2 TAN Trojaner bei der VR-Bank

Hallo zusammen,
ich bin neu in diesem Forum und hoffe, dass ich mich korrekt an die Etikette halte. Sonst bitte Nachricht.

Ich habe vor 2 Tagen auf der Homepage meiner Bank die Nachfrage zur Angabe von 20 TAN´s gehabt. Rückfrage bei meinem Berater -> Trojaner eingefangen!
Soweit so schlecht! Habe an anderem PC sofort meine Kennwörter und PIN-Nummern geändert.
Bei der Suche zur Schadensbehebung kam ich auf Euer Forum.

Die Datei "ipv6srvc.dll" im System32 habe ich nicht - auch nicht an einem anderen Platz in meinem Rechner (Ordner-Optionen korrekt dargestellt). Ich nutze WIN XP Prof, SP3, so dass ich keinen Check über Virustotal durchführen konnte. Habe über OTL meine OTL u Extras.TXT angefügt.
Viellicht kann mir jemand helfen.
Vielen Dank
musikulie

Gibt es noch weitere Logs? Von Malwarebytes? Wenn ja bitte alles posten.

Hallo Cosinus,
ja, ich habe jetzt auch den logfile von Malwarebytes version 4861.
siehe Anlage.
Ich habe noch nichts unternommen! Soll ich die auswahl entfernen? Warte auf Deine Antwort.
Gruß
musikulie

Habe Anlage vergessen - sorry

Hier die Datei

musikulie

Hast Du denn auch alle Funde entfernt? Wenn nicht musst Du die Sache wiederholen!

Hallo Arne,
war und bin derzeit viel auf Dienstreise - sorry.
Ich habe gestern Abend malewarebytes nochmal komplett durchlaufen lassen und alle "Funde" entfernt. Soll ich heute nochmal eine Überprüfung starten? Wie würde es dann weitergehen?
Die Datei von gestern ist im Anhang beigefügt.
Gruß
musikulie

Warum habe ich kein Feld um die Anhänge anzufügen???

... Habe im falschen Feld auf antworten gedrückt...

Wenn Du jetzt alles entfernt hast, brauch ich neue OTL-Logs:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hallo Arne,
hier die zwei Dateien

Gute Nacht
musikulie

Hallo Arne,
konntest du schon mal die beiden Dateien anschauen? Wenn ja, gibt es größere Probleme, die ich noch beheben müsste und wenn ja, wie??
schönes WE
Gruß musikulie

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
MOD - C:\windows\system32\ciphonfg.dll ()
O4 - HKLM..\Run: []  File not found
O4 - HKCU..\Run: [Bedo] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Adobe\Update\vidms.exe ()
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2004.04.30 17:01:00 | 000,000,053 | -HS- | M] () - E:\Autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2007.05.28 15:46:20 | 000,000,000 | ---D | M] - M:\autorun -- [ FAT32 ]
O32 - AutoRun File - [2005.11.15 12:08:04 | 000,000,036 | -H-- | M] () - M:\autorun.inf -- [ FAT32 ]
O32 - AutoRun File - [2006.06.25 02:44:58 | 000,000,000 | ---D | M] - O:\autorun -- [ FAT32 ]
O36 - AppCertDlls: ckcnMRT - (C:\WINDOWS\system32\ciphonfg.dll) - C:\windows\system32\ciphonfg.dll ()
[2010.10.16 12:10:24 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{54E68490-4EAA-4364-90B9-E4F23BCB2692}
[2010.10.19 20:34:03 | 660,602,880 | ---- | M] (SoftThinks) -- C:\TASK_1.001.exe
[2010.10.19 20:34:02 | 452,739,670 | ---- | M] () -- C:\TASK_1.007.stc
[2010.10.19 20:33:04 | 660,602,880 | ---- | M] () -- C:\TASK_1.006.stc
[2010.10.19 20:31:33 | 660,602,880 | ---- | M] () -- C:\TASK_1.005.stc
[2010.10.19 20:29:59 | 660,602,880 | ---- | M] () -- C:\TASK_1.004.stc
[2010.10.19 20:28:31 | 660,602,880 | ---- | M] () -- C:\TASK_1.003.stc
[2010.10.19 20:26:36 | 660,602,880 | ---- | M] () -- C:\TASK_1.002.stc
[2010.10.19 20:23:01 | 000,000,772 | ---- | M] () -- C:\TASK_1.bst
[2010.10.12 21:21:30 | 000,050,688 | -H-- | M] () -- C:\WINDOWS\System32\ciphonfg.dll
@Alternate Data Stream - 229 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:8FF81EB0
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Danke für die schnelle Antwort, ich habe alles so gemacht und schicke den File als Anhang mit!

Wars das?
Dann Danke für Deine Unterstützung und Deine Fachkenntnisse!

Gruß musikulie

Ich brauch den Quarantäneordner von OTL. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen!
2.) Ordner C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Hallo Arne,
habe die Datei als ZIP hochgeladen, kann aber nicht sehen, ob erfolgreich!?