Hallo, ich bin neu in euerem Board und benötige dringend Hilfe.
Ich habe von meiner Bank einen Brief erhalten, dass mein Rechner einen Trojaner beherbergt und deshalb kein Internetbanking mehr durchgeführt werden kann. Ich habe jetzt schon 2 versch. Anti-Viren Scanner drüberlaufen lassen, die aber nichts gefunden haben. Nun seit Ihr meine letzte Rettung. Ich habe mir ein HijackThis Log-File gezogen, welches ich hier jetzt poste. Vielleicht kann sich das ja jemand anschauen und mir weiterhelfen.
Das wäre Toll!
Vielen Dank schonmal!

Logfile of Trend Micro HijackThis v2.0.2

[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke.
Sunny
[/edit]

Hallo und



Was gibt es noch zu überlegen wenn du schon Post von deiner Bank bekommen hast bezüglich der Kompromittierung -> Neuinstallation des Betriebssystems

Etwas anderes ist in diesem Stadium einer Infektion nicht mehr möglich!

Sorry.

Allerdings sollten wir bedenken, dass es sich hier um ein MBR Rootkit handeln kann, welches eine Neuinstallation überlebt, da Windows bei einer Neuinstallation nicht den gesamten MBR neuschreibt.

Daher würde ich folgendes vorschlagen:

MBR Rootkit

Lade dir mbr.exe von GMER herunter und führe ihn aus.

Poste das Log bitte hier.

GMER - Rootkit Detection

* Lade GMER von hier
* entpacke es auf den Dektop
* Dopperlklicke die gmer.exe
* Der Reiter Rootkit oben ist schon angewählt



* Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
* nach Beendigung des Scan, drücke "Copy"
* nun kannst Du das Ergebnis hier posten
* Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.
* Wenn das Log zu lang fürs Forum ist, lade es hier hoch und poste den Link

Das ist mir neu das der Trojan-Spy.Win32.Banker.ry auch den MBR infiziert.
Aber schlecht ist es sicherlich nicht vorher den MBR "auszulesen"...

Hallo Leute,

erst mal vielen Dank für eure Hilfe. ICh hab halt überhaupt keine Ahnung und habe jetzt eure Anweisungen befolgt. Hier erst mal der Log vom Gmer


GMER 1.0.14.14536 - h**p://www.gmer.net
Rootkit scan 2008-06-29 17:04:32
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT F8E8AE44 ZwCreateThread
SSDT F8E8AE30 ZwOpenProcess
SSDT F8E8AE35 ZwOpenThread
SSDT F8E8AE3F ZwTerminateProcess
SSDT F8E8AE3A ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

? C:\DOKUME~1\***\LOKALE~1\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.14 ----

.text C:\Programme\Internet Explorer\iexplore.exe[3664] USER32.dll!DialogBoxParamW 7E37555F 5 Bytes JMP 444DF301 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3664] USER32.dll!DialogBoxIndirectParamW 7E382032 5 Bytes JMP 44671667 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3664] USER32.dll!MessageBoxIndirectA 7E38A04A 5 Bytes JMP 446715E8 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3664] USER32.dll!DialogBoxParamA 7E38B10C 5 Bytes JMP 4467162C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3664] USER32.dll!MessageBoxExW 7E3A05D8 5 Bytes JMP 44671574 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3664] USER32.dll!MessageBoxExA 7E3A05FC 5 Bytes JMP 446715AE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3664] USER32.dll!DialogBoxIndirectParamA 7E3A6B50 5 Bytes JMP 446716A2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3664] USER32.dll!MessageBoxIndirectW 7E3B62AB 5 Bytes JMP 445016B6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
AttachedDevice \FileSystem\Ntfs \Ntfs AVRec.sys (PC Tools Recognizer Driver for Windows 2000/XP/PC Tools Research Pty Ltd )
AttachedDevice \FileSystem\Fastfat \Fat avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
AttachedDevice \FileSystem\Fastfat \Fat AVRec.sys (PC Tools Recognizer Driver for Windows 2000/XP/PC Tools Research Pty Ltd )

---- EOF - GMER 1.0.14 ----

Ich hoffe ich habe nicht wieder fehler beim Log Posten gemacht.. :-)

Hier der andere MBR Log


Stealth MBR rootkit detector 0.2.4 by Gmer, ***p://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


Ich hoffe das hilft weiter und ihr könnt mir Tipps zum ausmerzen geben. Muß ich unbedingt den Rechner neu installieren? Ich weiß gar nicht genau wie das geht, oder komme ich drum rum??

Vielen Dank und viele Grüße
Gundel

Zitat:

Zitat von Gundel

Ich hoffe das hilft weiter und ihr könnt mir Tipps zum ausmerzen geben. Muß ich unbedingt den Rechner neu installieren? Ich weiß gar nicht genau wie das geht, oder komme ich drum rum??

Ich habe es auch schon mal mitbekommen, dass die Bank einen anschreibt, weil man durch eBay Transaktionen auf eine schwarze Liste gekommen ist.
Bei Dir findet sich allerdngs ein Hinweis auf Befall

C:\WINDOWS\system32\IEBHO02.dll

Die Datei kannst Du suchen und bei VirusTotal - Free Online Virus and Malware Scan hochladen und das Ergebnis hier posten.

Was genau und wie hat Dich die Bank informiert?

Und: Wird der Rechner gewerblich genutzt?

Hallo,
erstmal vielen Dank für die Mühe...
Also der Rechner wird nicht gewerblich genutzt, aber ich benutze ihn natürlich für alle privaten Transaktionen.
Die Bank hat geschrieben:
" Über unser Rechenzentrum haben wir die Information erhalten, dass sich ein sogenannter "Trojaner" auf Ihrem PC befindet.
Aus diesem Grund haben wir Ihren OnlineBanking-Zugang gesperrt.
Der auf Ihrem Rechner installierte Trojaner hat Ihre OnlineBanking-Daten (Anmeldename, Pin und TAN) an einen fremden Rechner gesendet. Ih PC ist nicht mehr sicher genug um das OnlineBanking zu nutzen. Es ist auch nicht auszuschließen, dass andere Zugangsdaten zum Beispiel ebay- oder eMail-informationen ausgespäht worden sind.
Wir empfehlen Ihnen, den infizierten PC komplett neu zu installieren, da nicht sichergestellt werden kann, dass alle Programmdaten des Trojaners gelöscht werden können."

Hier das Ergebnis von Virus-Total:

CENTER]

Datei IEBHO02.dll empfangen 2008.07.03 16:56:18 (CET)
Status: Beendet
Ergebnis: 2/33 (6.07%)
Filter

Antivirus	Version	letzte aktualisierung	Ergebnis
AhnLab-V3 2008.7.3.2	2008.07.03	-
AntiVir	7.8.0.64	2008.07.03	-
Authentium 5.1.0.4	2008.07.02	-
Avast	4.8.1195.0	2008.07.03	-
AVG	7.5.0.516	2008.07.03	-
BitDefender 7.2	2008.07.03	-
CAT-QuickHeal	9.50	2008.07.03	-
ClamAV	0.93.1	2008.07.03	-
DrWeb 4.44.0.09170	2008.07.03	-
eSafe	7.0.17.0	2008.07.03	Suspicious File
eTrust-Vet 31.6.5922	2008.07.02	-
Ewido	4.0	2008.07.03	-
F-Prot	4.4.4.56	2008.07.02	-
F-Secure	7.60.13501.0	2008.07.03	-
Fortinet	3.14.0.0	2008.07.03	-
GData	2.0.7306.1023 2008.07.03 -
Ikarus	T3.1.1.26.0	2008.07.03	-
Kaspersky 7.0.0.125	2008.07.03	-
McAfee	5330	2008.07.02	-
Microsoft	1.3704	2008.07.03	-
NOD32v2	3239	2008.07.03	-
Norman	5.80.02	2008.07.03	-
Panda	9.0.0.4	2008.07.02	-
Prevx1	V2	2008.07.03	-
Rising	20.51.32.00	2008.07.03	-
Sophos	4.30.0	2008.07.03	-
Sunbelt	3.1.1509.1	2008.07.03	-
Symantec	10	2008.07.03	-
TheHacker 6.2.96.369	2008.07.03	-
TrendMicro 8.700.0.1004 2008.07.03 PAK_Generic.005
VBA32	3.12.6.8	2008.07.02	-
VirusBuster 4.5.11.0	2008.07.03	-
Webwasher-Gateway 6.6.2 2008.07.03	-

weitere Informationen
File size: 113664 bytes
MD5...: f409b281ebdfd6dcf00e7ff35e798b10
SHA1..: 61ea59e565dd8e160c8a19630e7a6b0a4c95ae22
SHA256: 03543de0f134ecf8cbb4a33ded8a7d9f735bd175297ef793eb0d1a14ec09149f
SHA512: 0a164736d3eb8375946af0c8af70ebb15244255cac4d38c61d39b71e5dcc35b5
ded32332e0391d1a3fc97698d1ca0683c5ef39f1e36a0d78e9a105d7e4eada4b
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x43f150
timedatestamp.....: 0x45b5b422 (Tue Jan 23 07:07:14 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x23000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x24000 0x1c000 0x1b600 7.94 1ee164483a0f1faf22760847707df25f
UPX2 0x40000 0x1000 0x200 3.85 05645843edded23578ecd2873c68c3b9

( 3 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree
> comctl32.dll: MenuHelp
> user32.dll: IsWindow

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX

[/CENTER]


Die letzten 4 Zeilen der Tabelle hab ich irgendwie nicht mehr hinbekommen. Aber ich glaube, dass es in der 4.letzten Zeile bei TrendMicro was gibt...

Tja, da ich aber eigentlich keine Ahnung habe wie ich einen Rechner neu installieren soll und alles vorheriger runterschmeißen kann, habe ich ein Problem. Kann ich nicht irgendwie die richtigen Files löschen und bin dann wieder sauber und einsatzfähig? Oder gibt es hierzu ein spezielles Programm??

Ich danke dir wirklich sehr für deinen Einsatz, dir die gesamten Daten anzuschauen und dich mit dem Problem zu befassen. Echt Klasse!!!

Wie bereits vermutet, kann dies nicht der Schädling sein, der für den Bankvorfall verantwortliche sein soll.

Hast Du denn das OnlineBanking auch von einem anderen Rechner aus betrieben?

Nein, an einem anderen Rechner war ich nicht.
Wie kann ich denn den vorhandenen Trojaner ausmerzen und wie kann ich herausfinden, was sich noch so auf meinem Rechner tummelt??

Vielen Dank für deine Antwort!!

Lass uns doch mal über ein DSS Log schauen zusammen mit einer Filelist.

Deckards System Scanner (DSS)

Hier gibt es das Tool -> dss.exe

* Schließe alle Anwendungen
* Doppelklicke dss.exe um das Programm zu starten
* Wenn der Scan abgeschlossen ist wird sich ein Notepad mit dem Inhalt
der main.txt öffnen.
Ein weiteres Logfile, die extra.txt liegt im Verzeichnis
c:\Deckard\SystemScanner\extra.txt
* Kopiere den Inhalt der beiden Logfiles in diesen Thread, bitte als [CODE][/CODE]


Was Deckards System Scanner macht:

* Es Erstellt einen System Wiederherstellungspunkt
* es säubert die temporären Dateien, Downloaded Program Files, Internet
Cache Dateien und es leert den Mülleimer auf allen Laufwerken.

Ist die Datei zu groß, lade sie bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste den Link.


Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit einem Packprogramm), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
Credits to Karl83 / KarlKarl

Ist die Datei zu groß, lade sie bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste den Link.

Hallo!

Also, ich habe (hoffentlich richtig) alles gemacht, was du geschrieben hast und habe alles bei File-Upload hochgeladen.

Hier die Links

Zuerst für das Logfile main.txt (man muß die Links "verunstalten"?? ich machs einfach..)
xxx.file-upload.net/download-967118/main.txt.html

Hier das Logfile extra.txt
xxx.file-upload.net/download-967075/extra.txt.html

Hier das Upload für die jeweiligen 30 Tage der Filelist.bat
xxx.file-upload.net/download-967149/filelist-trojaner.doc.html

Ich bin ja mal gespannt, was da herauskommt.
Meinst du, du kannst mir dann "konkret" beantworten, ob sich was auf meinem Rechner befindet und ob ich es ausmerzen kann?
Was ist denn mit der Datei IEBHO02.dll , die sich ja als irgendwas entpuppt hat. Was muß ich denn mit der machen?
Kannst du mir hier Anweisungen geben?
Vielen Dank noch immer und viele Grüße, ich sehe du schlägst dir hier auch gerade die Nacht um die Ohren... Bin noch etwas online..

SChüss
Gundel

Du hast alles richtig gemacht bisher.

Datei Upload für die weitere Prüfung

Lade die Datei

C:\WINDOWS\system32\tmp.exe
C:\WINDOWS\system32\IEBHO02.dll
C:\WINDOWS\system32\IEBHO.dll


bitte hier hoch.

Füge Deinen Thread Link ein, dass ist

http://www.trojaner-board.de/54861-bitte-hijackthis-log-file-durchschauen.htm


und trage Deinen Benutzernamen ein.
Dann werden wir die Dateien weiter prüfen.

Die Dateien sind alle infiziert, allerdings nicht dazu geeignet Daten weiterzugeben.
Da Dein Rechner jedoch infiziert ist, würde ich Dir raten ihn trotz einem negativ Befund Neuaufzusetzen. Damit gehts Du auf Nummer sicher und jegliche Befall sollte erstmal gelöscht sein.