|
Plagegeister aller Art und deren Bekämpfung: Commerzbank 100 TanWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
10.07.2011, 15:01 | #1 |
| Commerzbank 100 Tan Hallo ich habe mich hier angemeldet, da ich dringend eure Hilfe brauche. Wenn ich mich beim online banking der Commerzbank anmelden möchte, taucht ein fenster auf in dem ich 100tan nummern angeben soll. Hab ein wenig im Forum herumgelesen und das Problem haben anscheinend mehrere Leute. Wie soll ich jetzt vorgehen um den Trojaner loszuwerden? Danke im voraus! |
10.07.2011, 16:23 | #2 |
/// Malwareteam | Commerzbank 100 TanEine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist. Vista und Win7 User Alle Tools mit Rechtsklick "als Administrator ausführen" starten. Schritt 1 CustomScan mit OTL Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter netsvcs drivers32 /all %SYSTEMDRIVE%\*.* %systemroot%\system32\*.wt %systemroot%\system32\*.ruy %systemroot%\Fonts\*.com %systemroot%\Fonts\*.dll %systemroot%\Fonts\*.ini %systemroot%\Fonts\*.ini2 %systemroot%\system32\spool\prtprocs\w32x86\*.* %systemroot%\REPAIR\*.bak1 %systemroot%\REPAIR\*.ini %systemroot%\system32\*.jpg %systemroot%\*.scr %systemroot%\*._sy %APPDATA%\Adobe\Update\*.* %ALLUSERSPROFILE%\Favorites\*.* %APPDATA%\Microsoft\*.* %PROGRAMFILES%\*.* %APPDATA%\Update\*.* %systemroot%\*. /mp /s CREATERESTOREPOINT %systemroot%\system32\*.dll /lockedfiles %systemroot%\Tasks\*.job /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\system32\user32.dll /md5 %systemroot%\system32\ws2_32.dll /md5 %systemroot%\system32\ws2help.dll /md5 /md5start explorer.exe winlogon.exe wininit.exe /md5stop HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
Schritt 2 Rootkit-Suche mit Gmer Was sind Rootkits? Wichtig: Bei jedem Rootkit-Scans soll/en:
Lade Dir Gmer von dieser Seite herunter (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
Nun das Logfile in Code-Tags posten. |
11.07.2011, 13:57 | #3 |
| Commerzbank 100 Tan muss ich bei den Textdateien unbedingt meinen namen entfernen? bin durchgegangen und es steht da nur mein vorname.
__________________ |
11.07.2011, 16:06 | #4 |
| Commerzbank 100 Tan Hier sind die Texte als Zipfile. |
11.07.2011, 21:03 | #5 |
/// Malwareteam | Commerzbank 100 Tan Schritt 1
Code:
ATTFilter :OTL O4 - HKCU..\Run: [4E3E0230AEBB4E96] C:\Recycle.Bin\Recycle.Bin.exe (Macromedia, Inc.) [2010/11/11 20:04:35 | 000,000,000 | -HSD | M] -- C:\Users\xxx\AppData\Roaming\.# :Commands [purity] [emptytemp]
Schritt 2 Downloade Dir bitte Malwarebytes
|
11.07.2011, 21:25 | #6 |
| Commerzbank 100 Tan All processes killed ========== OTL ========== Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\4E3E0230AEBB4E96 deleted successfully. C:\Recycle.Bin\Recycle.Bin.exe moved successfully. Folder C:\Users\xxx\AppData\Roaming\.#\ not found. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Philipp ->Temp folder emptied: 266565834 bytes ->Temporary Internet Files folder emptied: 263231336 bytes ->Java cache emptied: 1288369 bytes ->FireFox cache emptied: 1056852204 bytes ->Flash cache emptied: 157331 bytes User: Public User: UpdatusUser ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 39614258 bytes RecycleBin emptied: 14003889469 bytes Total Files Cleaned = 14.907,00 mb OTL by OldTimer - Version 3.2.26.1 log created on 07112011_221306 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
11.07.2011, 21:34 | #7 |
| Commerzbank 100 Tan Malwarebytes' Anti-Malware 1.51.0.1200 Malwarebytes : Free anti-malware, anti-virus and spyware removal download Datenbank Version: 7078 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 11.07.2011 22:33:53 mbam-log-2011-07-11 (22-33-53).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 171176 Laufzeit: 3 Minute(n), 57 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 2 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\4E3E0230AEBB4E96 (Trojan.SpyEyes) -> Value: 4E3E0230AEBB4E96 -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: c:\Washer2.rar (Trojan.SpyEyes) -> Quarantined and deleted successfully. c:\Recycle.Bin (Trojan.Spyeyes) -> Quarantined and deleted successfully. Infizierte Dateien: c:\Washer2.rar\config.bin (Trojan.SpyEyes) -> Quarantined and deleted successfully. c:\Washer2.rar\5eb6f5ef34c4725 (Trojan.SpyEyes) -> Quarantined and deleted successfully. c:\Recycle.Bin\config.bin (Trojan.Spyeyes) -> Quarantined and deleted successfully. |
11.07.2011, 23:06 | #8 |
/// Malwareteam | Commerzbank 100 TanCombofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Lade ComboFix von einem dieser Download-Spiegel herunter: BleepingComputer - ForoSpyware * Wichtig !! Speichere ComboFix auf dem Desktop
Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen: Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren. Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei. |
12.07.2011, 13:33 | #9 |
| Commerzbank 100 Tan ok hier ist der text angehängt |
12.07.2011, 17:34 | #10 |
/// Malwareteam | Commerzbank 100 Tan Wie läuft die Kiste? |
12.07.2011, 17:41 | #11 |
| Commerzbank 100 Tan Läuft einwandfrei. Aber er lief genauso gut als ich das mit dem trojaner entdeckt habe. Ist der Virus denn jetzt vollständig entfernt? und soll ich jetzt auf was besonderes achten? |
12.07.2011, 17:45 | #12 |
| Commerzbank 100 Tan Mir wurde nämlich von einem Freund gesagt dass ich am besten bei meinen wichtigsten Accounts die Passwörter ändern soll. |
12.07.2011, 17:47 | #13 |
/// Malwareteam | Commerzbank 100 Tan Wir sind noch nicht durch ESET Online Scanner
|
12.07.2011, 19:39 | #14 |
| Commerzbank 100 Tan ESETSmartInstaller@High as downloader log: all ok # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6528 # api_version=3.0.2 # EOSSerial=cee67fd94603084cbf10ba64938a6920 # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2011-07-12 06:28:15 # local_time=2011-07-12 08:28:15 (+0100, Mitteleuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=6.1.7600 NT # compatibility_mode=1797 16775165 100 94 73996 47026641 86414 0 # compatibility_mode=5893 16776573 100 94 39202 62120976 0 0 # compatibility_mode=8192 67108863 100 0 107 107 0 0 # scanned=176508 # found=3 # cleaned=0 # scan_time=5510 C:\_OTL\MovedFiles\07112011_221306\C_Recycle.Bin\Recycle.Bin.exe a variant of Win32/Kryptik.PYA trojan (unable to clean) 00000000000000000000000000000000 I F:\Eigene Dateien\Nintendo\DS Emulator\Ds\myZoomSoft.exe probably a variant of Win32/Agent.CLDLOFD trojan (unable to clean) 00000000000000000000000000000000 I F:\Eigene Dateien\Nintendo\DS Emulator\Ds\Anfänger\Löschen\myZoomSoft.exe probably a variant of Win32/Agent.CLDLOFD trojan (unable to clean) 00000000000000000000000000000000 I |
12.07.2011, 19:41 | #15 |
/// Malwareteam | Commerzbank 100 Tan Logfile ist sauber Hier noch die letzten paar Schritte zur Säuberung Deines Rechners. Schritt 1 Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren. Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK. Code:
ATTFilter Combofix /Uninstall Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden. Nun die eben deaktivierten Programme wieder aktivieren. Schritt 2 Tool CleanUp Starte bitte die OTL.exe. Klicke nun auf den Bereinigung Button. Dies wird die meisten Tools und Logfiles entfernen. Sollte denoch etwas bestehen bleiben, bitte manuell entfernen sowie den Papierkorb leeren. Schritt 3 Automatische Updates Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten. Windows + R Taste drücken. Kopiere nun folgenden Text in die Kommandozeile RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl und klicke auf OK. Stelle sicher das die automatischen Updates aktiviert sind. Schritt 4 Um Dich für die Zukunft vor weiteren Infizierungen zu schützen empfehle ich Dir noch ein paar Programme.
Schritt 5 Tipps für sicheres Surfen Das sind meine Vorschläge. Verwende einen alternativen Browser statt den IE. Ich empfehle Mozilla Firefox. Für Firefox gibt es verschiedenste AddOns um sicher durch das WWW zu kommen.
Don'ts
Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen. Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann. |
Themen zu Commerzbank 100 Tan |
100 tan, 100tan, angemeldet, anmelde, anmelden, banking, commerzbank, dringend, fenster, forum, gemeldet, loszuwerden, melden, nummer, nummern, online, online banking, problem, schei, tan, taucht, troja, trojaner, vorgehen, wenig |