| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Sparkasse TAN Trojaner?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
14.06.2011, 22:53
| #1 | |
 |  Sparkasse TAN Trojaner? Hallo @all, nachdem bei mir die gleiche Symptomatik während des Online-Bankings wie bei folgenden Threads beschrieben auftraten: http://www.trojaner-board.de/99756-s...-trojaner.html http://www.trojaner-board.de/99273-s...-trojaner.html Bin ich auf dieses Forum 'gegoogelt' und war gleich begeistert durch das Engagement und die Hilfsbereitschaft hier. :-) Ich hoffe, ihr könnt mir ebenso wie Heidemarie und Thomas helfen und wäre generell für jede Hilfe dankbar. Nachdem ich ebenso wie in den o.g. Threads festgestellt hatte, dass auf der Sparkassen-Seite direkt nach Login eine lightbox aufging und ich einen Haufen TAN-Nummern eingeben sollte, was ich (natürlich) nicht(!) gemacht habe, habe ich mein Online-Banking erstmal telefonisch bei meiner Kasse deaktivieren lassen. Als nächstes hatte ich mir Avira runtergeladen und installiert. Während ein Vollscan der Platte durch Avira lief, bin ich auf dieses Forum gestoßen und habe mich erstmal schlau gelesen und wie empfohlen Malwarebytes installiert und per QuickScan durchlaufen lassen. Folgender Log kam dabei heraus: Zitat:
Könnt ihr mir einen Tipp geben, wie ich weiter verfahren sollte? Besten Dank im Voraus! |
|
15.06.2011, 11:24
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Sparkasse TAN Trojaner?Zitat:
Normalerweise empfiehlt man bei sowas eine Neuinstallation von Windows.
__________________ |
|
15.06.2011, 22:35
| #3 |
| | Sparkasse TAN Trojaner? Hallo Arne
__________________besten Dank für Dein Feedback. Letztlich denke ich schon daran, mein System neu aufzuspielen. Besonders, weil es seit geraumer Zeit immer langsamer wurde, das alte XP Leiden. Nur bräuchte ich dafür etwas Zeit, da ich täglich daran arbeite und dafür, meine wichtigen Daten auf eine externe HD zu speichern. Damit war ich zwar bereits angefangen, doch ich habe soviele Daten, dass sowas immer etliche Stunden dauert. Diesbezüglich habe ich auch die Frage, wie dieser Trojaner, falls es einer ist, einzuschätzen ist. Ist er womöglich dermaßen spezialisiert, dass er einzig auf das Online-Banking Hijacking ausgerichtet ist oder habe ich zu befürchten, dass mein ganzes System durchforstet und nach relevanten Daten durchsucht wird, die dann irgendwohin gesendet werden? Wie ist die Verzahnung mit Firefox, den ich hauptsächlich benutze und wo das mit den TAN-Listen aufgetreten ist? Muß ich befürchten, dass beim Abspeichern von Daten auf die externe Festplatte der Trojaner (sofern es einer ist) etas mitbekommt, sich dort fortsetzt? Ich habe mir hierzu forlgende Strategie überlegt: Während des Sicherns meiner Daten auf die externe HD ziehe ich einfach mein Netzwerkkabel, damit in dieser Zeit nichts nach außen gesendet werden kann. Oder ist sowas irrelevant? Mh..okay, mir ist eingefallen, dass ich, als das mit der lightbox auf der Bank-Seite aufgetreten ist, gleich einen Screenshot gemacht habe, für Nachweise bei der Bank oder sonstwie. Habe ich mal angehängt.  Aktuell habe ich seit gestern einen Vollscan der gesamten Festplatten in meinem System mit Malwarebytes angeleiert, was aber noch läuft, bereits seit mehr als 20 Stunden. Malwarebytes durchsucht zur Zeit lediglich Partitionen mit Daten, die nichts mehr mit dem System zu tun haben, nur noch gespeicherte Dateien usw.. Das Windows-System und Programme usw. wurden bereits alle durchforstet und Malwarebytes hat nichts gefunden. Melde mich mit dem log hierzu hier wieder. Denke daran, anschließend Avira einen Vollscan durchlaufen zu lassen. Irgendwie werde ich den Ansporn nicht, erstmal überhaupt etwas zu finden, was doch möglich sein müßte. Denn wenn von dirversen Tools nichts gefunden wird, kann es da nicht weniger dramatisch sein? Vielleicht hat sich das Ding nur mit Firefox verzahnt? Letztlich ist das Neuaufspielen des Systems bestimmt die sicherste Methode, doch kann es nicht immer das letzte Mittel sein. Als Programmierer bin ich interessiert daran, um was es sich handelt, denn auch diejenigen, die das gebastelt haben, sind ja keine Übermenschen und ich denke, es ist sicherlich irgendwie festzustellen, um was es sich genau handelt und wie man das bekämpfen kann. Zumindest glaube ich an sowas.  Dennoch, wie gesagt, steht für mich als letztes Mittel dem Neuaufspielen nichts im Wegee. Geändert von Liberate (15.06.2011 um 22:44 Uhr) |
|
15.06.2011, 22:50
| #4 |
| | Sparkasse TAN Trojaner? Ich habe da noch eine Frage: Gibt es ein Tool, dass aufzeigt, welches Programm/Prozess was ins Internet senden will und wo ich das Senden freigeben kann bzw, gefragt werde, Whitlist anlegen kann usw.? So hätte man doch auch ein Auge darauf, was denn so ins Netz geht... |
|
16.06.2011, 07:58
| #5 | |
| | Sparkasse TAN Trojaner? Anbei das Ergebnis des Vollständigen Suchlaufs von Malwarebytes: Zitat:
Ein Suchlauf mit Avira läuft auch bereits seit 6 Stunden. Gefunden wurde aber bis jetzt damit auch noch nichts.  Wo könnte sich das Ding noch verstecken? |
|
16.06.2011, 10:43
| #6 | |
| | Sparkasse TAN Trojaner? Hallo Arne, besten Dank, werd ich als näcstes probieren! Derweil ist Avira AntiVir auch durch und hat nichts gefunden. Anbei das Ergebnis (Ausschnitt): Zitat:
|
|
16.06.2011, 10:42
| #7 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Sparkasse TAN Trojaner? CustomScan mit OTL Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
__________________ Logfiles bitte immer in CODE-Tags posten |
|
16.06.2011, 11:20
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Sparkasse TAN Trojaner? Hm, ziemlich unauffällig. Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.  Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst oder Verküpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )  Windows-Vista- und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
16.06.2011, 11:47
| #9 | |
| | Sparkasse TAN Trojaner? Ahoi Arne, ist ja verflixt, aber hat anscheinend auch nichts gefunden.  Der Log: Zitat:
|
|
16.06.2011, 12:21
| #10 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Sparkasse TAN Trojaner? Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
20.06.2011, 20:55
| #11 |
| | Sparkasse TAN Trojaner? Hallo Arne, hab erstmal meine Daten auf eine HD weggelegt, was ein wenig gedauert hat. Habe combi daher noch nicht ausgeführt. Heute morgen hat dann Avira eine Datei gefunden (siehe Screenshot), die ich erstmal auf Quarantäne gesetzt habe. Kann man hieraus Schlußfolgerungen bezüglich weiterer Vorgehensweisen ziehen? Gruß Andreas |
|
20.06.2011, 21:12
| #12 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Sparkasse TAN Trojaner? Weiteres sehen wir mit CF
__________________ Logfiles bitte immer in CODE-Tags posten |
|
20.06.2011, 22:56
| #13 | |
| | Sparkasse TAN Trojaner? Ahoi Arne, so es ist vollbracht. Anbei der combiFix-Log: Zitat:
|
|
20.06.2011, 23:22
| #14 |
| | Sparkasse TAN Trojaner? Habe jetzt zwei neue Verzeichnisse unter C:// cofi und Qoobox Ist das soweit 'normal'? |
|
21.06.2011, 10:21
| #15 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Sparkasse TAN Trojaner? Ja du hast doch gerade CF ausgeführt! Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Sparkasse TAN Trojaner? |
| anderen, anti-malware, avira, dateien, deaktivieren, direkt, explorer, festgestellt, folge, folgende, forum, login, malwarebytes, nach login, nichts, platte, service, sparkasse, system, tan, tan-nummer, thomas, threads, trojaner, trojaner?, version, win xp |
Textbox.
.
Hybrid-Darstellung
