Postbank 20 Tans-Phishing-Overlay

habe · 18.04.2011, 18:54

Hallo TB-Team!
Nach über zwei Jahrzehnten ohne Probleme hat es mich jetzt auch mal erwischt. Nach dem Öffnen einer PDF vor ein paar Tagen ist der Explorer abgeschmiert, nach einem Systemneustart war das System plötzlich langsamer als sonst. Heute kam beim Einloggen auf der Postbank Onlinebankingseite plötzlich ein Overlay mit der 20 Tans-Aufforderung, sowohl im IE als auch im Firefox auf meiner Workstation. Auf meinem Laptop tritt das Problem nicht auf, also schließe ich einen gecrackten Router schonmal weitesgehend aus.

Bevor ich die Anleitung mit load.exe befolgt habe, hatte ich schonmal mit Malwarebytes und SUPERAntiSpyware gescannt, hier zunächst deren Logs.

Malwarebytes

Zitat:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6388

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

18.04.2011 11:48:26
mbam-log-2011-04-18 (11-48-26).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 198880
Laufzeit: 10 Minute(n), 31 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\Heiko\AppData\Local\Temp\CSM35B.tmp (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
c:\Users\Heiko\AppData\Local\Temp\temp1_fp2006-final-3.00-setup.zip\fp2006-final-3.00-setup.exe (BadJoke.KillFiles) -> Quarantined and deleted successfully.

SuperAntiSpyware (Kompletter Scan)

Zitat:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 04/18/2011 at 02:33 PM

Application Version : 4.50.1002

Core Rules Database Version : 6860
Trace Rules Database Version: 4672

Scan type : Complete Scan
Total Scan Time : 01:14:51

Memory items scanned : 586
Memory threats detected : 0
Registry items scanned : 10731
Registry threats detected : 0
File items scanned : 79825
File threats detected : 292

Adware.Tracking Cookie
[...] Cookies entfernt [...]

Trojan.Agent/Gen-Bancos
C:\USERS\HEIKO\APPDATA\ROAMING\WEBOCTON - SCRIPTLY\PLUGINS\WYSIWYG_EDITOR.DLL
E:\WEBOCTON - SCRIPTLY\ORIGINALS\PLUGINS\WYSIWYG_EDITOR.DLL

Trojan.Unclassified/RegSVR-Fake
C:\WINDOWS\SYSTEM32\EMBEDDED\REGSVR.EXE

Die in die Quarantäne verschobenen Dateien scheinen aber nicht für das Problem verantwortlich gewesen zu sein. Danach habe ich im Zuge der Problembekämpfung einiges an Software deinstalliert, die ich nicht mehr brauchte bzw. die mir unbekannt vorkam oder um zu sehen, ob das Problem danach weiterhin besteht (z.B. Java).

Dann habe ich eure Seite gefunden und load.exe ausgeführt und die Anleitung befolgt. Dabei ist tfc.exe beim ersten mal abgestürzt, hat die Arbeit beim zweiten mal starten aber erfolgreich beendet. Die Logs befinden sich aus Platzgründen im Anhang.

Ich hoffe ihr könnt mir weiterhelfen. Danke für jegliche Mühe im Voraus!

Gruß Heiko

Postbank 20 Tans-Phishing-Overlay

Log-Analyse und Auswertung: Postbank 20 Tans-Phishing-Overlay

Postbank 20 Tans-Phishing-Overlay

Ähnliche Themen: Postbank 20 Tans-Phishing-Overlay