Hallo liebe Trojaner-Boarder,


ich habe ein ähnliches Problem, wie es auch hier: http://www.trojaner-board.de/92455-t...mmerzbank.html beschrieben wurde.

Wenn ich auf die Commerzbank-Onlinebanking-Seite gehe, öffnet sich nach dem Klick auf "Anmelden" ein Fenster, dass mich zur Eingabe von 100 Tans auffordert (das Fenster lässt sich nicht wegklicken und sieht aus, wie diese neuste Generation der Werbepopups).

Habe bereits Malwarebytes ausgeführt, dabei wurde u.a. Trojan.Banker gefunden, den ich auch gelöscht habe. Leider taucht das Fenster immer noch auf.

Die Logs habe ich angehängt, kann mir jemand helfen?

Vielen Dank im voraus!

Fabian

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
O4 - HKCU..\Run: [RestorData.exe] C:\RestorData.exe\RestorData.exe (Scwm2)

:Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort posten.


öffne mein computer, c: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.

lade das archiv in unserem upload channel hoch.
http://www.trojaner-board.de/54791-a...ner-board.html

Danke für die schnelle Antwort!

Erledigt:

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\RestorData.exe deleted successfully.
C:\RestorData.exe\RestorData.exe moved successfully.
========== FILES ==========
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default

User: Default User

User: HundmitHut
->Flash cache emptied: 1738 bytes

User: Public

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: HundmitHut
->Temp folder emptied: 927001 bytes
->Temporary Internet Files folder emptied: 414980 bytes
->Java cache emptied: 3377736 bytes
->FireFox cache emptied: 102433718 bytes
->Flash cache emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1216 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 102,00 mb


OTL by OldTimer - Version 3.2.17.3 log created on 12012010_130611

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

du hast einen sehr vielseitigen und gefährlichen trojaner. am bestn sollten wir das system, nach datensicherung, neu aufsetzen und dann vernünftig absichern. anleitung bekommst du von mir

Mhh, das ist übel. Eine andere Möglichkeit gibts nicht?

Wenn ich die Daten sichere, wie kann ich verhindern, dass ich den Trojaner irgendwohin mitkopiere?

edit:
Das Phishing-Fenster taucht jetzt nicht mehr auf, wenn ich auf der Commerzbanking-Seite "Anmelden" klicke. Inwieweit ist oder könnte sich der Trojaner noch im meinem System befinden?

hi,
1. bank anrufen, neue zugangsdaten zusenden lassen.
2. sichere alle daten, die du auf legalem wege erworben hast, keine keygens etc, falls vorhanden.
3. trojaner können für uns schwer nachvollzibare enderungen machen, deswegen auf nummer sicher gehen, formatieren. bzw erst daten sichern, dann bescheid geben und ich gebe dir ne genaue anleitung.