Sparkasse sperrt Online-Banking wg Malware + weitere Probs

Simon1983 · 10.07.2010, 09:23

Hallo zusammen!

Wie im Titel zu lesen, wurde ich erst auf den Trojaner aufmerksam, als die Sparkasse mein Online-Banking wegen entdeckter Malware gesperrt hatte.

In letzter Zeit kam wohl noch weitere Malware dazu, den mittlerweile habe ich auch das Google-leitet-auf-falsche-Seiten-weiter - Problem.

Hier die Logfiles:

CCleaner
a-squared Free 4.5 Emsi Software GmbH 03.07.2010 4.5
Ad-Aware Lavasoft 03.07.2010
Ad-Aware Email Scanner for Outlook Lavasoft 03.07.2010 0,67MB 1.0.0
Adobe Flash Player 10 ActiveX Adobe Systems Incorporated 29.03.2010 10.0.45.2
Adobe Flash Player 10 Plugin Adobe Systems Incorporated 27.06.2010 6,00MB 10.1.53.64
Adobe Reader 9.3.3 - Deutsch Adobe Systems Incorporated 04.07.2010 247,7MB 9.3.3
Advertising Center 29.03.2010
Avira AntiVir Personal - Free Antivirus Avira GmbH 21.04.2010 59,8MB 10.0.0.567
Bullzip PDF Printer 7.1.0.1181 Bullzip 31.03.2010 6,31MB
CCleaner Piriform 03.07.2010 2.33
cFosSpeed v5.00 cFos Software GmbH, Bonn 26.05.2010 5.00
DolbyFiles 29.03.2010
FileZilla Client 3.3.2.1 30.03.2010 3.3.2.1
Firefox Preloader 6XGate Incorporated 29.03.2010 1.0.366.0
Free YouTube to MP3 Converter version 3.3 DVDVideoSoft Limited. 06.05.2010 29,7MB
GEAR 32bit Driver Installer GEAR Software, Inc. 28.06.2010 0,10MB 2.005.1
GPL Ghostscript Lite 8.70 31.03.2010 12,8MB
ID3-TagIT 3 Michael Pluemper 11.05.2010 3
ImagXpress 29.03.2010
InCD 29.03.2010
Intel(R) Graphics Media Accelerator Driver Intel Corporation 13.04.2010 54,3MB 8.15.10.1930
Intel(R) TV Wizard Intel Corporation 30.03.2010
Java(TM) 6 Update 15 Sun Microsystems, Inc. 30.03.2010 95,0MB 6.0.150
JDownloader AppWork UG (haftungsbeschränkt) 30.03.2010 0.89
Laptop Integrated Webcam Driver (1.04.01.1011) 29.03.2010
Menu Templates - Starter Kit 29.03.2010
Microsoft Office Professional Plus 2010 Microsoft Corporation 25.05.2010 14.0.4763.1000
Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 30.03.2010 0,42MB 8.0.56336
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Corporation 29.03.2010 0,58MB 9.0.30729.4148
MixMeister Studio 7.2.2 29.06.2010
Movie Templates - Starter Kit 29.03.2010
Mozilla Firefox (3.6.6) Mozilla 27.06.2010 3.6.6 (de)
Mozilla Sunbird (0.9) Mozilla 30.03.2010 0.9 (de)
Mozilla Thunderbird (3.0.5) Mozilla 19.06.2010 3.0.5 (de)
Nero 9.0.9.4 Lite Ahead/Kykc 30.03.2010 9.0.9.4
Nero BurningROM 29.03.2010
Nero ControlCenter 29.03.2010
Nero DiscSpeed 29.03.2010
Nero DriveSpeed 29.03.2010
Nero InfoTool 29.03.2010
Nero Installer 29.03.2010
Nero Rescue Agent 29.03.2010
NeroBurningROM 29.03.2010
pdfsam 07.04.2010 2.2.0
SoulSeek 157 NS 13e 20.05.2010
Spybot - Search & Destroy Safer Networking Limited 03.07.2010 1.6.2
Uninstall 1.0.0.1 06.05.2010 10,7MB
VLC media player 1.0.5 VideoLAN Team 30.03.2010 1.0.5
WinRAR 29.03.2010
µTorrent 29.03.2010 2.0.0

Anti-Malware
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4296

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

10.07.2010 00:12:14
mbam-log-2010-07-10 (00-12-14).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 483473
Laufzeit: 3 Stunde(n), 29 Minute(n), 37 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

VISTA-Scan

Die 30 neuesten Dateien im Ordner Windows:

***** ***** ***** ***** *****
***** Scanning C:\Windows *****
***** ***** ***** ***** *****

10.07.2010 cFosSpeed_Setup_Log.txt 09 16:920
10.07.2010 setuperr.log 09 15:0
10.07.2010 setupact.log 09 15:56
10.07.2010 bootstat.dat 09 15:67.584
09.07.2010 WindowsUpdate.log 20 56:1.933.786
25.05.2010 win.ini 13 45:387
23.05.2010 ODBC.INI 21 30:376
20.04.2010 cadkasdeinst01.exe 13 06:73.216
30.03.2010 nsreg.dat 21 55:0
31.10.2009 explorer.exe 07 45:2.614.272
14.07.2009 WindowsShell.Manifest 06 41:749
14.07.2009 twain_32.dll 03 16:51.200
14.07.2009 write.exe 03 14:9.216
14.07.2009 winhlp32.exe 03 14:9.728
14.07.2009 twunk_32.exe 03 14:31.232
14.07.2009 regedit.exe 03 14:398.336
14.07.2009 notepad.exe 03 14:179.712
14.07.2009 hh.exe 03 14:15.360
14.07.2009 HelpPane.exe 03 14:497.152
14.07.2009 fveupdate.exe 03 14:13.824
14.07.2009 bfsvc.exe 03 14:65.024
14.07.2009 mib.bin 00 58:43.131
10.06.2009 system.ini 23 46:219
10.06.2009 _default.pif 23 42:707
10.06.2009 winhelp.exe 23 42:256.192
10.06.2009 twunk_16.exe 23 41:49.680
10.06.2009 twain.dll 23 41:94.784

Die 50 neuesten Dateien im Ordner Windows\system32:

***** ***** ***** ***** *****
***** Scanning C:\Windows\system32 *****
***** ***** ***** ***** *****

04.07.2010 7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 15 13:14.016
04.07.2010 7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 15 13:14.016
04.07.2010 lsdelete.exe 15 05:15.880
03.07.2010 prfh0804.dat 15 09:355.328
03.07.2010 prfc0804.dat 15 09:101.428
03.07.2010 prfc0816.dat 15 09:130.586
03.07.2010 prfh0416.dat 15 09:654.470
03.07.2010 prfh0816.dat 15 09:670.084
03.07.2010 perfc01F.dat 15 09:118.200
03.07.2010 prfc0416.dat 15 09:124.922
03.07.2010 prfc0404.dat 15 09:96.514
03.07.2010 perfh01F.dat 15 09:601.758
03.07.2010 prfh0404.dat 15 09:371.298
03.07.2010 perfh01D.dat 15 09:609.266
03.07.2010 perfc01D.dat 15 09:120.648
03.07.2010 perfc019.dat 15 09:128.892
03.07.2010 perfc015.dat 15 09:131.232
03.07.2010 perfh015.dat 15 09:679.642
03.07.2010 perfh019.dat 15 09:666.732
03.07.2010 perfh013.dat 15 09:681.356
03.07.2010 perfc014.dat 15 09:74.002
03.07.2010 perfh014.dat 15 09:440.052
03.07.2010 perfc013.dat 15 09:129.608
03.07.2010 perfc011.dat 15 09:103.568
03.07.2010 perfc012.dat 15 09:101.856
03.07.2010 perfc010.dat 15 09:124.006
03.07.2010 perfh012.dat 15 09:394.978
03.07.2010 perfh011.dat 15 09:383.546
03.07.2010 perfh010.dat 15 09:680.010
03.07.2010 perfh00E.dat 15 09:623.220
03.07.2010 perfc00E.dat 15 09:144.282
03.07.2010 perfc00D.dat 15 09:66.274
03.07.2010 perfh00D.dat 15 09:346.674
03.07.2010 perfc00A.dat 15 09:133.704
03.07.2010 perfc00B.dat 15 09:78.590
03.07.2010 perfh00C.dat 15 09:684.954
03.07.2010 perfh00B.dat 15 09:424.900
03.07.2010 perfc00C.dat 15 09:127.070
03.07.2010 perfh00A.dat 15 09:684.000
03.07.2010 perfh008.dat 15 09:541.152
03.07.2010 perfh007.dat 15 09:641.706
03.07.2010 perfc008.dat 15 09:85.920
03.07.2010 perfc009.dat 15 09:103.568
03.07.2010 perfh009.dat 15 09:607.190
03.07.2010 perfc005.dat 15 09:118.684
03.07.2010 perfh006.dat 15 09:453.124
03.07.2010 perfc007.dat 15 09:126.062

***** ***** ***** ***** *****
***** Scanning C:\Windows\system32\drivers\etc\hosts *****
***** ***** ***** ***** *****

# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost

# Start of entries inserted by Spybot - Search & Destroy
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
...
Es folgen tausende weitere Eintragungen der Adresse 127.0.0.1
.....

127.0.0.1 www.zxlinks.com
127.0.0.1 zxlinks.com
127.0.0.1 www.zxoqacar.cn
127.0.0.1 zxoqacar.cn
127.0.0.1 www.zxsex2.info
127.0.0.1 zxsex2.info
127.0.0.1 zyban-zocor-levitra.com
# This list is Copyright 2000-2008 Safer Networking Limited
# End of entries inserted by Spybot - Search & Destroy

***** ***** ***** ***** *****
***** Scanning Processe *****
***** ***** ***** ***** *****

Abbildname PID Sitzungsname Sitz.-Nr. Speichernutzung
========================= ======== ================ =========== ===============
System Idle Process 0 Services 0 24 K
System 4 Services 0 232 K
smss.exe 244 Services 0 1.580 K
csrss.exe 368 Services 0 7.668 K
wininit.exe 408 Services 0 9.352 K
csrss.exe 416 Console 1 8.712 K
services.exe 464 Services 0 12.564 K
winlogon.exe 496 Console 1 13.456 K
lsass.exe 524 Services 0 17.804 K
lsm.exe 532 Services 0 6.372 K
svchost.exe 628 Services 0 25.080 K
avguard.exe 688 Services 0 22.404 K
avshadow.exe 720 Services 0 4.640 K
conhost.exe 728 Services 0 3.592 K
svchost.exe 856 Services 0 6.472 K
svchost.exe 932 Services 0 10.288 K
svchost.exe 1004 Services 0 55.736 K
svchost.exe 1048 Services 0 21.064 K
audiodg.exe 1132 Services 0 12.824 K
svchost.exe 1236 Services 0 11.560 K
dwm.exe 1464 Console 1 18.472 K
AAWService.exe 1484 Services 0 18.884 K
explorer.exe 1492 Console 1 54.048 K
spoolsv.exe 1612 Services 0 4.424 K
sched.exe 1660 Services 0 7.524 K
svchost.exe 1680 Services 0 7.300 K
svchost.exe 1732 Services 0 16.212 K
a2service.exe 1776 Services 0 7.428 K
spd.exe 1820 Services 0 5.584 K
svchost.exe 1876 Services 0 9.476 K
MDM.EXE 1948 Services 0 4.620 K
sppsvc.exe 2004 Services 0 6.064 K
unsecapp.exe 1724 Services 0 4.568 K
WmiPrvSE.exe 2228 Services 0 5.932 K
svchost.exe 2288 Services 0 4.932 K
avgnt.exe 2536 Console 1 2.556 K
hkcmd.exe 2552 Console 1 5.276 K
igfxpers.exe 2560 Console 1 5.280 K
cfosspeed.exe 2580 Console 1 6.868 K
igfxsrvc.exe 2676 Console 1 5.532 K
prevhost.exe 3920 Console 1 6.644 K
cmd.exe 3984 Console 1 3.628 K
conhost.exe 4000 Console 1 5.284 K
AAWWSC.exe 1396 Services 0 4.300 K
AAWTray.exe 2460 Console 1 372 K
tasklist.exe 1968 Console 1 4.552 K
WmiPrvSE.exe 2160 Services 0 6.100 K

Microsoft Windows [Version 6.1.7600]

hxxp://www.paules-pc-forum.de
***** Malware Team *****

***** Ende des Scans 10.07.2010 um 9:18:30,88 ***

HijackThis
HiJackthis Logfile:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 09:19:44, on 10.07.2010
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\cFosSpeed\cfosspeed.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\system32\prevhost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Users\Simon Panek\Downloads\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [BCSSync] "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices
O4 - HKLM\..\Run: [cFosSpeed] C:\Program Files\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Program Files\cFosSpeed\spd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: KMService - Unknown owner - C:\Windows\system32\srvany.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

--
End of file - 4095 bytes

--- --- ---

Gefunden wurde nichts mehr - ich hatte aber auch schon vor einer Woche folgende Programme laufen und schädliche Eintragungen entfernen lassen:

Avira AntiVir, a² AntiMalware, Lavasoft ad-aware und Spybot S&D

Scheint wohl ein hartnäckiges Stück zu sein....wer kann mir helfen?

EDIT: So eben habe ich bemerkt, dass ich unter Firefox keine neuen Beiträge in Form posten konnte. Da bin ich auf den Internet Explorer umgestiegen und siehe da: Es geht! Zudem ist er vieeeeeeel schneller als mein Firefox.......alles sehr merkwürdig.

markusg · 10.07.2010, 12:57

hallo, das beste, formatiere den pc, endere dann alle passwörter, nur so ist ein wirklich sicheres onlinebanking garantiert.
ich kanns zwar im moment nicht nachweisen, deswegen nur ein gut gemeinter tipp. hör auf dir illegal zeug aus dem netz zu ziehen. das bringt malware mit sich, und du möchtest doch sicher dein geld behalten, jetzt hast du glück gehabt das es der bank aufgefallen ist, dass muss aber nicht immer so sein.

Sparkasse sperrt Online-Banking wg Malware + weitere Probs

Plagegeister aller Art und deren Bekämpfung: Sparkasse sperrt Online-Banking wg Malware + weitere Probs

Sparkasse sperrt Online-Banking wg Malware + weitere Probs

Sparkasse sperrt Online-Banking wg Malware + weitere Probs

Ähnliche Themen: Sparkasse sperrt Online-Banking wg Malware + weitere Probs