100-Tan Trojaner bei Online-Zugang Comdirect_Persoenlicher Bereich

Ranjo84

Hallo,
ich bitte um Hilfe bei einem offenbar sehr aehnlich gelagertem Fall wie der von "Janine80" gemeldeten Vorgang "100-Tan Trojaner bei Online-Zugang Comdirect" v. 17.12.2011.

Da dort ausdruecklich hingewiesen wurde, dass die Fehlerbeseitigung fallbezogen durchgefuehrt werden soll, eroeffne ich dieses neue Thema.

Beim Einloggen in den "Persoenlichen Bereich" beim comdirect Onlinebanking erscheint eine Art Pop up Fenster auf dem Bildschirm mit der Aufforderung 100 Tan Nummern einzugeben und abzusenden. Der Text enthaelt sogar kleine Rechtschreibfehler.

Das Fenster laesst sich nicht schliessen und es sind keine Onlinebanking Aktivitaeten moeglich. Jedoch kann die "Zurueck-Taste" verwendet werden.
Ein weiterer Versuch hat ergeben, dass eine andere Vorauswahl vor dem Einloggen aus dem Drop-Down Menu der comdirect Loginseite dazu fuehrt, dass das Fenster nicht erscheint und Onlinebanking moeglich ist. Z.B. wenn statt "Persoenlicher Bereich", "Kontouebersicht" ausgewaehlt wird.

Comdirect hat inzwischen auf meinen Hinweis mein Konto gesperrt, jedoch keine Anweisung mitgeliefert, wie das Problem behoben werden kann.

Gemaess der Anweisung habe ich den Quick Scan von Malwarebytes durchgefuehrt und 8 infizierte Dateien gefunden. (Zuvor hatte ich Antivir mehrfach durchlaufen lassen und zuletzt keine Funde gehabt)

Anbei der Malwarebytes Bericht:

Malwarebytes Anti-Malware (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.03.10.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Dude :: BORUSSIA [Administrator]

Schutz: Aktiviert

10.03.2013 14:07:50
mbam-log-2013-03-10 (14-07-50).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 213974
Laufzeit: 6 Minute(n), 43 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\Users\Dude\AppData\Roaming\Ymuz\wavac.exe (Trojan.EOFail) -> 2680 -> Löschen bei Neustart.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 4
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLab) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLab) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLab) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLab) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Tyufm (Trojan.EOFail) -> Daten: C:\Users\Dude\AppData\Roaming\Ymuz\wavac.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\Dude\AppData\Roaming\Ymuz\wavac.exe (Trojan.EOFail) -> Löschen bei Neustart.
C:\Users\Dude\AppData\Local\Temp\is1590112554\IWantThis_IC_V3_ROW.exe (Adware.GamePlayLabs) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)


Darf ich um Info bitten, wie der naechste Schritt aussieht?
Danke im Voraus.