Sparkassen Trojaner

HiggsBoson

Hallo zusammen,

seit ein paar Tagen gehöre ich auch zur Leidensgemeinschaft der Sparkassen-Trojaner-Geschädigten; bisher ist zwar nichts dramatisches passiert - kein unautorisierter Zugriff, keine un autorisierte Finanz-Transaktion - aber lästig ist's ...

Die Symptomatik entspricht der hier in diversen Threads geschilderten.

Nach gescheitertem Versuch des Logon auf der Sparkassen-Webpage erscheinen folgende Meldungen:

... Bitte warten Sie bis Ihrer Computer identifiziert wird ...

und danach die Aufforderung sich mit einer iTAN zu identifizieren.

Allein die Orthographie spricht schon für eine Phishing-Seite aus Südwest-Kasachstan ...

Mit Unterstützund der sehr hilfreichen Informationen aus diversen Threads konnte ich bisher mit Malwarebytes die ersten klinischen Maßnahmen durchführen und eine erneuter Durchlauf dieses Scanners ergab auch keine weiteren Infektionen:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7979

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

19.10.2011 18:42:52
mbam-log-2011-10-19 (18-42-52).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|J:\|)
Durchsuchte Objekte: 517093
Laufzeit: 2 Stunde(n), 33 Minute(n), 2 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Danach ging's dann weiter mit ESET mit zwei gefundenen Threats - der eine in einem Nero-Setup-File (natürlich gekauft) und im Software-Downloader für den KMPlayer (könnte zeitlich passen - Trojaner und KMPlayer):

# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=1973a4370d7fcb449c9e082fa5e0d5b9
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-10-20 11:14:48
# local_time=2011-10-20 01:14:48 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1797 16775165 100 94 397679 55638077 167006 0
# compatibility_mode=2560 16777215 100 0 0 0 0 0
# compatibility_mode=5892 16776573 100 100 642 156630349 0 0
# compatibility_mode=8192 67108863 100 0 54947 54947 0 0
# scanned=357463
# found=2
# cleaned=0
# scan_time=11667
C:\Program Files\Nero\PhotoShow 5\data\Xtras\nero_photoshow_express_5_setup.exe Win32/Toolbar.AskSBar application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Kristof\Downloads\Video-Software\SoftonicDownloader_fuer_kmplayer.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I

Die Frage ist nun, wie kritisch sind diese beiden Funde und wie werden sie gegebenenfalls entfernt (einfach löschen)? Der Fund bei Nero wundert mich, da es sich wie geschrieben um ganz legal gekaufte Software handelt; um den KMPlayer wäre schade, da die Abspielergebnisse überzeugen.

Für eine hilfreichen Rat wäre ich sehr dankbar.

Schönen Abend noch – Kristof