldung weg (keine Angst das Prog. ist sicher trotz der Meldung) nichts machen, keine Mausbewegung, abwarten der PC startet neu. Das Log, das erscheint, in eine Textdatei kopieren, die Datei bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und den Downloadslink posten. Ich sehe da eine Sache bei dir, die ist etwas merkwürdig. Ich untersuche diesbezüglich gerade was. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

27.12.2011, 16:20	#8 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Scheint geklappt zu haben. Rechner rebooten. PPFScan.exe starten. In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen: Code: REM->Ordner für Scandateien erzeugen! CREATE_FOLDER->C:\PPF_Scan2 CREATE_FOLDER->C:\PPFS_Tools REM->Netstat aufrufen! CREATE_BATCH_FILE->C:\PPFS_Tools\NETSTAT.BAT WRITE_BATCH->NETSTAT -abo > C:\PPF_Scan2\NETSTAT.TXT OPEN->C:\PPFS_Tools\NETSTAT.BAT REM->Prozesse listen! SET_OPTIONS->20 REM->Den Dateien eindeutige Namen geben! SET_OPTIONS->-102 REM->Alle anderen Scans nicht durchführen! SET_OPTIONS->-2,-3,-4,-5,-6,-7,-8,-9,-10 SET_OPTIONS->-11,-12,-13,-14,-15,-16,-17,-18 SET_OPTIONS->-19,-21,-22,-23,-24,-25,-26 SET_OPTIONS->-27,-28,-29,-30,-31,-32,-33,-34,-35 SET_OPTIONS->-36,-37,-38,-39,-40,-41,-42 REM->Scan in Scanlist-Ansicht starten! SCANLIST-> THREADS_BY_NAME->CONHOST.EXE REM->Scandateien kopieren! COPY_SCANFILES->C:\PPF_Scan2 OPEN->C:\PPF_Scan2 END-> Alle laufenden Programme mit Fenster schließen. Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja. Nach dem Scan beendet sich der Scanner. Es befinden sich danach im Ordner C:\PPF_Scan2 einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT Geändert von AHT (27.12.2011 um 16:25 Uhr)

27.12.2011, 14:39	#3 (Direktlink)
Verzweifelte200 Stammuser Registriert seit: 18.05.2009 Ort: im Greenländle Alter: 39 Beiträge: 405	So, ich hoffe, ich habe das richtig gemacht. (FF war übrigens während des Scans geöffnet.) Hier sind die Download-Links: File-Upload.net - Drivers.txt File-Upload.net - Eventlog.txt File-Upload.net - Files.txt File-Upload.net - Firewall.txt File-Upload.net - Hidden.txt File-Upload.net - MD5.txt File-Upload.net - Modules.txt File-Upload.net - ppFiles.txt File-Upload.net - ppRegistry.txt File-Upload.net - Processes.txt File-Upload.net - Scripting.txt File-Upload.net - Services.txt File-Upload.net - Threads.txt File-Upload.net - Warnings.txt

27.12.2011, 14:57	#5 (Direktlink)
Verzweifelte200 Stammuser Registriert seit: 18.05.2009 Ort: im Greenländle Alter: 39 Beiträge: 405	Ja, den kennst du. Wir hatten doch erst kürzlich das Vergnügen - sogar 2 mal. Probleme: hast Du den Thread gelesen, den ich im 1. Posting verlinkt habe? (insbes. Posting #13). Evtl. kommt über meine IP ein Trojaner so dass ich geblacklisted wurde. Falls Du die Screenshots dazu brauchst, sende ich Dir eine PN mit Links.

27.12.2011, 15:55	#7 (Direktlink)
Verzweifelte200 Stammuser Registriert seit: 18.05.2009 Ort: im Greenländle Alter: 39 Beiträge: 405	Ich habe das Combofix jetzt gemacht, aber ich weiß nicht, ob es richtig gelaufen ist. Ich habe es runtergeladen, den Guard ausgeschaltet und dann ausgeführt. Aber auf dem Desktop hatte es sich nicht gespeichert und der Laptop hat nach Beendigung auch nicht neu gestartet. Lange Rede, kurzer Sinn - hier ist der Downloadlink: File-Upload.net - ComboFix.txt

27.12.2011, 16:33	#9 (Direktlink)
Verzweifelte200 Stammuser Registriert seit: 18.05.2009 Ort: im Greenländle Alter: 39 Beiträge: 405	Und was muß ich zum rebooten tun?

27.12.2011, 16:52	#10 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Rechner herunterfahren und neu starten. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

27.12.2011, 18:32	#12 (Direktlink)
Verzweifelte200 Stammuser Registriert seit: 18.05.2009 Ort: im Greenländle Alter: 39 Beiträge: 405	Ich habe Neuigkeiten, denn irgendwas stimmt nicht mit meinem System: 1. Jede aktuelle IP Adresse. die ich habe, wird von spamhaus.org bei der Überprüfung auf die gleiche Weise wie im verlinkten Thread bemeckert. Ich kann Dir gerne mal die aktuelle IP per PN senden, damit Du die Fehlermeldungen siehst. 2. Antimalwarebytes kann ich nicht mehr nach Updates checken (meine Version ist vom 21.01.) Das Anklickfeld ist grau. Und noch eine Frage: kann man herausfinden ob am 25.12. kurz nach 14:30 auf meinem System etwas gefährliches passiert ist?

27.12.2011, 18:37	#13 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Nein, kann man nicht. Controlliere bitte mal in Firefox und im IE, ob dort ein Proxy eingestellt ist. FireFox: Im Menü Extras klicken Einstellungen Erweitert Registrierkarte Netzwerk Einstellungen Screenshot machen __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

27.12.2011, 18:50	#14 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Internet Explorer: Startleiste Systemsteuerung Klassische Ansicht Internet Optionen Registrierkarte Verbindungen Button LAN-Einstellungen Scrennshot machen. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

27.12.2011, 18:53	#15 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Danach Scan mit GMER: GMER - Rootkit Detector and Remover : Download EXE GMER herunterladen und starten. Alle Programme schließen. Nach dem kurzen Anfangsscan Button Scan drücken. Rechner bis zuende Scannen lassen - kann lange dauern. Nichts am Rechner machen, warten. Nach dem Scan über Save LOG abspeichern und hochladen. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
G Data jagt Banking-Trojaner	Info	Sicherheitsmeldungen von heise.de	0	23.11.2011 18:40
c't seziert Banking-Trojaner ZeuS	Info	Sicherheitsmeldungen von heise.de	0	11.09.2011 14:08
Banking-Trojaner täuschen fehlgeleitete Gutschriften vor	Info	Sicherheitsmeldungen von heise.de	0	20.07.2011 22:00
Ich glaub ich habe einen Trojaner	Taddybär	Viren-Forum	21	16.02.2008 16:36
habe einen Trojaner!!!	Kuesse	Viren-Forum	31	16.09.2007 17:40