Hallo Zusammen,

ich habe folgendes Problem beim Online-Banking.

Habe mich auf mein Konto mit den Zugangsdaten angemeldet, danach kam eine Sicherheitsabfrage mit der Aufforderung 20 Tan´s einzugeben. Dies habe ich natürlich nicht gemacht. Man hatte auch keine Möglichkeit eine andere Funktion im Konto zu nutzen. Einfach Programm geschlossen, dann bei der Bank angerufen und Online-Banking sperren lassen.

Danach habe ich meinen PC mit AntiVir, Ad-Aware, Spybot und CCleaner durchsuchen lassen, leider ohne Erfolg!!!

Meine Frau war gestern bei Ihrer Bank Online unterwegs und sie hatte das selbe Problem. Abfrage aus Sicherheitsgründen und Aufforderung 20 Tan´s einzugeben.

Durch einen guten Freund bin ich auf Euer Board gestossen und habe meinen Rechner mit Malwarebytes durchsuchen lassen, mit folgenden Fund: siehe Anhang.

Kann mir jemand helfen???

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle davon posten. Du findest diese im Reiter Logdateien in Malwarebytes.

Zitat:

Zitat von cosinus

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle davon posten. Du findest diese im Reiter Logdateien in Malwarebytes.

Hallo Arne,

die Reiter z.B. Quarantäne, Logdatein ect. konnte ich nach der Suche nicht anklicken.

Gruß
snake30

MBAM beenden, neu starten, Reiter Logdateien anklicken. Ist da mehr als ein Log drin?

Zitat:

Zitat von cosinus

MBAM beenden, neu starten, Reiter Logdateien anklicken. Ist da mehr als ein Log drin?

Nein da ist leider nichts mehr drin!!!

snake30

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Hier kommt die Auswertung:

snake30

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O32 - AutoRun File - [2006.09.18 22:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{0291bd1d-f8c3-11df-b8e1-001e68587075}\Shell\AutoRun\command - "" = E:\.\atze_player.exe -- File not found
[2010.12.26 14:12:51 | 000,000,000 | ---D | C] -- C:\Users\Besitzer\AppData\Local\mcicrtUI
@Alternate Data Stream - 72 bytes -> C:\Windows:A5634E209DD64D75
@Alternate Data Stream - 506 bytes -> C:\Users\Besitzer\Documents\Bewerbung.eml:OECustomProperty
@Alternate Data Stream - 111 bytes -> C:\ProgramData\TEMP:24051EFF
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Wie gewünscht.

Habe noch diese Auswertung:

All processes killed
========== OTL ==========
C:\autoexec.bat moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0291bd1d-f8c3-11df-b8e1-001e68587075}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0291bd1d-f8c3-11df-b8e1-001e68587075}\ not found.
File E:\.\atze_player.exe not found.
C:\Users\Besitzer\AppData\Local\mcicrtUI folder moved successfully.
ADS C:\Windows:A5634E209DD64D75 deleted successfully.
ADS C:\Users\Besitzer\Documents\Bewerbung.eml:OECustomProperty deleted successfully.
ADS C:\ProgramData\TEMP:24051EFF deleted successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Besitzer
->Temp folder emptied: 235938 bytes
->Temporary Internet Files folder emptied: 37361 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 49191740 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 456 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 26592 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 47,00 mb


OTL by OldTimer - Version 3.2.18.2 log created on 12302010_230312

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...


Gruß
snake30

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Zitat:

Zitat von cosinus

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

-------
Der Link Cofi.exe funktioniert nicht!!!

Hallo Cosinus,

die Link´s gehen leider nicht.

snake30

Scheint gerade down zu sein. Probiers bitte morgen oder wann auch immer wenn die wieder Zeit hast nochmal.

[QUOTE=snake30;604789]Wie gewünscht.

Habe noch diese Auswertung:

All processes killed
========== OTL ==========
C:\autoexec.bat moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0291bd1d-f8c3-11df-b8e1-001e68587075}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0291bd1d-f8c3-11df-b8e1-001e68587075}\ not found.
File E:\.\atze_player.exe not found.
C:\Users\Besitzer\AppData\Local\mcicrtUI folder moved successfully.
ADS C:\Windows:A5634E209DD64D75 deleted successfully.
ADS C:\Users\Besitzer\Documents\Bewerbung.eml:OECustomProperty deleted successfully.
ADS C:\ProgramData\TEMP:24051EFF deleted successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Besitzer
->Temp folder emptied: 235938 bytes
->Temporary Internet Files folder emptied: 37361 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 49191740 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 456 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 26592 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 47,00 mb


OTL by OldTimer - Version 3.2.18.2 log created on 12302010_230312

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...


Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 10-12-30.03 - Besitzer 31.12.2010  11:46:06.1.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6000.0.1252.49.1031.18.2046.1115 [GMT 1:00]
ausgeführt von:: c:\users\Besitzer\Downloads\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job

.
(((((((((((((((((((((((   Dateien erstellt von 2010-11-28 bis 2010-12-31  ))))))))))))))))))))))))))))))
.

2010-12-31 10:52 . 2010-12-31 10:52	--------	d-----w-	c:\users\Besitzer\AppData\Local\temp
2010-12-30 22:03 . 2010-12-30 22:03	--------	d-----w-	C:\_OTL
2010-12-30 18:18 . 2010-12-30 18:18	--------	d-----w-	c:\users\Besitzer\AppData\Roaming\Malwarebytes
2010-12-30 18:18 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-30 18:18 . 2010-12-30 18:18	--------	d-----w-	c:\programdata\Malwarebytes
2010-12-30 18:18 . 2010-12-30 19:35	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-12-30 18:18 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-12-30 15:46 . 2010-11-10 04:33	6273872	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{0AFBF6B2-71B9-492D-AF8D-3961F943FC76}\mpengine.dll
2010-12-27 16:09 . 2010-12-27 18:58	--------	d-----w-	c:\users\Besitzer\AppData\Roaming\FRITZ!
2010-12-27 16:09 . 2010-12-27 16:09	--------	d-----w-	c:\users\Besitzer\AppData\Local\FRITZ!
2010-12-27 15:53 . 2010-12-27 15:53	--------	d-----w-	c:\program files\FRITZ!DSL
2010-12-27 15:53 . 2010-12-27 15:53	--------	d-----w-	c:\program files\Common Files\AVM
2010-12-27 15:52 . 2010-12-27 15:52	--------	d-----w-	c:\program files\Common Files\Wise Installation Wizard
2010-12-23 17:17 . 2010-12-23 17:17	1222408	----a-w-	c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-12-16 22:57 . 2010-12-16 22:57	31088	----a-w-	c:\windows\system32\drivers\ElbyCDIO.sys
2010-12-09 19:48 . 2010-12-09 19:48	--------	d-----w-	c:\programdata\162F1
2010-12-04 12:37 . 2010-12-04 12:42	--------	d-----w-	c:\users\Besitzer\AppData\Local\iMesh
2010-12-04 12:37 . 2010-12-04 12:37	--------	dc----w-	c:\programdata\{B9BE2C46-D925-49FD-864D-3FD70D9C0ED7}
2010-12-04 12:36 . 2010-12-04 12:36	--------	d-----w-	c:\programdata\iMesh
2010-12-04 12:36 . 2010-12-04 12:36	--------	d-----w-	c:\program files\iMesh Applications
2010-12-04 12:27 . 2010-12-04 12:27	--------	d-----w-	c:\users\Besitzer\AppData\Local\PackageAware
2010-12-01 19:06 . 2010-12-01 19:06	108104	----a-w-	c:\windows\system32\drivers\AnyDVD.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-25 18:29 . 2010-11-25 18:29	89256	----a-w-	c:\windows\system32\ElbyCDIO.dll
2010-10-19 09:41 . 2009-11-07 18:06	222080	------w-	c:\windows\system32\MpSigStub.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-09-08 1232896]
"Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2008-08-21 443968]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2006-11-02 125440]
"AnyDVD"="c:\program files\SlySoft\AnyDVD\AnyDVDtray.exe" [2010-12-17 4763256]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-09-14 102400]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-09-19 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-09-19 8497696]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-09-19 81920]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2007-09-13 222504]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-05-12 202032]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdSync.exe" [2006-11-02 215552]
"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2010-03-08 524632]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]

c:\users\Besitzer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
DSL-Manager.lnk - c:\program files\DSL-Manager\DslMgr.exe [2010-9-8 1085440]
OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-1-21 393216]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
DSL-Manager.lnk - c:\program files\DSL-Manager\DslMgr.exe [2010-9-8 1085440]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2009-12-24 135664]
R3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;c:\windows\system32\Drivers\dsltestSp5.sys [2007-09-12 26816]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [2009-05-18 64160]
S2 IGDCTRL;AVM IGD CTRL Service;c:\program files\FRITZ!DSL\IGDCTRL.EXE [2009-07-28 73528]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2010-03-08 1029456]
S3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2008-04-03 193840]
S3 TDslMgrService;DSL-Manager;c:\program files\DSL-Manager\DslMgrSvc.exe [2008-10-23 307200]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile	REG_MULTI_SZ   	wcescomm rapimgr
LocalServiceRestricted	REG_MULTI_SZ   	WcesComm RapiMgr
.
Inhalt des "geplante Tasks" Ordners

2010-12-30 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 16:44]

2010-12-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-24 16:12]

2010-12-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-24 16:12]

2010-12-31 c:\windows\Tasks\User_Feed_Synchronization-{89D9B6F5-99DD-4CAD-801F-87BD526C2199}.job
- c:\windows\system32\msfeedssync.exe [2006-11-02 09:45]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.imesh.com/
uDefault_Search_URL = hxxp://www.google.com/ie
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Besitzer\AppData\Roaming\Mozilla\Firefox\Profiles\2h4li149.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-rasMouseUsb - c:\users\Besitzer\AppData\Local\mcicrtUI\rasMouseUsb.dll
HKU-Default-Run-FRITZ!protect - FwebProt.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-31 11:52
Windows 6.0.6000  NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2010-12-31  11:54:55
ComboFix-quarantined-files.txt  2010-12-31 10:54

Vor Suchlauf: 8 Verzeichnis(se), 160.555.462.656 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 160.483.209.216 Bytes frei

- - End Of File - - 25D20A1F9A5189B6426F611C6B6832A5
         

--- --- ---

------------
Habe die TXT.Datei von ComboFix dazugefügt.

Hallo cosinus,

habe mit CCleaner den Rechner wie beschrieben überprüfen lassen.
Er hat eine Menge gefunden, konnte alle Dateien erfolgreich löschen.

ComboFix hatte ich im Vorfeld das System durchsucht, siehe Auswertung oben.

Muss ich jetzt noch weitere Schritte veranlassen ggf. noch mal mit Malewarebytes durchsuchen???

Gruß
snake30