Hi,

vor wenigen Tagen gab es auf meinem Rechner einen komischen Zwischenfall:

Ich wollte mich zum Online-Banking einloggen, das Pop-Up mit der Login-Seite (https) geht normal auf, ich gebe ID und PW ein, und erhalte auf einmal die Meldung, ich hätte dreimal versucht mich mit falschen Nutzerdaten einzuloggen und solle 10 (!) Tan-Nummern eingeben um den Account wieder zu entsperren. Das habe ich natürlich nicht gemacht... Viel zu offensichtlich, dass hier etwas faul war. Allerdings sah die Seite vom Style her sehr authentisch aus, und zumindest in der Adressleiste wurde mir eine https-Verbindung zur Bank angezeigt (hab auch keine Meldung bekommen, dass das Zertifikat abgelaufen wäre o.ä.).

Dann hab ich mich versucht mich in einem anderen Browser einzuloggen, und das funktionierte (Passwort später von anderem Rechner aus geändert). Sofort zwei Virenscanne (Antivir Personal und Bitdefender) sowie Panda Antirootkit über den Rechner gejagt. Haben aber nichts gefunden.

Nun bin ich etwas ratlos. Hab ich mir da irgendwas eingefangen? Und wenn ja, wie finde ich es und werde ich es wieder los?

Hier mal mein aktueller HijackThis Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:19:24, on 03.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avast4\aswUpdSv.exe
C:\Programme\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Juniper Networks\Common Files\dsNcService.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\IFXSPMGT.exe
C:\WINDOWS\system32\IFXTCS.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IfxPsdSv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Softwin\BitDefender10\vsserv.exe
C:\Programme\Avast4\ashMaiSv.exe
C:\Programme\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\LG Software\Battery Miser\batterymiser.exe
C:\Programme\Adobe\Photoshop Elements 5.0\apdproxy.exe
C:\Programme\Java\jre1.6.0\bin\jusched.exe
C:\Programme\Softwin\BitDefender10\bdagent.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Phonic\Firewire\Phonic_cpl.exe
C:\Programme\Infineon\Security Platform Software\PSDrt.exe
C:\Programme\Infineon\Security Platform Software\SpTna.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Avast4\ashSimpl.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Avast4\ashLogV.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p//www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p//go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p//go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p//go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p//go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: KikinBHO Class - {E601996F-E400-41CA-804B-CD6373A7EEE2} - C:\Programme\Kikin\ie_kikin.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LG Intelligent Update] C:\Programme\lg_swupdate\autoupdate.exe Gilautouc
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IFXSPMGT] C:\WINDOWS\system32\IFXSPMGT.exe /NotifyLogon
O4 - HKLM\..\Run: [batterymiser] "C:\Program Files\LG Software\Battery Miser\batterymiser.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Elements 5.0\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Phonic Control Panel.lnk = C:\Programme\Phonic\Firewire\Phonic_cpl.exe
O4 - Global Startup: Privoxy.lnk = C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: (no name) - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Programme\Kikin\ie_kikin.dll
O9 - Extra 'Tools' menuitem: Kikin - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Programme\Kikin\ie_kikin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.line6.net
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p//go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {477E2667-7E7A-4737-BFF5-121D68EF7816} (AOL Download Assistent) - h**p//musikdownloads.aol.de/imcdms-static/code/AOL%20Download%20Assistent.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p//www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1215596442046
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p//fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetupControlXP Class) - https://juniper.net/dana-cached/setup/JuniperSetupSP1.cab
O16 - DPF: {F27237D7-93C8-44C2-AC6E-D6057B9A918F} (JuniperSetupClientControl Class) - https://juniper.net/dana-cached/sc/JuniperSetupClient.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Avast4\ashWebSv.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Juniper Network Connect Service (dsNcService) - Juniper Networks - C:\Programme\Juniper Networks\Common Files\dsNcService.exe
O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - C:\WINDOWS\system32\IFXSPMGT.exe
O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - C:\WINDOWS\system32\IFXTCS.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Personal Secure Drive-Dienst (PersonalSecureDriveService) - Infineon Technologies AG - C:\WINDOWS\system32\IfxPsdSv.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 8926 bytes
         

Bin für jeden Hinweis dankbar!

PS: Gerade lasse ich noch Avast über den Rechner laufen...

Hallo,

das, was du erlebt hast, wurde von einem Silentbanker hervorgerufen.
Ich würde dir raten, das System neu aufzusetzen, wenn du aber eine Bereinigung versuchen willst, folge der Anleitung:

1.)
MalwareBytes Anti-Malware :

• Lade dir Malwarebytes Anti-Malware
• Folge den Anweisungen der Anleitung
• Lösche alles in der Quarantäne:

• poste das entstandene Logfile

2.)
ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

3.)
SDFix anwenden:

• Lade das SDFix von AndyManchesta herunter und speichere es auf deinem Desktop.
• Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner in C:\ zu entpacken:
  
• Starte deinen Rechner neu, diesmal in den abgesicherten Modus <= Hinweise beachten!
• Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
• Gib ein Y ein, um den Reinigungsprozess zu beginnen.
• Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
• Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neustarten kann.
• Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
• Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
• Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Icons wieder zu laden.
• Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
• Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.

4.)
Random's System Information Tool

• Lade dir die RSIT.exe von random/random herunter und speichere sie auf den Desktop.
• Starte RSIT mit einem Doppelklick.
• Klicke auf Continue um die Nutzungsbedingungen zu akzeptieren.
• Nach dem Scan werden zwei Logfiles erstellt (log.txt und info.txt)
• Poste den Inhalt der beiden Logfiles in [code]-Tags:

HTML-Code:

[CODE]Hier das Logfile rein![/CODE]

Vielen Dank für die schnelle Antwort!

Tja, da ist wohl System neu aufsetzen fast genauso schnell, und am Sichersten.

Muss ich da noch irgendwas beachten. Kann ich meine ganzen Dateien problemlos "mitnehmen"? Wo sitzt so ein Silentbanker?

Danke!

Zitat:

Tja, da ist wohl System neu aufsetzen fast genauso schnell, und am Sichersten.

Gute Entscheidung.

Zitat:

Muss ich da noch irgendwas beachten. Kann ich meine ganzen Dateien problemlos "mitnehmen"?

Alles, bis auf jegliche Art von ausführbaren Dateien.

Zitat:

Kann ich meine ganzen Dateien problemlos "mitnehmen"? Wo sitzt so ein Silentbanker?

Das variiert von Variante zu Variante.
Hauptsächlich sind es CPX-Dateien und ein Treiber für den Banker, der sich als Audiotreiber tarnt.
Eine CPX-Datei ist ausführbar, versteckt und der eigentliche Banker. Die andere CPX-Datei dient dem Banker für gesammelte Informationen.

Ist zwar ein Riesenact mit dem Neuaufsetzen, aber ich denke das macht in dem Fall wirklich Sinn...

Ich hatte hier oft eine externe Festplatte am Rechner hängen, die auch einige ausführbare Dateien enthält. Kann sich da was eingeschlichen/festgesetzt haben?

Zitat:

Ist zwar ein Riesenact mit dem Neuaufsetzen, aber ich denke das macht in dem Fall wirklich Sinn...

Wenn man es richtig macht, dauert es keine 4 Stunden.

Zitat:

Ich hatte hier oft eine externe Festplatte am Rechner hängen, die auch einige ausführbare Dateien enthält. Kann sich da was eingeschlichen/festgesetzt haben?

Ich würde kein Risiko eingehen, am besten alle ausführbaren Daten löschen, obwohl mir bei Silentbanker eine File Infektor-Komponente unbekannt ist.

Vorsicht ist besser als Nachsicht.

Hey, ich hab jetzt zwei 1xyz.cpx Dateien im Sys32 Ordner gefunden. Ist also wohl definitiv ein Silentbanker... ;-(

Muss nochmal kurz nachhaken: meinst du mit ausführbar jetzt eigentlich nur .exe Dateien? Aber selbst in dem Fall müsste ich einige meiner Notebook-Treiber löschen.

Ich hab mein Notebook von Vista auf XP downgegraded, das macht die Sache leider etwas aufwendiger...

Danke!

Zitat:

Hey, ich hab jetzt zwei 1xyz.cpx Dateien im Sys32 Ordner gefunden. Ist also wohl definitiv ein Silentbanker... ;-(

Muss nicht sein, denn zwei CPX-Dateien sind im System32-Ordner legitim.
Die neueren Varianten sind unter der Endung .nls zu finden.

Zitat:

Muss nochmal kurz nachhaken: meinst du mit ausführbar jetzt eigentlich nur .exe Dateien? Aber selbst in dem Fall müsste ich einige meine Treiber löschen.

Ich hab mein Notebook von Vista auf XP downgegraded, das macht die Sache leider etwas aufwendiger...

Damit meine ich .exe, .pif, .sys, .bat, .com, .cmd, .scr, ...etc.
Zum Thema Treiber: http://www.trojaner-board.de/63543-a...ibersuche.html

OK, ich mache jetzt mal die Festplatte platt... Und morgen setze ich Windows neu auf.

Danke nochmal!

Kein Problem.
Nur so kann Schlimmeres verhindert werden...

viel Glück

Hi,

nochmal eine kurze Frage: ich hatte mich von meinem Rechner über ein "sicheres" VPN in ein Netzwerk eingeloggt, und von dort per Remote Desktop auf einen anderen Rechner in dem Netzwerk zugegriffen. Kann dieser Rechner jetzt auch befallen sein?

Danke!

Nein, Silentbanker ist imo kein Netzwerkwurm.

Puhhh, das beruhigt mich zumindest etwas...

Ich hab auf meinem Notebook jetzt nochmal über XP Recovery fixmbr laufen lassen, und dann die Platte formatiert. Jetzt installiere ich mal Vista, weil das mit dem XP doch ziemlich stressig auf dem Notebook ist.
Allerdings sind die Installationsoptionen im Vergleich zu XP etwas sparsam...

Danke!

Man muss sich an Vista gewöhnen, ich spreche aus Erfahrung.

Ich weiß, ich hatte es ja schon mal auf der Kiste, und hab es dann wieder "runtergenommen"...