| |
| |||||||
Log-Analyse und Auswertung: 100-Tan Trojaner bei Online-Zugang Comdirect_Persoenlicher BereichWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
10.03.2013, 14:53
| #1 |
| |  100-Tan Trojaner bei Online-Zugang Comdirect_Persoenlicher Bereich Hallo, ich bitte um Hilfe bei einem offenbar sehr aehnlich gelagertem Fall wie der von "Janine80" gemeldeten Vorgang "100-Tan Trojaner bei Online-Zugang Comdirect" v. 17.12.2011. Da dort ausdruecklich hingewiesen wurde, dass die Fehlerbeseitigung fallbezogen durchgefuehrt werden soll, eroeffne ich dieses neue Thema. Beim Einloggen in den "Persoenlichen Bereich" beim comdirect Onlinebanking erscheint eine Art Pop up Fenster auf dem Bildschirm mit der Aufforderung 100 Tan Nummern einzugeben und abzusenden. Der Text enthaelt sogar kleine Rechtschreibfehler. Das Fenster laesst sich nicht schliessen und es sind keine Onlinebanking Aktivitaeten moeglich. Jedoch kann die "Zurueck-Taste" verwendet werden. Ein weiterer Versuch hat ergeben, dass eine andere Vorauswahl vor dem Einloggen aus dem Drop-Down Menu der comdirect Loginseite dazu fuehrt, dass das Fenster nicht erscheint und Onlinebanking moeglich ist. Z.B. wenn statt "Persoenlicher Bereich", "Kontouebersicht" ausgewaehlt wird. Comdirect hat inzwischen auf meinen Hinweis mein Konto gesperrt, jedoch keine Anweisung mitgeliefert, wie das Problem behoben werden kann. Gemaess der Anweisung habe ich den Quick Scan von Malwarebytes durchgefuehrt und 8 infizierte Dateien gefunden. (Zuvor hatte ich Antivir mehrfach durchlaufen lassen und zuletzt keine Funde gehabt) Anbei der Malwarebytes Bericht: Malwarebytes Anti-Malware (Test) 1.70.0.1100 www.malwarebytes.org Datenbank Version: v2013.03.10.02 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 8.0.7601.17514 Dude :: BORUSSIA [Administrator] Schutz: Aktiviert 10.03.2013 14:07:50 mbam-log-2013-03-10 (14-07-50).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 213974 Laufzeit: 6 Minute(n), 43 Sekunde(n) Infizierte Speicherprozesse: 1 C:\Users\Dude\AppData\Roaming\Ymuz\wavac.exe (Trojan.EOFail) -> 2680 -> Löschen bei Neustart. Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 4 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLab) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLab) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLab) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLab) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Tyufm (Trojan.EOFail) -> Daten: C:\Users\Dude\AppData\Roaming\Ymuz\wavac.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 2 C:\Users\Dude\AppData\Roaming\Ymuz\wavac.exe (Trojan.EOFail) -> Löschen bei Neustart. C:\Users\Dude\AppData\Local\Temp\is1590112554\IWantThis_IC_V3_ROW.exe (Adware.GamePlayLabs) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Darf ich um Info bitten, wie der naechste Schritt aussieht? Danke im Voraus. |
|
10.03.2013, 16:30
| #2 |
| |  100-Tan Trojaner bei Online-Zugang Comdirect_Persoenlicher Bereich Ich kann nun Folgendes hinzufuegen:
__________________1. Defogger durchgefuehrt => keine Meldung erhalten 2. OTL durchgefuehrt => OTL.txt sh. Anhang => Extras.txt ist zu gross, daher in Teil 1 und 2 separiert |
|
12.03.2013, 12:07
| #3 |
| /// Helfer-Team  | 100-Tan Trojaner bei Online-Zugang Comdirect_Persoenlicher Bereich Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen. Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen. Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte. 1. Schritt Fixen mit OTL Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).
Code:
ATTFilter :OTL
O4 - HKLM..\Run: [SearchSettings] C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.)
:Files
C:\ProgramData\*.exe
C:\ProgramData\*.dll
C:\ProgramData\*.tmp
C:\ProgramData\TEMP
C:\Users\Dude\*.tmp
C:\Users\Dude\AppData\*.dll
C:\Users\Dude\AppData\*.exe
C:\Users\Dude\AppData\Local\Temp\*.exe
C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache
ipconfig /flushdns /c
:Commands
[emptytemp]
Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! 2. Schritt Downloade dir bitte  Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers danach: 3. Schritt Downloade Dir bitte  AdwCleaner auf deinen Desktop.
__________________ |
|
12.03.2013, 22:40
| #4 |
| |  100-Tan Trojaner bei Online-Zugang Comdirect_Persoenlicher Bereich Hallo t'john, vielen Dank fuer Deine Hilfe. Alle Schritte ausgefuehrt, anbei die Ergebnisse: 1. Schritt / OTL: All processes killed ========== OTL ========== Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\SearchSettings deleted successfully. C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe moved successfully. ========== FILES ========== File\Folder C:\ProgramData\*.exe not found. File\Folder C:\ProgramData\*.dll not found. File\Folder C:\ProgramData\*.tmp not found. C:\ProgramData\Temp\{DEC235ED-58A4-4517-A278-C41E8DAEAB3B} folder moved successfully. C:\ProgramData\Temp\{CB099890-1D5F-11D5-9EA9-0050BAE317E1} folder moved successfully. C:\ProgramData\Temp\{80E158EA-7181-40FE-A701-301CE6BE64AB} folder moved successfully. C:\ProgramData\Temp\{5DB1DF0C-AABC-4362-8A6D-CEFDFB036E41} folder moved successfully. C:\ProgramData\Temp\{40BF1E83-20EB-11D8-97C5-0009C5020658} folder moved successfully. C:\ProgramData\Temp\{34FBC7C4-CD31-4D93-A428-0E524EAC4586} folder moved successfully. C:\ProgramData\Temp\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79} folder moved successfully. C:\ProgramData\Temp\{01FB4998-33C4-4431-85ED-079E3EEFE75D} folder moved successfully. C:\ProgramData\Temp folder moved successfully. File\Folder C:\Users\Dude\*.tmp not found. File\Folder C:\Users\Dude\AppData\*.dll not found. File\Folder C:\Users\Dude\AppData\*.exe not found. C:\Users\Dude\AppData\Local\Temp\COMAP.EXE moved successfully. C:\Users\Dude\AppData\Local\Temp\jre-6u29-windows-i586-iftw-rv.exe moved successfully. C:\Users\Dude\AppData\Local\Temp\jre-7u17-windows-i586-iftw.exe moved successfully. C:\Users\Dude\AppData\Local\Temp\jre-7u7-windows-i586-iftw.exe moved successfully. C:\Users\Dude\AppData\Local\Temp\jre-7u9-windows-i586-iftw.exe moved successfully. C:\Users\Dude\AppData\Local\Temp\nitro_pdf_reader_x64.exe moved successfully. C:\Users\Dude\AppData\Local\Temp\setup.exe moved successfully. C:\Users\Dude\AppData\Local\Temp\SkypeSetup.exe moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\tmp folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\muffin folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\host folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\61 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\56 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\53 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\51 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\49 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\47 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\42 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\4 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\38 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\37 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\36 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\35 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\34 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\32 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\31 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\26 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\24 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\19 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\18 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\14 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\13 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\1 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0 folder moved successfully. C:\Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache folder moved successfully. < ipconfig /flushdns /c > Windows IP Configuration Successfully flushed the DNS Resolver Cache. C:\Users\Dude\Desktop\cmd.bat deleted successfully. C:\Users\Dude\Desktop\cmd.txt deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 57616 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Dude ->Temp folder emptied: 790597520 bytes ->Temporary Internet Files folder emptied: 1172544446 bytes ->FireFox cache emptied: 63699010 bytes ->Google Chrome cache emptied: 33141769 bytes ->Flash cache emptied: 62991 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 479604136 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 84793 bytes RecycleBin emptied: 3893536069 bytes Total Files Cleaned = 6.135,00 mb OTL by OldTimer - Version 3.2.69.0 log created on 03122013_212616 Files\Folders moved on Reboot... C:\Users\Dude\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. PendingFileRenameOperations files... Registry entries deleted on Reboot... 2. Schritt / Malwarebytes => nur ein Durchgang, da kein Fund! Malwarebytes Anti-Rootkit BETA 1.01.0.1021 www.malwarebytes.org Database version: v2013.02.15.09 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 8.0.7601.17514 Dude :: BORUSSIA [administrator] 12.03.2013 22:08:24 mbar-log-2013-03-12 (22-08-24).txt Scan type: Quick scan Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P Scan options disabled: Objects scanned: 31629 Time elapsed: 13 minute(s), 13 second(s) Memory Processes Detected: 0 (No malicious items detected) Memory Modules Detected: 0 (No malicious items detected) Registry Keys Detected: 0 (No malicious items detected) Registry Values Detected: 0 (No malicious items detected) Registry Data Items Detected: 0 (No malicious items detected) Folders Detected: 0 (No malicious items detected) Files Detected: 0 (No malicious items detected) (end) 3. Schritt / Adw cleaner => es erfolgte nur ein NeustartAdwCleaner Logfile: Code:
ATTFilter # AdwCleaner v2.114 - Logfile created 03/12/2013 at 22:17:32
# Updated 05/03/2013 by Xplode
# Operating system : Windows 7 Home Premium Service Pack 1 (64 bits)
# User : Dude - BORUSSIA
# Boot Mode : Normal
# Running from : C:\Users\Dude\Desktop\adwcleaner.exe
# Option [Delete]
***** [Services] *****
***** [Files / Folders] *****
File Deleted : C:\Program Files (x86)\Mozilla Firefox\searchplugins\babylon.xml
Folder Deleted : C:\Program Files (x86)\Application Updater
Folder Deleted : C:\Program Files (x86)\Common Files\spigot
Folder Deleted : C:\Program Files (x86)\DealPly
Folder Deleted : C:\Program Files (x86)\pdfforge Toolbar
Folder Deleted : C:\ProgramData\Babylon
Folder Deleted : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DealPly
Folder Deleted : C:\ProgramData\Tarma Installer
Folder Deleted : C:\Users\Dude\AppData\Local\Babylon
Folder Deleted : C:\Users\Dude\AppData\Local\Google\Chrome\User Data\Default\Extensions\gaiilaahiahdejapggenmdmafpmbipje
Folder Deleted : C:\Users\Dude\AppData\LocalLow\pdfforge
Folder Deleted : C:\Users\Dude\AppData\LocalLow\Search Settings
Folder Deleted : C:\Users\Dude\AppData\Roaming\Babylon
Folder Deleted : C:\Users\Dude\AppData\Roaming\Mozilla\Firefox\Profiles\59gt7i80.default\jetpack
Folder Deleted : C:\Users\Dude\AppData\Roaming\OpenCandy
Folder Deleted : C:\Users\Dude\AppData\Roaming\pdfforge
***** [Registry] *****
Key Deleted : HKCU\Software\1ClickDownload
Key Deleted : HKCU\Software\AppDataLow\Software\Crossrider
Key Deleted : HKCU\Software\Cr_Installer
Key Deleted : HKCU\Software\Google\Chrome\Extensions\gaiilaahiahdejapggenmdmafpmbipje
Key Deleted : HKCU\Software\InstallCore
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{5D79F641-C168-40DF-A32F-BACEA7509E75}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C98D5B61-B0EA-4D48-9839-1079D352D880}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CB41FC95-F1B3-4797-8BB6-1012FF62ABBA}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{04D2B915-19FF-41E9-994D-95DC898BEA43}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0696F815-A3A9-490A-BB14-9EC3350B1276}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5D79F641-C168-40DF-A32F-BACEA7509E75}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C98D5B61-B0EA-4D48-9839-1079D352D880}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{CB41FC95-F1B3-4797-8BB6-1012FF62ABBA}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Key Deleted : HKCU\Software\pdfforge
Key Deleted : HKCU\Software\Search Settings
Key Deleted : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Key Deleted : HKLM\Software\Babylon
Key Deleted : HKLM\Software\BabylonToolbar
Key Deleted : HKLM\SOFTWARE\Classes\AppID\{608D3067-77E8-463D-9084-908966806826}
Key Deleted : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Key Deleted : HKLM\SOFTWARE\Classes\AppID\{EA28B360-05E0-4F93-8150-02891F1D8D3C}
Key Deleted : HKLM\SOFTWARE\Classes\Prod.cap
Key Deleted : HKLM\Software\DealPly
Key Deleted : HKLM\Software\Iminent
Key Deleted : HKLM\SOFTWARE\Microsoft\Tracing\apntoolbarinstaller_RASAPI32
Key Deleted : HKLM\SOFTWARE\Microsoft\Tracing\apntoolbarinstaller_RASMANCS
Key Deleted : HKLM\SOFTWARE\Microsoft\Tracing\I Want This_RASAPI32
Key Deleted : HKLM\SOFTWARE\Microsoft\Tracing\I Want This_RASMANCS
Key Deleted : HKLM\Software\pdfforge
Key Deleted : HKLM\Software\Search Settings
Key Deleted : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
Key Deleted : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Key Deleted : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\gaiilaahiahdejapggenmdmafpmbipje
Key Deleted : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Key Deleted : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{2F603A45-D956-496B-81B5-50D782424976}
Key Deleted : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{B85C4CB2-B352-4BD8-818C-BCE353599107}
Key Deleted : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\1ClickDownload
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{23119123-0854-469D-807A-171568457991}
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{2F603A45-D956-496B-81B5-50D782424976}
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B85C4CB2-B352-4BD8-818C-BCE353599107}
Key Deleted : HKLM\SOFTWARE\Tarma Installer
Value Deleted : HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow [*.crossrider.com]
Value Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Value Deleted : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{B922D405-6D13-4A2B-AE89-08A030DA4402}]
Value Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow [*.crossrider.com]
***** [Internet Browsers] *****
-\\ Internet Explorer v8.0.7601.17514
Replaced : [HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls - Tabs] = hxxp://search.babylon.com/?affID=110819&tt=060612_6_&babsrc=NT_ss&mntrId=a0893d78000000000000c6f8da594bb1 --> hxxp://www.google.com
-\\ Mozilla Firefox v [Unable to get version]
File : C:\Users\Dude\AppData\Roaming\Mozilla\Firefox\Profiles\59gt7i80.default\prefs.js
C:\Users\Dude\AppData\Roaming\Mozilla\Firefox\Profiles\59gt7i80.default\user.js ... Deleted !
Deleted : user_pref("extensions.toolbar.mindspark._64Members_.homepage", "hxxp://home.mywebsearch.com/index.jh[...]
-\\ Google Chrome v [Unable to get version]
File : C:\Users\Dude\AppData\Local\Google\Chrome\User Data\Default\Preferences
[OK] File is clean.
*************************
AdwCleaner[S1].txt - [6559 octets] - [12/03/2013 22:17:32]
########## EOF - C:\AdwCleaner[S1].txt - [6619 octets] ##########
---- Kann ich nun bereits davon ausgehen, dass der Rechner wieder sauber ist? Hinweis, ich werde morgen eine Urlaubsreise antreten und nur bedingt meine Emails checken. Bitte nicht wundern, wenn nicht sofort die naechste Antwort kommt. Mein PC bleibt daheim, sodass moegliche naechste Schritte erst nach meiner Wiederkehr ausgefuehrt werden. Trotzdem bin ich natuerlich super interessiert, wie die Auswertung der oben geposteten logs aussieht. Vielen Dank fuer die klasse Unterstuetzung!! |
|
13.03.2013, 08:57
| #5 |
| /// Helfer-Team | 100-Tan Trojaner bei Online-Zugang Comdirect_Persoenlicher Bereich Alles klar. Sehr gut!  Downloade dir bitte  aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none). danach: ESET Online Scanner
danach: Downloade Dir bitte  SecurityCheck und:
|
|
31.03.2013, 22:11
| #6 |
| | 100-Tan Trojaner bei Online-Zugang Comdirect_Persoenlicher Bereich Hallo t'john, ich bin zurueck im Lande, ich hoffe, mein Fall ist noch in Deiner Erinnerung und bei Dir aufgehoben.  Der Laptop war waehrend der Abwesenheit nicht in Verwendung. Anbei nun die Ergebnisse der letzten Anweisung: 1. asw.MBR.txt: aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software Run date: 2013-03-31 18:29:29 ----------------------------- 18:29:29.791 OS Version: Windows x64 6.1.7601 Service Pack 1 18:29:29.807 Number of processors: 2 586 0x100 18:29:29.807 ComputerName: BORUSSIA UserName: Dude 18:29:30.369 Initialize success 18:30:34.959 AVAST engine defs: 13033100 18:31:03.774 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\0000006b 18:31:03.774 Disk 0 Vendor: SAMSUNG_ 2AJ1 Size: 305245MB BusType: 11 18:31:03.899 Disk 0 MBR read successfully 18:31:03.899 Disk 0 MBR scan 18:31:03.961 Disk 0 unknown MBR code 18:31:03.992 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 100 MB offset 2048 18:31:04.039 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 115712 MB offset 206848 18:31:04.055 Disk 0 Partition - 00 0F Extended LBA 170046 MB offset 237185024 18:31:04.086 Disk 0 Partition 3 00 27 Hidden NTFS WinRE NTFS 19384 MB offset 585439232 18:31:04.148 Disk 0 Partition 4 00 07 HPFS/NTFS NTFS 170045 MB offset 237187072 18:31:04.320 Disk 0 scanning C:\windows\system32\drivers 18:31:23.261 Service scanning 18:32:00.406 Modules scanning 18:32:00.421 Disk 0 trace - called modules: 18:32:00.468 ntoskrnl.exe CLASSPNP.SYS disk.sys amd_xata.sys storport.sys hal.dll amd_sata.sys 18:32:00.468 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa800494d060] 18:32:00.484 3 CLASSPNP.SYS[fffff8800193643f] -> nt!IofCallDriver -> [0xfffffa8004724ac0] 18:32:00.499 5 amd_xata.sys[fffff88001100900] -> nt!IofCallDriver -> \Device\0000006b[0xfffffa8004720060] 18:32:01.061 AVAST engine scan C:\windows 18:32:05.273 AVAST engine scan C:\windows\system32 18:38:29.510 AVAST engine scan C:\windows\system32\drivers 18:38:46.779 AVAST engine scan C:\Users\Dude 19:01:11.009 AVAST engine scan C:\ProgramData 19:03:37.312 Scan finished successfully 19:04:15.330 Disk 0 MBR has been saved successfully to "C:\Users\Dude\Desktop\MBR.dat" 19:04:15.345 The log file has been saved successfully to "C:\Users\Dude\Desktop\aswMBR.txt" 2. Eset logfile: ESETSmartInstaller@High as downloader log: Can not open internetESETSmartInstaller@High as downloader log: Can not open internetCan not open internetESETSmartInstaller@High as downloader log: Can not open internet# version=8 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6920 # api_version=3.0.2 # EOSSerial=68f1d8cb45a1274ea2f7870d88f09216 # engine=13521 # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=false # unsafe_checked=false # antistealth_checked=true # utc_time=2013-03-31 08:27:37 # local_time=2013-03-31 10:27:37 (+0100, W. Europe Daylight Time) # country="Germany" # lang=1033 # osver=6.1.7601 NT Service Pack 1 # compatibility_mode=1799 16775165 100 96 1853936 135432962 1843098 0 # compatibility_mode=5893 16776573 100 94 14490 116391507 0 0 # scanned=246426 # found=3 # cleaned=0 # scan_time=11413 sh=AC0CB5766A596A36A21DE2E98E7EE23888B90141 ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="C:\_OTL\MovedFiles\03122013_212616\C_Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0\5e514300-466a28c3" sh=53FE88CFA1405790D97684DC1A5E44C967B455AD ft=0 fh=0000000000000000 vn="Java/Exploit.Agent.NIF trojan" ac=I fn="C:\_OTL\MovedFiles\03122013_212616\C_Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12\3b0dbb4c-5a454c2e" sh=361E8A3145AABBF872605B33F61811B50C3141CD ft=0 fh=0000000000000000 vn="Java/Exploit.Agent.NIP trojan" ac=I fn="C:\_OTL\MovedFiles\03122013_212616\C_Users\Dude\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2\3979ed42-12ea9eda" 3. Security check txt: Results of screen317's Security Check version 0.99.59 Windows 7 Service Pack 1 x64 (UAC is enabled) Internet Explorer 8 Out of date! ``````````````Antivirus/Firewall Check:`````````````` Windows Firewall Enabled! Avira Desktop Antivirus out of date! (On Access scanning disabled!) `````````Anti-malware/Other Utilities Check:````````` Malwarebytes Anti-Malware Version 1.70.0.1100 Java(TM) 6 Update 29 Java 7 Update 17 Java version out of Date! Adobe Flash Player 11.6.602.180 Adobe Reader 9 Adobe Reader out of Date! ````````Process Check: objlist.exe by Laurent```````` Malwarebytes Anti-Malware mbamservice.exe Malwarebytes Anti-Malware mbamgui.exe Avira Antivir avgnt.exe Avira Antivir avguard.exe Malwarebytes' Anti-Malware mbamscheduler.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: 1% ````````````````````End of Log`````````````````````` Was waere nun der naechste Schritt? Vielen Dank nochmals fuer die Unterstuetzung!!! |
|
01.04.2013, 14:32
| #7 |
| /// Helfer-Team | 100-Tan Trojaner bei Online-Zugang Comdirect_Persoenlicher Bereich Deinstalliere: Java(TM) 6 Update 29 Aktualisiere:
Java aktualisieren Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck Java deaktivieren Aufgrund derezeitigen Sicherheitsluecke: http://www.trojaner-board.de/122961-...ktivieren.html Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck |
|
01.04.2013, 18:01
| #8 |
| | 100-Tan Trojaner bei Online-Zugang Comdirect_Persoenlicher Bereich Hallo, Aktionen ausgefuehrt. Plug in check vor Deaktivierung von Java: PluginCheck Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen. Überprüft wird: Browser, Flash, Java und Adobe Reader Version. Internet Explorer 8.0 ist aktuell Flash (11,6,602,180) ist aktuell. Java (1,7,0,17) ist aktuell. Adobe Reader 11,0,0,0 ist aktuell. ... und folgende Meldung bei plug in check nach Deaktivierung von Java: Java ist nicht Installiert oder nicht aktiviert. |
|
01.04.2013, 19:39
| #9 |
| /// Helfer-Team | 100-Tan Trojaner bei Online-Zugang Comdirect_Persoenlicher Bereich Sehr gut! damit bist Du sauber und entlassen!  adwCleaner entfernen
Tool-Bereinigung mit OTL Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
Zurücksetzen der Sicherheitszonen Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen. Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html Systemwiederherstellungen leeren Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein: Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7 Danach wieder aktivieren. Lektuere zum abarbeiten: http://www.trojaner-board.de/90880-d...tallation.html http://www.trojaner-board.de/105213-...tellungen.html PluginCheck http://www.trojaner-board.de/96344-a...-rechners.html Secunia Online Software Inspector http://www.trojaner-board.de/71715-k...iendungen.html http://www.trojaner-board.de/83238-a...sschalten.html http://www.trojaner-board.de/109844-...ren-seite.html PC wird immer langsamer - was tun? |
|
03.04.2013, 20:00
| #10 |
| | 100-Tan Trojaner bei Online-Zugang Comdirect_Persoenlicher Bereich Spitzenklasse, vielen Dank! Hat Spass gemacht. Viele Gruesse!  |
|
04.04.2013, 10:26
| #11 |
| /// Helfer-Team | 100-Tan Trojaner bei Online-Zugang Comdirect_Persoenlicher Bereich wuensche eine virenfreie Zeit  |
|
| Themen zu 100-Tan Trojaner bei Online-Zugang Comdirect_Persoenlicher Bereich |
| administrator, anti-malware, antivir, appdata, autostart, bildschirm, comdirect, dateien, ebanking, einloggen, explorer, geliefert, gelöscht, gesperrt, infizierte, löschen, malwarebytes, microsoft, neue, persoenlicher bereich, pop up, pop up fenster, problem, roaming, scan, seite, software, tan abfrage, temp, trojaner |
Linear-Darstellung
