Hallo, ich bin neu in euerem Board und benötige dringend Hilfe.
Ich habe von meiner Bank einen Brief erhalten, dass mein Rechner einen Trojaner beherbergt und deshalb kein Internetbanking mehr durchgeführt werden kann. Ich habe jetzt schon 2 versch. Anti-Viren Scanner drüberlaufen lassen, die aber nichts gefunden haben. Nun seit Ihr meine letzte Rettung. Ich habe mir ein HijackThis Log-File gezogen, welches ich hier jetzt poste. Vielleicht kann sich das ja jemand anschauen und mir weiterhelfen.
Das wäre Toll!
Vielen Dank schonmal!

Logfile of Trend Micro HijackThis v2.0.2

[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke.
Sunny
[/edit]

Hallo und



Was gibt es noch zu überlegen wenn du schon Post von deiner Bank bekommen hast bezüglich der Kompromittierung -> Neuinstallation des Betriebssystems

Etwas anderes ist in diesem Stadium einer Infektion nicht mehr möglich!

Sorry.

Allerdings sollten wir bedenken, dass es sich hier um ein MBR Rootkit handeln kann, welches eine Neuinstallation überlebt, da Windows bei einer Neuinstallation nicht den gesamten MBR neuschreibt.

Daher würde ich folgendes vorschlagen:

MBR Rootkit

Lade dir mbr.exe von GMER herunter und führe ihn aus.

Poste das Log bitte hier.

GMER - Rootkit Detection

* Lade GMER von hier
* entpacke es auf den Dektop
* Dopperlklicke die gmer.exe
* Der Reiter Rootkit oben ist schon angewählt



* Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
* nach Beendigung des Scan, drücke "Copy"
* nun kannst Du das Ergebnis hier posten
* Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.
* Wenn das Log zu lang fürs Forum ist, lade es hier hoch und poste den Link

Das ist mir neu das der Trojan-Spy.Win32.Banker.ry auch den MBR infiziert.
Aber schlecht ist es sicherlich nicht vorher den MBR "auszulesen"...

Hallo Leute,

erst mal vielen Dank für eure Hilfe. ICh hab halt überhaupt keine Ahnung und habe jetzt eure Anweisungen befolgt. Hier erst mal der Log vom Gmer


GMER 1.0.14.14536 - h**p://www.gmer.net
Rootkit scan 2008-06-29 17:04:32
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT F8E8AE44 ZwCreateThread
SSDT F8E8AE30 ZwOpenProcess
SSDT F8E8AE35 ZwOpenThread
SSDT F8E8AE3F ZwTerminateProcess
SSDT F8E8AE3A ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

? C:\DOKUME~1\***\LOKALE~1\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.14 ----

.text C:\Programme\Internet Explorer\iexplore.exe[3664] USER32.dll!DialogBoxParamW 7E37555F 5 Bytes JMP 444DF301 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3664] USER32.dll!DialogBoxIndirectParamW 7E382032 5 Bytes JMP 44671667 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3664] USER32.dll!MessageBoxIndirectA 7E38A04A 5 Bytes JMP 446715E8 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3664] USER32.dll!DialogBoxParamA 7E38B10C 5 Bytes JMP 4467162C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3664] USER32.dll!MessageBoxExW 7E3A05D8 5 Bytes JMP 44671574 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3664] USER32.dll!MessageBoxExA 7E3A05FC 5 Bytes JMP 446715AE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3664] USER32.dll!DialogBoxIndirectParamA 7E3A6B50 5 Bytes JMP 446716A2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3664] USER32.dll!MessageBoxIndirectW 7E3B62AB 5 Bytes JMP 445016B6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
AttachedDevice \FileSystem\Ntfs \Ntfs AVRec.sys (PC Tools Recognizer Driver for Windows 2000/XP/PC Tools Research Pty Ltd )
AttachedDevice \FileSystem\Fastfat \Fat avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
AttachedDevice \FileSystem\Fastfat \Fat AVRec.sys (PC Tools Recognizer Driver for Windows 2000/XP/PC Tools Research Pty Ltd )

---- EOF - GMER 1.0.14 ----

Ich hoffe ich habe nicht wieder fehler beim Log Posten gemacht.. :-)

Hier der andere MBR Log


Stealth MBR rootkit detector 0.2.4 by Gmer, ***p://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


Ich hoffe das hilft weiter und ihr könnt mir Tipps zum ausmerzen geben. Muß ich unbedingt den Rechner neu installieren? Ich weiß gar nicht genau wie das geht, oder komme ich drum rum??

Vielen Dank und viele Grüße
Gundel

Zitat:

Zitat von Gundel

Ich hoffe das hilft weiter und ihr könnt mir Tipps zum ausmerzen geben. Muß ich unbedingt den Rechner neu installieren? Ich weiß gar nicht genau wie das geht, oder komme ich drum rum??

Ich habe es auch schon mal mitbekommen, dass die Bank einen anschreibt, weil man durch eBay Transaktionen auf eine schwarze Liste gekommen ist.
Bei Dir findet sich allerdngs ein Hinweis auf Befall

C:\WINDOWS\system32\IEBHO02.dll

Die Datei kannst Du suchen und bei VirusTotal - Free Online Virus and Malware Scan hochladen und das Ergebnis hier posten.

Was genau und wie hat Dich die Bank informiert?

Und: Wird der Rechner gewerblich genutzt?