Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Problem mit https nach BKA-Cash-Trojaner

Problem mit https nach BKA-Cash-Trojaner


Plagegeister aller Art und deren Bekämpfung: Problem mit https nach BKA-Cash-Trojaner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 22.03.2012, 18:27   #1
Dennis G
 
Problem mit https nach BKA-Cash-Trojaner - Standard

Problem mit https nach BKA-Cash-Trojaner


Hallo,

vor einigen Tagen hatte ich in meinem PC (Windows XP SP3) eine Infektion mit dem BKA-Schutzgeld-Trojaner. Diesen habe ich nach entsprechenden Anweisungen im Internet beseitigt und den Rechner mit Malwarebytes Antimalware gescannt. Das Log ist wie folgt:

Code:
ATTFilter
Datenbank Version: v2012.03.09.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Tian :: INANNA [Administrator]

09.03.2012 17:01:00
mbam-log-2012-03-09 (17-01-00).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 261609
Laufzeit: 12 Minute(n), 43 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 8
HKCR\CLSID\{975670D0-7EFB-4fa8-90FA-3AE575B9FB77} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\linkrdr.AIEbho.1 (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\linkrdr.AIEbho (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{975670D0-7EFB-4FA8-90FA-3AE575B9FB77} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{975670D0-7EFB-4FA8-90FA-3AE575B9FB77} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{975670D0-7EFB-4FA8-90FA-3AE575B9FB77} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 1
D:\WINDOWS\system32\xmldm (Stolen.Data) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 3
D:\Dokumente und Einstellungen\Tian\Lokale Einstellungen\Temp\0.43004126343800886.exe (Spyware.Zbot.ES) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\WINDOWS\system32\srvblck2.tmp (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\WINDOWS\system32\AcroIEHelpe.txt (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Seit dieser Infektion habe ich beim Surfen im Internet einige Auffälligkeiten beobachtet, so dass ich denke, dass die Schadsoftware nicht vollständig beseitigt werden konnte.
  • Bei HTTPS-Verbindungen kommt bei Mozilla Firefox 11 die Fehlermeldung, dass dem Zertifikat nicht vertraut wird. Es wurde angeblich immer für Production Internet Services von Thatwe, Inc. ausgestellt. Das gleiche Problem tritt auch beim Internet Explorer 8 und bei Opera auf. Nur bei Google-Chrome werden die HTTPS-Seiten mit dem richtigen Zertifikat angezeigt. Bei anderen Rechnern, die am gleichen Router hängen, tritt dieses Problem nicht auf.
  • Bei einigen Webseiten kommt die Fehlermeldung "Die Verbindung wurde zurückgesetzt". Diese Webseiten konnten für einige Zeit nicht geladen werden. Da es u.a. um Seiten des Heise-Verlages ging, kann wohl ausgeschlossen werden, dass es ein Fehler des Webservers war.
  • Die Autovervollständigen-Funktion der Wikipedia funktioniert nicht mehr.
  • Bei Systemstart sind einige (bis zu 3) Instanzen des Internet-Explorers (iexplore.exe) im Hintergrund aktiv, obwohl sie nie zu sehen sind.

Dass scheint mir alles auf eine Man-in-the-middle-Attacke hinzudeuten. Offenbar wird mein Surfen im Web abgehört.

Ein weiterer Scan mit Antimalware erbrachte folgendes Ergebnis:
Code:
ATTFilter
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.20.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Tian :: INANNA [Administrator]

20.03.2012 16:24:22
mbam-log-2012-03-20 (16-24-22).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 300937
Laufzeit: 1 Stunde(n), 20 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
D:\System Volume Information\_restore{82E27912-56B4-48DD-8BE8-CCB564829CC9}\RP723\A0361246.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Diese Schadsoftware wird inzwischen auch Avira-Antivirus erkannt. Das Programm behauptet, diesen Schädling gelöscht zu haben, er taucht aber immer wieder auf, offenbar dann, wenn Windows Systemwiederherstellungspunkte erstellt. Eine Systemwiederherstellung ist nicht mehr möglich.

Scans mit dds und GMER konnten nicht durchgeführt werden. DDS blieb reproduzierbar an einer Stelle stecken und GMER führte zweimal zu einem Einfrieren des Computers.

Ist unter diesem Umständen noch etwas zu retten, oder eine Neuinstallation des Betriebssystems notwendig?

 

Themen zu Problem mit https nach BKA-Cash-Trojaner
administrator, bka-trojaner, browser, dateisystem, einfrieren, explorer, fehlermeldung, firefox, helper, heuristiks/extra, heuristiks/shuriken, https, hängen, iexplore.exe, internet, log, malwarebytes, microsoft, mozilla, nicht vertraut, opera, problem, programm, router, schädling, software, spyware.zbot.es, surfen, system volume information, temp, windows, windows xp, xmldm


« [ERLEDIGT] Bildschirm schwarz wie bei Trojaner, jedoch ohne Zahlungsmeldung | Kein Internetzugang mehr...Virus? »


Ähnliche Themen: Problem mit https nach BKA-Cash-Trojaner


  1. HTTPS: Darstellungs- und Ajax-Probleme bei HTTPS-Seiten - Chrome und Firefox
    Plagegeister aller Art und deren Bekämpfung - 16.08.2015 (11)
  2. Payments and cash management - HSBC Spam: Payment Advice
    Diskussionsforum - 15.01.2015 (1)
  3. Yahoo zieht nach - Nutzer können HTTPS aktivieren
    Nachrichten - 09.01.2013 (0)
  4. cash-trojaner in form von antivirus programm
    Plagegeister aller Art und deren Bekämpfung - 27.12.2012 (19)
  5. U-Cash Virus
    Log-Analyse und Auswertung - 23.11.2012 (21)
  6. U-Cash-Trojaner startet bei Browserstart und legt Vista lahm
    Log-Analyse und Auswertung - 25.09.2012 (36)
  7. U-cash-Trojaner bei Windows XP SP3
    Log-Analyse und Auswertung - 10.09.2012 (15)
  8. U Cash GVU 2.07 eingefangen
    Plagegeister aller Art und deren Bekämpfung - 31.07.2012 (4)
  9. Windows Trojaner mit 100 Euro U cash Aufforderung!
    Plagegeister aller Art und deren Bekämpfung - 07.06.2012 (3)
  10. BKA Trojaner / U Cash 100 Euro
    Log-Analyse und Auswertung - 04.04.2012 (17)
  11. Windows Security Center Virus, mit Zahlungsaufforderung von 100 Euro via U-Cash/Paysafe
    Log-Analyse und Auswertung - 02.02.2012 (5)
  12. HTTP, Https und FTP -Problem
    Netzwerk und Hardware - 01.07.2008 (4)
  13. Problem nach Trojaner mit IE
    Plagegeister aller Art und deren Bekämpfung - 01.03.2006 (3)
  14. https seiten nach SP2 nicht anzeigbar
    Alles rund um Windows - 04.04.2005 (13)
  15. Cash Back Hund und andere Werbedinger
    Plagegeister aller Art und deren Bekämpfung - 22.02.2005 (8)
  16. Cash Back Hund
    Plagegeister aller Art und deren Bekämpfung - 23.08.2004 (28)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Problem mit https nach BKA-Cash-Trojaner - Hallo, vor einigen Tagen hatte ich in meinem PC (Windows XP SP3) eine Infektion mit dem BKA-Schutzgeld-Trojaner. Diesen habe ich nach entsprechenden Anweisungen im Internet beseitigt und den Rechner mit - Problem mit https nach BKA-Cash-Trojaner...
Archiv
Du betrachtest: Problem mit https nach BKA-Cash-Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131