Trojaner entfernen? Spybot ist nicht zuverlässig

Hallo!

Ich habe mir auf einer Internetbanking-Seite einen Trojaner eingefangen.
AntiVir hat ihn auch gleich gemeldet, aber nicht gelöscht.

Danach habe ich mit Spybot drei verdächtige Dateien gefunden und diese auch behoben. Das Ganze habe ich drei Mal gemacht, bis Spybot keine Dateien mehr angezeigt hat. Soweit war es auch gut, denn auch AntiVir hat nichts mehr gefunden und auch keine unerlaubten Änderungsversuche der Registry wurden angezeigt.
Sowie ich jetzt aber wieder online bin, zeigt mir Windows an, daß auf meinen Rechner von W32.Sinnaka.A@mm zugegriffen wird. Spybot meldet nun auch wieder als Problem "Vcodec" auf C:\windows\system32\ncompat.tlb

Was kann man machen? Spybots Problembehebung scheint nicht die Lsöung zu sein, da das Problem wieder auftaucht.
Hilft es die Datei einfach zu entfernen? Oder gibt es andere Programme, die das Problem beheben können?

Vielen Dank für eine Antwort im Voraus.
Bauer

 

Bist du etwas auf so eine Phishing Mail reingefallen?

Nach einer Infektion des Systems kannst du meist nie mehr sicher sein das alles sauber ist. Die Einzige Möglichkeit ist eine Komplette Neuinstallation des Systems.

BTW: Ich würde meine TANs sperren lassen ....

 

Erstmal das hier machen

Und dann das hier durchführen.

 

Nein, ich bin auf keine Phishing Mail reingefallen.
Ich war nur auf der Bankseite und hatte Glück, daß ich noch nicht komplett meine Kundendaten eingegeben hatte, als die Warnmeldung kam. Natürlich verneint die Bank, daß man sich auf Ihrer Seite dieses Zeug eingefangen hat.

Muddi: Dein Link hört sich kompliziert an. Oder ist es nur komplizierter geschrieben als es ist? Kann man danach sicher sein, daß der Rechner sauber ist, oder ist die Neuinstallation der einzige Weg?
Es sind jetzt ja Feiertage, da würde es sich nämlich anbieten ihn zu reinigen, wenn das Andere keine sichere Alternative ist.

Gruß
Bauer

 

Jetzt wäre interessant zu wissen, wie der genaue Link lautet und wie genau du dorthin gelangt bist.
Es sieht so aus, als wäre dein Rechner vorher infiziert gewesen und deine Hosts-Datei manipuliert.

Nein, du kannst dir nicht sicher sein. Es kann einem aber die Augen öffnen. Und ohne diese Logs kann man nichts anderes als Neuaufsetzen empfehlen. Aber richtig:

http://www.cidres-security.de/neuaufsetzen.html

 

Hallo,
poste erstmal den Link zu deinem HijackThis Log, wie in dem ersten Link von Muddi beschrieben, dann kann man sich einen Überblick verschaffen.

Wie bist du auf diese "angebliche" Bankseite(sie war natürlich gefälscht) gekommen? Einen Link angeklickt, oder die normale Bankadresse eingegeben und dorthin umgeleitet worden?

Wahrscheinlich wird es in Richtung Neuaufsetzen gehen, aber schauen wir mal was HijackThis zu Tage fördert.

Edit
Tach Steppl, da war ich mal wieder etwas zu langsam. *Tasse Kaffee hol*


Grüße Jasager

 

Jetzt noch?

Ich bin mit meiner Kanne schon durch, ich bin schon beim

 

Hallo Bauer1

Du könntest ja mal den Link zu deinem HijackThis-Log posten, damit wir wissen, was auf deinem Rechner los ist. Klick dazu auf das >>hier<< in Muddi's Beitrag.

Letztendlich ist es aber trotzdem ratsamer, wenn du dein System komplett neu aufsetzt. Eine gute Anleitung findest du, wenn du auf den Link in steppl's Beitrag klickst. Jetzt sind ja gerade Feiertage und du hast bestimmt 'ne Menge Zeit, da bietet sich eine Neuinstallation gerade zu an.

Die nachfolgenden Links solltest du dir auch mal anschauen:

http://www.cidres-security.de/sicherheitskonzept.html
http://www.cidres-security.de/heimnetzwerk.html
http://www.ntsvcfg.de/
http://www.ntsvcfg.de/#_v20

Gruß
Nevok

 

Da ich nun keinem Programm mehr getraut habe, habe ich meinen MEDION-Rechner in den Auslieferungszustand versetzt.

Reicht dieses Vorgehen? Es sind nun allle Programme auf C:\ wieder so aufgespielt worden, wie nach der Auslieferung. Die aktuellesten Versionen von AntiVir, Spybot und Adaware haben nun auch nichts mehr gefunden. Windows gibt mir auch keine Warnmeldung mehr, daß jemand auf meinen Rechner zugreift.

Kann ich dem Frieden jetzt trauen?

Die Bankseite war übrigens die von Cortal Consors. Dessen Adresse habe ich in den Browser eingeben. Ich bin also nicht über die Favoriten oder Links in einer Email dahin gekommen. Ich hoffe aber, daß ich Glück gehabt habe, da schon bei Eingabe der Kontonummer der Virenschutz ansprang, das Ding aber dann doch nicht gelöscht hat, wie mit der Eingabeaufforderung bestätigt. Die Bank sagt natürlich, daß es nicht von Ihrer Seite kommt.

Gruß
Bauer

 

Das ändert nichts daran. Fremde Einträge in der Hosts Datei leiten die Anfrage des Browser auf jede beliebige IP um

 

Versuchs mal mit "Ad-Aware SE Personal"