Hallo

erstmal sorry falls das ein bisschen durcheinander ist, aber ich bin genau so durcheinander.

Folgendes ist heute passiert:
Wollte mich von meinem Rechner über mein Online Banking (DKB) einloggen und habe meine Daten eingegeben auf der verschlüsselten DKB Seite. DAnn kam eine Meldung ich solle meine 100 TANs eingeben, da diese ablaufen und ich neue zugeschickt bekomme... ja nee, is klar! Hab ich natürlich nicht gemacht sondern hab das am PC meiner Eltern nochmal versucht und da ging alles normal und ich kam rein.

So jetzt habe ich versucht mein PayPal Passwort zu ändern... Gehe ganz normal über die Verschlüsselte PAyPal seite rein und gehe auf Passwort ändern. Dann werde ich aufgefordert meine gesamte Kreditkartennummer einzugeben, bevor ich fortfahren kann.... schlechter Witz, oder? habe auch schon ne Mail geschrieben!

Genau so wie an DKB, keine 20 min später kam ein Anruf, dass dies definitiv nicht von DKB kam sondern ein Phishing Versuch ist... mein Konto wurde jetzt gesperrt.
Hab mir Avira geholt (Avira durchlaufen lassen, nebenbei mit meinem Bruder telefoniert und ihm das geschildert.) Avira soll ja gar nicht so gut sein, hab jetzt Kaspersky Internet Security 2013 und lasse das gerade parallel zu Malewarebytes Anti Maleware laufen....

Ich hab echt Schiss!

Hallo,

Zitat:

sondern ein Phishing Versuch ist...

Das ist nicht wirklich ein Phishing-Versuch, sondern du hast Infostealer-Malware (auch "Banking-Trojaner" genannt) auf dem Rechner! Verzichte im Moment darauf, auf deinem Rechner irgendwelche Passwörter oder Ähnliches einzugeben.

Zitat:

hab jetzt Kaspersky Internet Security 2013 und lasse das gerade parallel zu Malewarebytes Anti Maleware laufen....

Diese Scans sollten nicht parallel laufen.

Mach folgende Schritte, wenn alle Scans durch sind (und poste ebenfalls die Logs von den Scans, die du jetzt machst).


Schritt 1

Downloade dir bitte defogger (von jpshortstuff) auf deinen Desktop.

• Starte das Tool mit Doppelklick.
• Klicke nun auf den Disable Button.
• Bestätige diese Sicherheitsabfrage mit Ja.
• Wenn der Scan beendet wurde (Finished), klicke auf OK.
• Falls Defogger zu einem Neustart auffordert, bestätige dies mit OK.
• Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt.
• Nur falls Probleme aufgetreten sind, poste deren Inhalt mit deiner nächsten Antwort.

Klicke den Re-enable Button nicht ohne Anweisung!



Schritt 2

Lade dir Gmer herunter (auf den Button Download EXE drücken) und speichere das Programm auf den Desktop.

• Deaktiviere alle Antivirenprogramme und Malware/Spyware Scanner.
• Trenne alle bestehenden Verbindungen zu einem Netzwerk/Internet (WLAN nicht vergessen).
• Schliesse bitte alle anderen Programme.
• Starte gmer.exe (die Datei hat einen zufälligen Dateinamen).
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Sollte sich ein Fenster mit folgender Warnung öffnen

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  dann klicke unbedingt auf No.
• Entferne rechts den Haken bei:
  • IAT/EAT
  • Show all
• Setze rechts den Haken bei deiner Systempartition (normalerweise C:\).
• Starte den Scan mit einem Klick auf Scan.
• Mache gar nichts am Computer, während der Scan läuft!
• Wenn der Scan fertig ist, klicke auf Save und speichere das Logfile unter Gmer.txt auf deinen Desktop.
• Schliesse dann GMER und führe unmittelbar einen Neustart des Computers durch.
• Füge bitte den Inhalt des Logfiles hier in deine Thread ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor du ins Netz gehst.



Schritt 3

Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.

• Doppelklick auf die OTL.exe.
• Unter Extra Registry, wähle bitte Use SafeList.
• Setze den Haken bei Scan all Users.
• Klicke nun auf Run Scan.
• Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
• Poste den Inhalt dieser Logfiles hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Log von Gmer
• Logs von OTL

So hier mal der Log von Kaspersky, nachdem Avira nicht wirklich was gefunden hat:

Typ: trojanisches Programm (14)
Packed.Win32.Krap.hc Gelöscht 22.03.2013 18:20:53 D:\System Volume Information\_restore{51896D97-ACE6-4EF6-8DDF-77AB9B1F0F7E}\RP157\ A0025997.exe
Trojan.Win32.Favadd.aka Gelöscht 22.03.2013 01:23:46 D:\System Volume Information\_restore{51896D97-ACE6-4EF6-8DDF-77AB9B1F0F7E}\RP156\ A0025353.dll
Exploit.Win32.Aluigi.gw Gelöscht 22.03.2013 01:13:25 D:\System Volume Information\_restore{51896D97-ACE6-4EF6-8DDF-77AB9B1F0F7E}\RP156\ A0025199.exe
Trojan.Win32.Favadd.aka Gelöscht 22.03.2013 01:13:12 D:\System Volume Information\_restore{51896D97-ACE6-4EF6-8DDF-77AB9B1F0F7E}\RP156\ A0025362.dll
Exploit.Win32.Aluigi.gw Gelöscht 22.03.2013 01:13:10 D:\System Volume Information\_restore{51896D97-ACE6-4EF6-8DDF-77AB9B1F0F7E}\RP156\ A0025200.exe
Exploit.Win32.Aluigi.gs Gelöscht 22.03.2013 01:12:38 D:\System Volume Information\_restore{51896D97-ACE6-4EF6-8DDF-77AB9B1F0F7E}\RP153\ A0024729.exe
Trojan-Downloader.Win32.Banload.bisd Gelöscht 22.03.2013 01:12:35 D:\System Volume Information\_restore{51896D97-ACE6-4EF6-8DDF-77AB9B1F0F7E}\RP153\ A0024726.exe
Backdoor.Win32.VB.cmb Gelöscht 22.03.2013 01:12:33 D:\System Volume Information\_restore{51896D97-ACE6-4EF6-8DDF-77AB9B1F0F7E}\RP153\ A0024723.exe
Backdoor.Win32.VB.cmb Gelöscht 22.03.2013 01:12:32 D:\System Volume Information\_restore{51896D97-ACE6-4EF6-8DDF-77AB9B1F0F7E}\RP153\ A0024722.exe
Backdoor.Win32.VB.cmb Gelöscht 22.03.2013 01:12:31 D:\System Volume Information\_restore{51896D97-ACE6-4EF6-8DDF-77AB9B1F0F7E}\RP153\A0024721.exe// #
Backdoor.Win32.VB.cmb Gelöscht 22.03.2013 01:12:30 D:\System Volume Information\_restore{51896D97-ACE6-4EF6-8DDF-77AB9B1F0F7E}\RP153\A0024721.exe// data0000.res
Backdoor.Win32.VB.cmb Gelöscht 22.03.2013 01:12:29 D:\System Volume Information\_restore{51896D97-ACE6-4EF6-8DDF-77AB9B1F0F7E}\RP153\ A0024720.exe
Backdoor.Win32.VB.cmb Gelöscht 22.03.2013 01:12:27 D:\System Volume Information\_restore{51896D97-ACE6-4EF6-8DDF-77AB9B1F0F7E}\RP153\ A0024717.exe
Trojan.Win32.Agent.xgqn Gelöscht 22.03.2013 01:11:51 D:\System Volume Information\_restore{51896D97-ACE6-4EF6-8DDF-77AB9B1F0F7E}\RP151\ A0024669.exe
Typ: legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen (7)
not-a-virus:Client-IRC.Win32.mIRC.617 Gefunden; nicht verarbeitet 22.03.2013 18:46:40 D:\zeuch\mirc617.exe// data0000
not-a-virus:WebToolbar.Win32.MyWebSearch.bz Gefunden; nicht verarbeitet 22.03.2013 18:10:21 D:\Reinstall\ zlsSetup_70_462_000_de.exe
not-a-virus:Client-IRC.Win32.mIRC.616 Gefunden; nicht verarbeitet 22.03.2013 18:02:47 D:\Reinstall\girc442.exe// mirc.exe
not-a-virus:WebToolbar.Win32.WhenU.a Gefunden; nicht verarbeitet 22.03.2013 18:02:41 D:\Reinstall\daemon403-x86.exe// SetupDTSB.exe
not-a-virus:PSWTool.Win32.PWInspector.b Gelöscht 22.03.2013 14:07:21 d:\system volume information\_restore{51896d97-ace6-4ef6-8ddf-77ab9b1f0f7e}\rp156\ a0025224.exe
not-a-virus:PSWTool.Win32.PWInspector.b Gelöscht 22.03.2013 14:07:20 d:\system volume information\_restore{51896d97-ace6-4ef6-8ddf-77ab9b1f0f7e}\rp156\ a0025219.exe
not-a-virus:Server-FTP.Win32.BulletProof.231 Virenfreies Objekt in der Quarantäne 22.03.2013 14:06:48 d:\eigene dateien\meine empfangenen dateien\dateien\bulletproof_ftp_server_v2.3.1.26_cracked_working_by_eat.zip//BulletProof.FTP.Server.v2.3.1.26.WinAll.Cracked.Working-EAT/crack/ bpftpserver.exe
Typ: Unbekannt (2)
bulletproof_ftp_server_v2.3.1.26_cracked_working_by_eat.zip Desinfiziert 22.03.2013 14:06:48 d:\eigene dateien\meine empfangenen dateien\dateien\ bulletproof_ftp_server_v2.3.1.26_cracked_working_by_eat.zip
A0024721.exe Gelöscht 22.03.2013 01:12:31 D:\System Volume Information\_restore{51896D97-ACE6-4EF6-8DDF-77AB9B1F0F7E}\RP153\ A0024721.exe
Typ: Programm, das Schaden verursachen kann (4)
HackTool.Win32.VB.wh Gelöscht 22.03.2013 14:07:22 d:\system volume information\_restore{51896d97-ace6-4ef6-8ddf-77ab9b1f0f7e}\rp156\ a0025258.exe
Flooder.Win32.VB.ex Gelöscht 22.03.2013 14:07:17 d:\system volume information\_restore{51896d97-ace6-4ef6-8ddf-77ab9b1f0f7e}\rp153\ a0024724.exe
Flooder.Win32.TeamSpeak.b Gelöscht 22.03.2013 14:07:10 d:\system volume information\_restore{51896d97-ace6-4ef6-8ddf-77ab9b1f0f7e}\rp153\ a0024719.exe
Flooder.Win32.TeamSpeak.b Gelöscht 22.03.2013 14:06:53 d:\system volume information\_restore{51896d97-ace6-4ef6-8ddf-77ab9b1f0f7e}\rp153\ a0024716.exe


Und der Malewarebytes log...


Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.03.21.12

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
rippi :: RIPPER [Administrator]

22.03.2013 07:10:02
MBAM-log-2013-03-22 (13-59-44).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 436931
Laufzeit: 1 Stunde(n), 42 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 13
D:\Games\Swat 4\Crack\rld-s4kg.EXE (Trojan.Downloader) -> Keine Aktion durchgeführt.
D:\Reinstall\tc11.exe (Trojan.FlashKiller) -> Keine Aktion durchgeführt.
D:\Reinstall\ventrilo-2.1.4-Windows-i386.exe (Trojan.Dropper) -> Keine Aktion durchgeführt.
D:\Reinstall\CloneCD 3.3.4.1\CloneCD v.3.3.4.1.exe (Trojan.Agent.CK) -> Keine Aktion durchgeführt.
D:\Reinstall\CloneCD 3.3.4.1\damn_CloneCD3042_kg.exe (Trojan.Agent.CK) -> Keine Aktion durchgeführt.
D:\System Volume Information\_restore{51896D97-ACE6-4EF6-8DDF-77AB9B1F0F7E}\RP147\A0024356.dll (Trojan.FakeMS) -> Keine Aktion durchgeführt.
D:\System Volume Information\_restore{51896D97-ACE6-4EF6-8DDF-77AB9B1F0F7E}\RP148\A0024384.dll (Trojan.FakeMS) -> Keine Aktion durchgeführt.
D:\System Volume Information\_restore{51896D97-ACE6-4EF6-8DDF-77AB9B1F0F7E}\RP149\A0024405.dll (Trojan.FakeMS) -> Keine Aktion durchgeführt.
D:\System Volume Information\_restore{51896D97-ACE6-4EF6-8DDF-77AB9B1F0F7E}\RP150\A0024659.dll (Trojan.FakeMS) -> Keine Aktion durchgeführt.
D:\System Volume Information\_restore{51896D97-ACE6-4EF6-8DDF-77AB9B1F0F7E}\RP82\A0012365.exe (HackTool.GamesCheat.Gen) -> Keine Aktion durchgeführt.
D:\Dokumente und Einstellungen\rippi\Anwendungsdaten\Wady\oku.dll (Trojan.FakeMS) -> Keine Aktion durchgeführt.
D:\Dokumente und Einstellungen\rippi\Lokale Einstellungen\Temp\KUM.dll (Trojan.FakeMS) -> Keine Aktion durchgeführt.
E:\Incoming\O&O Defrag Professional Edition v10.0.1634 Incl Keymaker-Zwt\crack\keygen.exe (Riskware.Tool.CK) -> Keine Aktion durchgeführt.

(Ende)

Ach, so viel Crack-Mist. Da muss man sich nicht wundern, wenn die Kiste verseucht ist.
Du hattest einen hässlichen Infostealer drauf, setz neu auf.

Cracks und Keygens

Die Logfiles deuten stark darauf hin, dass du nicht legal erworbene Software einsetzt. Nebst ihrer Illegalität sind Cracks und Patches aus dubioser Quelle auch sehr oft mit Schädlingen versehen, womit man sich also fast schon vorsätzlich infiziert.

Wir haben uns hier auf dem Board darauf geeinigt, dass wir an dieser Stelle nicht weiter bereinigen, da wir ein solches Vorgehen nicht unterstützen. Wir haben dich in unserer Anleitung unter Punkt 8 der Foren-Regeln auch unmissverständlich darauf hingewiesen, wie wir damit umgehen werden.

Diese Software hat ihren Preis und die Softwarefirmen leben von diesen Einnahmen. Als Alternative gibt es überall jede Menge sehr gute Freeware oder abgespeckte, günstig zu erwerbende Versionen.

Unsere Empfehlung hier lautet, einen sauberen Neuanfang zu vollziehen, und unsere Hilfe beschränkt sich daher auf das Neuaufsetzen und Absichern deines Systems.
Fragen dazu beantworten wir dir aber weiterhin gerne und zwar in unserem Unterforum Alles rund um Windows.

Dieses Thema ist erledigt und wird aus meinen Abos gelöscht. Ich bekomme somit keine Benachrichtigung mehr über neue Antworten.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.