Aufforderung zur Eingabe von 40 TAN's bei Postbank Online-Banking

Joek2 · 03.09.2010, 14:08

Hallo liebe Gemeinde!

Seit einigen Tagen habe ich dieselben Probleme wie schon in dem Thread http://www.trojaner-board.de/89340-4...entfernen.html 40Tans onlinebanking abfrage(postbank), trojaner entfernen beschrieben.
Kurz nochma die Hauptmerkmale die mir aufgefallen sind:

Beim Online-Banking werde ich aufgefordert 40 TAN's einzugeben
Das ^-Zeichen erscheint manchmal bei Eingabe doppelt
Avira findet nichts

Da dem Betroffenen dort anscheinend gut geholfen werden konnte, hoffe ich, dass mir hier auch geholfen werden kann. Weil ich gar keine ahnung von den ganzen Bereinigungsschritten habe, eröffne ich lieber einen neuen Post, statt die Schritte in dem anderen Thread abzuarbeiten.

Bis jetzt haben ich die Schritte der load.exe von larusso befolgt. Erhaltene log-dateien sind unten angehängt.

cosinus · 03.09.2010, 19:35

Zitat:

Art des Suchlaufs: Quick-Scan

Mach bitte einen Vollscan mit Malwarebytes. Denk an das Update vorher, Du musst es vor jedem manuellen Scan auch manuell aktualisieren.

Joek2 · 04.09.2010, 00:52

Hi!
Hier die Log vom Malwarebytes' Vollscan:

Code:

ATTFilter

 Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4539

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

04.09.2010 01:47:03
mbam-log-2010-09-04 (01-47-03).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 468103
Laufzeit: 2 Stunde(n), 22 Minute(n), 43 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{b922d405-6d13-4a2b-ae89-08a030da4402} (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{b922d405-6d13-4a2b-ae89-08a030da4402} (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b922d405-6d13-4a2b-ae89-08a030da4402} (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b922d405-6d13-4a2b-ae89-08a030da4402} (Adware.WidgiToolbar) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{b922d405-6d13-4a2b-ae89-08a030da4402} (Adware.WidgiToolbar) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Program Files (x86)\pdfforge Toolbar\WidgiHelper.exe (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
C:\Program Files (x86)\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.

cosinus · 04.09.2010, 15:35

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Joek2 · 04.09.2010, 16:57

Hmm. Will irgendwie nicht so klappen. Hab 3 mal scannen lassen, vorher alle Programme beendet und geschlossen und jedesmal kam beim Schritt "Manual File Scan - Getting folder structure ..." die Meldung "Out of Memory".

cosinus · 05.09.2010, 14:48

Versuchs mal im abgesicherten Modus.

Joek2 · 07.09.2010, 08:54

Tut mir Leid, dass ich mich erst jetzt melde, aber war unterwegs und hatte mein Laptop nicht mit.

Hab jetzt den OTL Scan im abgesicherten Modus durchgeführt.
Ergebnis: Genau wie beim letzten mal. Zweimal durchgeführt, zweimal die Meldung "Out of Memory" beim Vorgang "Gettin folder structure".

Wodran könnte das denn liegen!?

cosinus · 07.09.2010, 10:01

Probiers mit dieser älteren umbenannten Version => http://sicher-ins-netz.info/dl/lichtinsdunkel.exe

Joek2 · 07.09.2010, 13:16

Habs mit der alten Version probiert, aber tritt wieder der gleiche Fehler auf. Sowohl im Normalen wie im abgesicherten Modus.

cosinus · 07.09.2010, 13:33

Hm, dann können wir fast nichts analysieren wenn OTL schon nicht läuft

Andere spezielle Tools laufen nicht im 64-Bit-Windows!

Mach erstmal zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Joek2 · 08.09.2010, 14:18

So hier die Logs von Malwarebytes und SASW

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4569

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

08.09.2010 15:15:15
mbam-log-2010-09-08 (15-15-15).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 468348
Laufzeit: 2 Stunde(n), 21 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Code:

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 09/08/2010 at 12:28 PM

Application Version : 4.42.1000

Core Rules Database Version : 5469
Trace Rules Database Version: 3281

Scan type       : Complete Scan
Total Scan Time : 03:57:58

Memory items scanned      : 578
Memory threats detected   : 0
Registry items scanned    : 13817
Registry threats detected : 0
File items scanned        : 335615
File threats detected     : 55

Adware.Tracking Cookie
    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@statcounter[1].txt
    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@cdn.at.atwola[2].txt
    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@at.atwola[2].txt
    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@apmebf[1].txt
    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@content.yieldmanager[2].txt
    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@tracking.hannoversche[1].txt
    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@doubleclick[1].txt
    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@imrworldwide[2].txt
    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@zanox-affiliate[1].txt
    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@ad.zanox[1].txt
    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@adserver.traffictrack[2].txt
    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@content.yieldmanager[3].txt
    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@webmasterplan[2].txt
    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@advertising[2].txt
    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@www.zanox-affiliate[1].txt
    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@serving-sys[1].txt
    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@weborama[2].txt
    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@atdmt[1].txt
    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@tradedoubler[2].txt
    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@mediaplex[2].txt
    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@ad.adc-serv[1].txt
    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@ad.yieldmanager[3].txt
    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@zanox[1].txt
    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@tacoda[2].txt
    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@tracking.quisma[1].txt
    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@adfarm1.adition[2].txt
    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@atwola[2].txt
    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@bs.serving-sys[1].txt
    media.entertonement.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\2DJGLM2H ]
    media.mtvnservices.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\2DJGLM2H ]
    cdn4.specificclick.net [ C:\Windows.old\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\ARRMV2H2 ]
    cloud.video.unrulymedia.com [ C:\Windows.old\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\ARRMV2H2 ]
    gals09.fantasygirlrevenue.com [ C:\Windows.old\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\ARRMV2H2 ]
    ia.media-imdb.com [ C:\Windows.old\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\ARRMV2H2 ]
    indieclick.3janecdn.com [ C:\Windows.old\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\ARRMV2H2 ]
    inwmedia.net [ C:\Windows.old\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\ARRMV2H2 ]
    media.ichwillspielen.com [ C:\Windows.old\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\ARRMV2H2 ]
    media.mtvnservices.com [ C:\Windows.old\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\ARRMV2H2 ]
    media.rofl.to [ C:\Windows.old\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\ARRMV2H2 ]
    media01.kyte.tv [ C:\Windows.old\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\ARRMV2H2 ]
    media1.break.com [ C:\Windows.old\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\ARRMV2H2 ]
    pornoprinzen.com [ C:\Windows.old\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\ARRMV2H2 ]
    secure-us.imrworldwide.com [ C:\Windows.old\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\ARRMV2H2 ]
    www.***.org [ C:\Windows.old\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\ARRMV2H2 ]
    www.***.com [ C:\Windows.old\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\ARRMV2H2 ]
    www.***.com [ C:\Windows.old\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\ARRMV2H2 ]

Trojan.Agent/CDesc[Generic]
    C:\WINDOWS.OLD\PROGRAM FILES\COMMON FILES\FLUXDVD\LIB\XEB\XEBTAG.DLL
    C:\WINDOWS.OLD\PROGRAM FILES\VIDEOLOAD MANAGER\XEB\XCTFOLDER.DLL
    C:\WINDOWS.OLD\PROGRAM FILES\VIDEOLOAD MANAGER\XEB\XEBTAG.DLL

Trojan.Agent/Gen-FakeAlert[Local]
    C:\WINDOWS.OLD\PROGRAM FILES\PEARSONS CRYSTAL DATA\LAZY.EXE

Trojan.Vundo-Variant/F
    C:\WINDOWS.OLD\PROGRAM FILES\QIP INFIUM\LANGS\ENGLISH.DLL
    C:\WINDOWS.OLD\PROGRAM FILES\QIP INFIUM\LANGS\RUSSIAN.DLL
    C:\WINDOWS.OLD\PROGRAM FILES\QIP INFIUM\PROTOS\INFICQ\PICS.DLL
    C:\WINDOWS.OLD\USERS\***\APPDATA\ROAMING\MIRC\BIN\DLL\SENDKEY.DLL
    C:\WINDOWS.OLD\USERS\***\APPDATA\ROAMING\MIRC\BIN\DLL\TBWIN.DLL

cosinus · 08.09.2010, 15:17

Da wurden ein paar Überreste gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Joek2 · 09.09.2010, 07:32

Die Scans finden nichts, aber das Problem mit der TAN-Abfrage besteht weiter.

cosinus · 09.09.2010, 13:03

Zitat:

aber das Problem mit der TAN-Abfrage besteht weiter.

Nur in einem bestimmten Browser oder in allen?

Joek2 · 09.09.2010, 14:29

Passiert in allen Browsern: Firefox, IE, Google Chrome

05.09.2010, 14:48	#6
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Aufforderung zur Eingabe von 40 TAN's bei Postbank Online-Banking Versuchs mal im abgesicherten Modus. __________________ --> Aufforderung zur Eingabe von 40 TAN's bei Postbank Online-Banking

07.09.2010, 10:01	#8
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Aufforderung zur Eingabe von 40 TAN's bei Postbank Online-Banking Probiers mit dieser älteren umbenannten Version => http://sicher-ins-netz.info/dl/lichtinsdunkel.exe __________________ Logfiles bitte immer in CODE-Tags posten

08.09.2010, 15:17	#12
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Aufforderung zur Eingabe von 40 TAN's bei Postbank Online-Banking Da wurden ein paar Überreste gefunden. Noch Probleme oder weitere Funde in der Zwischenzeit? __________________ Logfiles bitte immer in CODE-Tags posten

Aufforderung zur Eingabe von 40 TAN's bei Postbank Online-Banking

Plagegeister aller Art und deren Bekämpfung: Aufforderung zur Eingabe von 40 TAN's bei Postbank Online-Banking