Schönen guten Tag.

Ich wende mich mit folgendem Problem an euch.

Als ich mich gestern in meinen Online-Banking Account einloggen wollte, bekam ich eine fadenscheinige Mitteilung dass die "Sicherheitsbestimmungen" geändert worden seien und ich nun eine TAN, die mir dann sogar per SmS geschickt wurde eingeben solle (wodurch dann eine enorme Summe Geld überwiesen worden wäre).

Ich habe mich dann neben der Rücksprache und den entsprechenden Maßnahmen mit meiner Bank im Internet über diese Art von Trojaner informiert und bin auf dieses Forum gestoßen.

Ich habe die Anweisungen in den gängigen Threads befolgt und habe zunächst einen Scan mit Malwarebytes durchgeführt.
Dieses entdeckte dirverse Bedrohungen, die meisten davon auf einer älteren externen Festplatte, die ich inzwischen formatiert habe.

Nach dem Entfernen der Schaddateien auf C zeigt Malwarebytes nun keine infizierten Dateien mehr an.

Der Scan mit ESET aber schon. Nun ist meine Frage, wie dieser letzte Schädling einzuschätzen ist und ob ich bei C um eine Formatierung drumrum komme.

Das ESET Log hier:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=a1a1631f02ef824783d62f6a22d322f9
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-03-15 02:20:01
# local_time=2012-03-15 03:20:01 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1280 16777215 100 0 58910 58910 0 0
# compatibility_mode=5893 16776574 100 94 190381 83449997 0 0
# compatibility_mode=8192 67108863 100 0 4459 4459 0 0
# scanned=107421
# found=1
# cleaned=0
# scan_time=1054
C:\Users\Simon\AppData\Local\Temp\ICReinstall\cnet2_ExplorerSuite_exe.exe a variant of Win32/InstallCore.D application (unable to clean) 00000000000000000000000000000000 I


Vielen Dank schon mal

hi,
öffne malwarebytes, logdateien, poste alle berichte bitte.

Hier die Logs:

Der erste:

15.03.2012 11:20:37
mbam-log-2012-03-15 (11-20-37).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 632455
Laufzeit: 1 Stunde(n), 38 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Validator (Trojan.Agent) -> Daten: C:\Users\Simon\AppData\Roaming\Microsoft Corporation\{7E013B9C-F385-488F-A349-5BA06930B81E}\Validator.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 5
C:\Users\Simon\AppData\Roaming\Microsoft Corporation\{7E013B9C-F385-488F-A349-5BA06930B81E}\Validator.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
E:\Program Files\Alcohol Soft\Alcohol 120\Langs\AX_RU.dll (Malware.Packer.GenX) -> Erfolgreich gelöscht und in Quarantäne gestellt.
E:\Stuff\SoftonicDownloader_fuer_4gb-skyrim-mod.exe (PUP.BundleOffer.Downloader.S) -> Erfolgreich gelöscht und in Quarantäne gestellt.
E:\Users\Simon\Desktop\Stuff\Keygen for Sony Vegas Movie Studio Platinum 9.0b.exe (Trojan.Agent.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
E:\Users\Simon\Downloads\installer_driver_samsung_ml-1710_laser_5_33_Deutsch_Deutsch.exe (PUP.SmsPay.pns) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Nach der Formatierung von E:

Malwarebytes Anti-Malware (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.15.02

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus)
Internet Explorer 8.0.7601.17514
Simon :: SIMON-PC [Administrator]

Schutz: Deaktiviert

15.03.2012 13:53:23
mbam-log-2012-03-15 (13-53-23).txt

Art des Suchlaufs: Flash-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: Registrierung | Dateisystem | P2P
Durchsuchte Objekte: 172718
Laufzeit: 3 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|LicenseValidator (Trojan.Agent) -> Daten: C:\Users\Simon\AppData\Roaming\Identities\{AF06F1D9-0617-4663-A141-10237FB7B122}\LicenseValidator.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Simon\AppData\Roaming\Identities\{AF06F1D9-0617-4663-A141-10237FB7B122}\LicenseValidator.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Der bisher letzte Scan (abgesehen von ESET):

Simon :: SIMON-PC [Administrator]

Schutz: Aktiviert

15.03.2012 14:11:58
mbam-log-2012-03-15 (14-11-58).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 1078
Laufzeit: 8 Sekunde(n) [Abgebrochen]

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Anmerkung: Im ersten Log sind auch noch die Schädlinge von E aufgeführt, die unter anderem auf keygens zurückzuführen sind. Entsprechend euren Regeln habe ich diese Festplatte schon formatiert, meine Anfrage bezieht sich entsprechend nur auf C.

Die alte Festplatte war in meinen damaligen Rechner eingebaut, seit ich einen neuen Rechner habe, nutze ich sie nur als Datenspeicher. C ist wie ihr sehen könnt sauber, ich nutze nämlich keine keygens oder ähnliches mehr mit meinem neuen rechner..die entsprechenden Schädlinge sind also "Relikte" die mir bisher einfach nicht aufgefallen waren.
Daher hoffe ich, dass ihr mir helft

1. nutzt du keygens, dass ist illegal, schon allein aus dem grund kann ich dir nur beim daten sichern, formatieren und neu aufsetzen helfen.
2. machst du onlinebanking da wäre es sowieso das sicherste.

1. Datenrettung:

• deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
• dann sichere Daten auf einen externen Datenträger (USB-Platte): http://www.trojaner-board.de/82533-d...ted-magic.html
  Bider, Dokumente, Musik, Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neuinstallieren:

• nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
• Recovery CD oder Recovery Partition?
• falls dies ein Fertig-PC ist, nenne Hersteller + Typ.
• Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

deswegen meine Anmerkung

Ich nutze KEINE Keygens mehr. Ist der Schädling auf C auch auf einen Keygen zurückzuführen?

Hätte ich meine alte Platte nicht verbaut, würden die Keygen-Schädlinge gar nicht mehr auftauchen. Die E HABE ich doch entsprechend euren Regeln formatiert.

Dass die Nutzung von Keygens Mist ist weiß ich inzwischen auch. Deswegen habe ich in meiner ursprünglichen Anfrage auch nur die Beiträge gepostet, in denen E nicht mehr vorkommt, weil sie komplett gelöscht wurde.

Ist auch in diesem Fall wirklich keine Hilfe drin? (Dies hier soll kein "Diskussionsversuch" sein, mehr ein Appell an die Würdigung des Einzelfalls)

nein, denn wenn ich jetzt bei dir sage, ok ich machs, kommt der nächste, usw.