Hallo,

als ich mich heute bei meiner Bank online für das Online Banking einloggen wollte, teilte man mir mit, dass mein Konto für das Online Banking gesperrt sei. Ich rief bei meiner Bank an und dort teilte mir ein Experte mit, dass man im Internet meine Bankdaten + PIN gefunden hat und deswegen sicherheitshalber mein Konto für das Online Banking gesperrt habe.
Ich soll nun meinen Rechner scannen und dann ein Fax abschicken, dass mein PC wieder clean ist und ich neue Online Banking Zugangsdaten bekomme.

Habe zuerst mit KAV gescannt. Es wurden 3 Trojaner gefunden, aber nur die exe dateien - sonst keine gefährlichen Registry Einträge oder ähnliches laut KAV.
Ich konnte alle 3 Dateien anstandslos durch KAV löschen lassen!
Ich bin mir auch relativ sicher, dass ich die gefundenen Dateien nie ausgeführt habe und die nur auf meinem Rechner lagen...

KAV Logfile + Hijack Log


Danke!

Code: Alles auswählenAufklappen

ATTFilter

Virensuche : abgeschlossen
--------------------------
Untersucht:	475888
Gefunden:	3
Nicht bearbeitet:	0
Start:	23.10.2007 12:16:46
Dauer:	01:30:28
Ende:	23.10.2007 13:47:14


Gefunden
--------
Status	Objekt
------	------
gelöscht: trojanisches Programm Backdoor.Win32.IRCBot.aaq	Datei: C:\Dokumente und Einstellungen\***\Eigene Dateien\Meine empfangenen Dateien\photos.zip/photos album-2007-5-26.scr
gelöscht: trojanisches Programm Trojan-Downloader.Win32.Small.fuk	Datei: C:\Reconnect\Router-Control\printip.exe
gelöscht: trojanisches Programm Trojan-Downloader.Win32.Small.fuk	Datei: C:\Reconnect\Modems\printip.exe



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:05:29, on 23.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\cFosSpeed\cFosSpeed.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\cFosSpeed\spd.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\***\Desktop\Scan\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ig?hl=de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=194.36.10.154:3128
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Programme\Xi\NetXfer\NXIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Programme\Xi\NetXfer\NXToolBar.dll
O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &Save Flash In This Page by Flash Saver - C:\PROGRA~1\FLASHS~1\save.htm
O8 - Extra context menu item: Alles mit NetXfer herunterladen - C:\Programme\Xi\NetXfer\NXAddList.html
O8 - Extra context menu item: Herunterladen mit NetXfer - C:\Programme\Xi\NetXfer\NXAddLink.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Flash Saver - {09EA1F80-F40A-11D1-B792-444553540001} - C:\PROGRA~1\FLASHS~1\save.htm
O9 - Extra 'Tools' menuitem: Flash Saver - {09EA1F80-F40A-11D1-B792-444553540001} - C:\PROGRA~1\FLASHS~1\save.htm
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MIC273~1\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (Snapfish Drag and Drop upload plugin) - http://www.pixaco.de/static/download/pixacodndupload.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1191326427906
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/webplayer/stage6/windows/AutoDLDivXWebPlayerInstaller.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1191326707593
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Programme\cFosSpeed\spd.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 7941 bytes
         

Hallo.

Code: Alles auswählenAufklappen

ATTFilter

Datei: C:\Dokumente und Einstellungen\***\Eigene Dateien\Meine empfangenen Dateien\photos.zip/photos album-2007-5-26.scr
         

Die photos.zip musst du zumindest gewollt abgespeichert haben, sieht nach irgendeinem Messenger-Wurm aus. Ob du ihn auch ausgeführt hast, musst du wissen. Aber wenn ein Virenscanner nichts weiter mehr findet, heißt das leider nicht, dass das System auch sauber ist.

Wenn ich mich recht entsinne müsste Kaspersky eine Funktion haben, eine Notfall-Disk zu erstellen. Versuch das mal und boote von diesem Medium und führe den KAV aus. Hat den Grund, dass noch etwaige aktive Malware auf diesem Fremdsystem nicht gestartet wird und man so bessere Chancen auf eine Erkennung hat.

Dein HJT-Logfile sieht jedenfalls okay aus.

Zitat:

Zitat von cosinus

Wenn ich mich recht entsinne müsste Kaspersky eine Funktion haben, eine Notfall-Disk zu erstellen. Versuch das mal und boote von diesem Medium und führe den KAV aus. Hat den Grund, dass noch etwaige aktive Malware auf diesem Fremdsystem nicht gestartet wird und man so bessere Chancen auf eine Erkennung hat.

Bezüglich der Notfall-CD sagt KAV folgendes:

http://support.kaspersky.com/de/kav6/rescue

Sieht für mich eher wie eine Reparatur aus? Will mein System aber wegen sowas nicht direkt abschießen...

Hab meinen PC bisher gescannt und gereinigt mit:
KAV
HJT
ComboFix
CleanUp
a-squared Free
AVG Anti Spyware
Ad-Aware
Spybot Search & Destroy
Panda Online Scan
Bitdefender Online Scan

Was du tun musst, steht ja da. Den PE-Builder gibt's hier.
Wie gesagt, das ist dafür gedacht, dass du deine Festplatte von einem Fremdsystem aus untersuchst. So stellst du sicher, dass die Scanner nicht von Malware beeinflusst werden. Evtl. Rootkits sollten sich ebenfalls besser aufspüren lassen.

Zitat:

Zitat von cosinus

Was du tun musst, steht ja da. Den PE-Builder gibt's hier.
Wie gesagt, das ist dafür gedacht, dass du deine Festplatte von einem Fremdsystem aus untersuchst. So stellst du sicher, dass die Scanner nicht von Malware beeinflusst werden. Evtl. Rootkits sollten sich ebenfalls besser aufspüren lassen.

Also für mich sagt die Beschreibung der Notfall-CD eher, dass ich diese anwenden soll, sofern mein Rechner sich nicht starten lässt. Aber er läuft ja einwandfrei...

Ich verstehe nur den Ansatz daraus, dass ich meinen Rechner im DOS Modus scannen soll, um somit ggf. noch versteckte Viren/Malware/Würmer/Trojaner zu finden, aber dafür scheint mir diese Notfall-CD nicht ganz das Richtige zu sein, sondern eher etwas wenn das System zerschossen wurde.

Zitat:
"Zu Kaspersky Anti-Virus 7.0\Kaspersky Internet Security 7.0 wird das Service hinzugefügt, das Notfall-CD erstellt, um die Funktionsfähigkeit des Systems wiederherzustellen.

Diese Notfall-CD wird nützlich wenn die System-Dateien nach Viren-Angriff beschädigt werden und Betriebssystem nicht hochgefahren werden kann. In diesem Fall können Sie mit Hilfe der Notfall-CD Ihren Computer hochfahren und das System zur ursprünglichen Funktionsfähigkeit wiederherstellen."
Einstellen von „Viren Suche“

Du kannst diese Notfall-CD für mehrere Zwecke einsetzen, nicht nur um davon zu starten wenn Windows nicht mehr will. Es geht ja auch nicht darum, den Rechner zu reparieren, sondern um von einen anderen System aus die Platte zu scannen, um etwas verlässlichere Ergebnisse zu bekommen.
Wenn du von dieser CD bootest, startet ein Live-Windows (kein DOS!) und nicht das lokal auf der Platte installierte.
Aber wir können auch bleiben lassen wenn du nicht magst, und die Analyse vom lokal installierten Windows fortsetzen.