Liebes Trojaner-Board-Team, ich bitte euch um Hilfe!

Offenbar habe ich mir den 20-TAN-Trojaner eingefangen.
Zunächst funktionierte vorgestern Google Chrome nicht mehr (nur noch mit dem „Trick“ –no-sandbox), was laut Foren schon ein Anzeichen ist. Gestern beim Online-Banking bei Sparkasse A kam dann eine „zusätzliche Authorisierung“ durch 20 TANs. Das Online-Konto habe ich gesperrt, wenn ich jetzt die Bank-Seiten besuche, erhalte ich nach dem Login keine TAN-Aufforderung mehr, sondern den Hinweis, dass der Zugang gesperrt wurde.
Nach einem Scan mit AntiVir und Malwarebytes und dem Löschen der Schädlingsfunde dachte ich, ich sei den Virus los. Aber beim Anmelden bei einer anderen Sparkasse B erschien wieder die 20-TAN-Maske.

Insofern 4 Fragen:

1) Wie werde ich den Schädling los?
2) Woher weiß ich, dass ich den Schädling garantiert los bin? Ist das Funktionieren von Google Chrome ein guter Indikator? (Die Bankkonten sind ja gesperrt, ich kann es dort nicht mehr testen, ohne den Zugang wieder freizuschalten).
3) Wie kann ich Daten sichern (es sind viele, die ich noch brauche)? Ist meine externe Festplatte auch unsicher?
4) Ist es bei diesem Trojaner wirklich nötig, alle Kennwörter zu ändern (Mail, FTP, etc.)?

Ich bin vorgegangen wie im Thread h**p://www.trojaner-board.de/91292-wie-mit-100-sicherheit-trojaner-loswerden.html beschrieben, aber das Ergebnis des OTL-Scans war nicht vergleichbar, daher habe ich den neuen Thread eröffnet.

OTL-Logs und 2 MBAM-Logs (vor und nach der Schädlingsbeseitigung) anbei.

Statistische Angaben:
• Lenovo/IBM
• Windows XP
• Computer hat einen Rescue&Recovery-Bereich auf einem versteckten Teil der Festplatte. Dort würde auch das Backup der Windows-Installation liegen. Ich hoffe, diesen Bereich muss ich nicht formatieren!
• Die OTL-Logs habe ich wie im o.g. Thread ausgeführt, allerdings – wie eigentlich für Vista/7 empfohlen – als Administrator, nicht unter der Nutzerkennung, unter der ich immer arbeite.

Bitte helft mir, dass ich endlich wieder arbeiten kann.

Hi,

erstmal nur kurz:

Sofort alle Internetpasswörter (Ebay, Amazon etc.) von einem sauberen Rechner aus ändern. Es werden nicht nur TANs ausspioniert!

Work in progress... ;o)

chris

Hi,

here we go...

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\System32\notifyf2.dll
C:\WINDOWS\system32\cscruota.dll
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Datei hochladen:
http://www.trojaner-board.de/54791-a...ner-board.html
Folge den Anweisungen dort und lade die Datei:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\cscruota.dll
         

hoch.


JAVA
Deine Javasoftware ist veraltet!
Download Java-Downloads für alle Betriebssysteme
Schliesse alle Programme auch Deinen Webbrowser
Über "Start -> Einstellungen -> Systemsteuerung -> Software
entferne alle älteren Versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus die neue Version!

Fix für OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O20 - Winlogon\Notify\NavLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found
O36 - AppCertDlls: dvduqsvc - (C:\WINDOWS\system32\cscruota.dll) - C:\WINDOWS\system32\cscruota.dll ()
MsConfig - StartUpReg: a-squared Anti-Dialer - hkey= - key= - C:\Programme\a-squared Anti-Dialer\a2adguard.exe File not found

:reg
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
"DisableMonitoring" = dword:0x00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
"DisableMonitoring" = dword:0x00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
"DisableMonitoring" = dword:0x00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring" = dword:0x00
 

:Commands
[emptytemp]
[purity]
[EMPTYFLASH]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Was hast Du hier gemacht:
2010.10.18 08:54:45
Zu diesem Zeitpunkt erfolgt die Infektion!

Dr.Web:
http://www.trojaner-board.de/59299-a...eb-cureit.html
Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log.
Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn.
Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet.

chris

Erstmal herzlichen Dank für die schnelle Antwort!

Kennwörter sind geändert, über iPhone, das ist hoffentlich OK.
FTP-Zugänge sind wohl auch betroffen, schätze ich?

1) Ergebnis von Virustotal: s. Anhang. Die Notifyf2.dll war dort wohl schon bekannt, ich habe den Link zu dem bekannten Treffer eingegeben und das Ergebnis angehängt (PDF).

2) Ich hoffe, ich habe hier keinen Fehler gemacht. Ich wollte euch nicht mit Stückwerk belästigen, sondern alles in einem posten. Also habe ich alle Schritte wie empfohlen ausgeführt, inkl. OTL-Fix, und die Datei C:\WINDOWS\system32\cscruota.dll ist nun nicht mehr zu finden. "Umso besser" oder "gut gemeint und schlecht gemacht"?

3) Java ist upgedatet.

4) OTL-Log anbei (beim Fix wurde vermutlich die cscruota.dll gelöscht).

5) Was ich zu dem Zeitpunkt gemacht habe, kann ich nicht mehr sagen. Höchstwahrscheinlich war Google Chrome geöffnet (Standardbrowser). Ich habe ihn, weil er dann bald nicht mehr lief, aber mehrfach komplett gelöscht und wieder installiert, sodass der Cache und Verlauf gelöscht sind.

6) Vor Dr. Web warte ich noch auf dein Feedback - damit nicht noch einmal etwas ungewollt verschwindet.

Hi,

die Datei befindet sich im Backupordner von OTL, daher bitte folgenden Ordner auf der Festplatte suchen, die Datei befindet sich in einem Unterverzeichnis (moved) C:\_OTL. Dann unbedingt wie beschrieben hochladen.

Nach dem Hochladen CureIT laufen lassen, der sollte sie finden und "endgültig" entsorgen...

Die Erkennungsrate ist misserabel (virustotal.com), daher werden wir die Datei an die Antivirenhersteller verschicken...

Dank&Gruß,
Chris

Hi Chris,
habe die Datei gerade hochgeladen:
cscruota.dll

Ich führe gleich Dr. Web aus bzw. CureIT.

Ergebnis folgt gleich...

Hi,

alter Optimist, Cureit brauch so seine Zeit (obwohl, die Festplatte ist eigentlich recht "klein")...
File ist unterwegs zu den AV-Herstellern... Thanxs...

chris

Hi,
da hast du wohl Recht: es dauert noch...

Schonmal zwischendurch: bin echt froh, dass es euch gibt!

Kannst du mir noch Tipps geben zu diesen Fragen:
1) muss ich alle FTP Kennwörter ändern? (Dreamweaver, Filezilla)
2) Ist die externe Festplatte (letzte Sicherung gestern) eine Gefahr?

Dr Web fand keine Viren, aber:
"Die Hosts-Datei wurde modifiziert. Das Betriebssystem Windows verwendet die Hosts-Datei, um textuelle Hostnamen in IP-Adressen umzuwandeln. Modifizierungen der Hosts-Datei sind eventuell auf Malware zurückzuführen. Möchten Sie die Default-Hosts-Datei wiederherstellen? Eine Kopie der bestehenden Hosts-Datei wird im Dr. Web Quarantäneverzeichnis gespeichert. Ja/Nein"

Ich schätze: JA?

Hi,

die Hostsdatei ist okay, wenn Du sie ersetzen lässt geht Dir der Eintrag:
O1 - Hosts: 127.0.01 activate.adobe.com
verloren.... Hmmm... das sieht nach einer nicht registrierten Adobe-Lizenz aus...

Was wurde gesichert, wenn das Betriebssystem mitgesichert wurde, dann ist Dein Banker mit drauf und wird beim Zurückspielen wieder quicklebendig, daher ev. eine neue Sicherung machen...

Die ftp-Pwd würde ich ebenfalls ändern, momentan ist uns bekannt, das Ebay mit gefischt wird.. ;o)

chris

Hmm, als ich auf JA geklickt habe hat sich Dr. Web aufgehängt.

Ich lasse ihn besser nochmal scannen, oder?

Auf der externen Festplatte ist alles drauf, aber auch frühere Dateien. Kann ich nicht den Windows-Ordner dort löschen, im abgesicherten Modus? Den Ordner hatte ich "sicherheitshalber" auch gesichert, weil ich mit Format c gerechnet hatte, aber wenn das nicht nötig ist, brauche ich ihn ja nicht.

PS: Die Adobe-Lizenz ist original, aber nicht registriert.

So, Computer läuft, Adobe läuft, und sogar Chrome ließ sich wieder installieren (das ging ja seit dem Trojaner nicht mehr).
Ob das Banking auch klappt, poste ich hier, wenn ich den Account wieder aktiviert habe (dauert also noch etwas wegen "Snail-Mail"-Fax und so).

Wenn du noch kurz meinen USB-Festplatten-Vorschlag kommentieren würdest, hast du meinen Tag vollends gerettet!

Ganz herzlichen Dank nochmals!!! Auch fürs Weitergeben der Datei an die Anti-Viren-Software-Hersteller, so kann dieser Aufwand hoffentlich vielen erspart bleiben!

Hi,

den Ordner kannst Du auch so löschen, nur keine Programme aus dem USB-Festplatten-Windowsordner ausführen.

Außerdem solltest Du ein "richtiges" Backup machen, ev. hiermit:
Paragon Backup & Recovery Free Edition - Das Produkt

Das Einfache kopieren von Systemordnern funktioniert normalerweise nicht, wenn Windows selbst läuft, das zurückspielen schon gleich gar nicht...
Das braucht man die Volumenschattenkopie, wie sie von Backupprogrammen genutzt wird...

chris

Es scheint alles wieder OK zu sein.

Herzlichen Dank nochmals!!!!