|
Postbank 20 Tans-Phishing-Overlay Hallo TB-Team! Nach über zwei Jahrzehnten ohne Probleme hat es mich jetzt auch mal erwischt. Nach dem Öffnen einer PDF vor ein paar Tagen ist der Explorer abgeschmiert, nach einem Systemneustart war das System plötzlich langsamer als sonst. Heute kam beim Einloggen auf der Postbank Onlinebankingseite plötzlich ein Overlay mit der 20 Tans-Aufforderung, sowohl im IE als auch im Firefox auf meiner Workstation. Auf meinem Laptop tritt das Problem nicht auf, also schließe ich einen gecrackten Router schonmal weitesgehend aus. Bevor ich die Anleitung mit load.exe befolgt habe, hatte ich schonmal mit Malwarebytes und SuperAntiSpyware gescannt, hier zunächst deren Logs. Malwarebytes Zitat:
Zitat:
Dann habe ich eure Seite gefunden und load.exe ausgeführt und die Anleitung befolgt. Dabei ist tfc.exe beim ersten mal abgestürzt, hat die Arbeit beim zweiten mal starten aber erfolgreich beendet. Die Logs befinden sich aus Platzgründen im Anhang. Ich hoffe ihr könnt mir weiterhelfen. Danke für jegliche Mühe im Voraus! Gruß Heiko |
Zitat:
Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! |
Hallo und danke. ^^ Ich habe noch zwei Vollscans, einer von heute Mittag, und einer von gerade ebenn ach erneutem Update. Erstaunlicherweise hat der erste Vollscan sehr viel weniger Objekte untersucht ?! Zitat:
Zitat:
|
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. |
OTL ist durch, mit folgendem Output nach dem Neustart: Zitat:
|
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern ) http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif |
Unhide war nicht nötig. Den TDSSKiller hatte ich heute schonmal laufen, hier das Log vom ersten Durchlauf: Zitat:
Zitat:
|
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Guten Abend! Ich habe das Gefühl, ComboFix läuft nicht durch. Ich habs gegen 15:00 Uhr gestartet, bis jetzt sind nur zwei Fertiggestellt-Meldungen aufgetaucht (Stufe 1 und 2) ... wie lange kann sowas dauern? Ist schon der zweite Versuch, das Programm laufen zu lassen, beim ersten Mal dachte ich, es hat sich weggehängt, weil nach über 2 Stunden überhaupt nichts kam, und der Prozessor und sämtliche Ressourcen waren komplett "still", genauso wie jetzt wieder. Was soll ich tun? |
Das Problem saß wie so oft vor dem Bildschirm, hab an alles gedacht, außer das Deaktivieren der Firewall... :daumenrunter: Hier das ComboFix-Log: Zitat:
|
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Hier die Logs von GMER und OSAM: GMER Logfile: Code: GMER 1.0.15.15570 - hxxp://www.gmer.netOSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0 |
... und hier das Log von MBRCheck: MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows Vista Business Edition Windows Information: Service Pack 2 (build 6002), 32-bit Base Board Manufacturer: ASUSTeK Computer INC. BIOS Manufacturer: American Megatrends Inc. System Manufacturer: System manufacturer System Product Name: P5K SE Logical Drives Mask: 0x000000fc Kernel Drivers (total 157): 0x82650000 \SystemRoot\system32\ntkrnlpa.exe 0x8261D000 \SystemRoot\system32\hal.dll 0x80403000 \SystemRoot\system32\kdcom.dll 0x8040A000 \SystemRoot\system32\mcupdate_GenuineIntel.dll 0x8047A000 \SystemRoot\system32\PSHED.dll 0x8048B000 \SystemRoot\system32\BOOTVID.dll 0x80493000 \SystemRoot\system32\CLFS.SYS 0x804D4000 \SystemRoot\system32\CI.dll 0x80606000 \SystemRoot\system32\drivers\Wdf01000.sys 0x80682000 \SystemRoot\system32\drivers\WDFLDR.SYS 0x8068F000 \SystemRoot\system32\drivers\acpi.sys 0x806D5000 \SystemRoot\system32\drivers\WMILIB.SYS 0x806DE000 \SystemRoot\system32\drivers\msisadrv.sys 0x806E6000 \SystemRoot\system32\drivers\pci.sys 0x8070D000 \SystemRoot\System32\drivers\partmgr.sys 0x8071C000 \SystemRoot\system32\drivers\volmgr.sys 0x8072B000 \SystemRoot\System32\drivers\volmgrx.sys 0x80775000 \SystemRoot\system32\drivers\pciide.sys 0x8077C000 \SystemRoot\system32\drivers\PCIIDEX.SYS 0x8078A000 \SystemRoot\System32\drivers\mountmgr.sys 0x8079A000 \SystemRoot\System32\drivers\sfsync02.sys 0x807A3000 \SystemRoot\system32\drivers\atapi.sys 0x807AB000 \SystemRoot\system32\drivers\ataport.SYS 0x807C9000 \SystemRoot\system32\DRIVERS\mv61xx.sys 0x805B4000 \SystemRoot\system32\DRIVERS\SCSIPORT.SYS 0x83004000 \SystemRoot\system32\drivers\fltmgr.sys 0x83036000 \SystemRoot\system32\drivers\fileinfo.sys 0x83046000 \SystemRoot\System32\Drivers\ksecdd.sys 0x830B7000 \SystemRoot\system32\drivers\ndis.sys 0x831C2000 \SystemRoot\system32\drivers\msrpc.sys 0x83208000 \SystemRoot\system32\drivers\NETIO.SYS 0x83243000 \SystemRoot\System32\drivers\tcpip.sys 0x83330000 \SystemRoot\System32\drivers\fwpkclnt.sys 0x8334B000 \SystemRoot\system32\DRIVERS\timntr.sys 0x8B40B000 \SystemRoot\System32\Drivers\Ntfs.sys 0x8B51B000 \SystemRoot\system32\drivers\volsnap.sys 0x8B554000 \SystemRoot\System32\Drivers\spldr.sys 0x8B55C000 \SystemRoot\system32\speedfan.sys 0x8B55E000 \SystemRoot\system32\DRIVERS\snapman.sys 0x8B579000 \SystemRoot\System32\drivers\sfhlp02.sys 0x8B581000 \SystemRoot\System32\drivers\sfdrv01.sys 0x8B594000 \SystemRoot\System32\Drivers\mup.sys 0x8B5A3000 \SystemRoot\system32\giveio.sys 0x8B5A4000 \SystemRoot\System32\drivers\ecache.sys 0x8B5CB000 \SystemRoot\system32\drivers\disk.sys 0x8B5DC000 \SystemRoot\system32\drivers\CLASSPNP.SYS 0x8B400000 \SystemRoot\system32\drivers\crcdisk.sys 0x833CB000 \SystemRoot\system32\DRIVERS\tunmp.sys 0x833D4000 \SystemRoot\system32\DRIVERS\intelppm.sys 0x8FE0B000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys 0x907A8000 \SystemRoot\system32\DRIVERS\nvBridge.kmd 0x8FA01000 \SystemRoot\System32\drivers\dxgkrnl.sys 0x8FAA1000 \SystemRoot\System32\drivers\watchdog.sys 0x8FAAD000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0x8FAB8000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0x8FAF6000 \SystemRoot\system32\DRIVERS\usbehci.sys 0x8FB05000 \SystemRoot\system32\DRIVERS\HDAudBus.sys 0x8FB92000 \SystemRoot\System32\Drivers\cdrbsdrv.SYS 0x8FB9B000 \SystemRoot\system32\DRIVERS\cdrom.sys 0x8FBB3000 \SystemRoot\system32\DRIVERS\l160x86.sys 0x8FBC2000 \SystemRoot\system32\DRIVERS\ASACPI.sys 0x8FBCA000 \SystemRoot\system32\DRIVERS\serial.sys 0x8FBE4000 \SystemRoot\system32\DRIVERS\serenum.sys 0x907AA000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0x8FBEE000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0x907BD000 \SystemRoot\system32\DRIVERS\msiscsi.sys 0x90C07000 \SystemRoot\system32\DRIVERS\storport.sys 0x90C48000 \SystemRoot\system32\DRIVERS\TDI.SYS 0x90C53000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0x90C6A000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0x90C75000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0x90C98000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0x90CA7000 \SystemRoot\system32\DRIVERS\raspptp.sys 0x90CBB000 \SystemRoot\system32\DRIVERS\rassstp.sys 0x90CD0000 \SystemRoot\system32\DRIVERS\rdpdr.sys 0x90D59000 \SystemRoot\system32\DRIVERS\termdd.sys 0x90D69000 \SystemRoot\system32\DRIVERS\mouclass.sys 0x90D74000 \SystemRoot\system32\DRIVERS\swenum.sys 0x90D76000 \SystemRoot\system32\DRIVERS\ks.sys 0x90DA0000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0x90DAA000 \SystemRoot\system32\DRIVERS\umbus.sys 0x90DB7000 \SystemRoot\system32\DRIVERS\usbhub.sys 0x90DEC000 \SystemRoot\System32\Drivers\NDProxy.SYS 0x90E01000 \SystemRoot\system32\drivers\RTKVHDA.sys 0x9100F000 \SystemRoot\system32\drivers\portcls.sys 0x9103C000 \SystemRoot\system32\drivers\drmk.sys 0x91061000 \SystemRoot\system32\DRIVERS\MpFilter.sys 0x91088000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0x91091000 \SystemRoot\System32\Drivers\Null.SYS 0x91098000 \SystemRoot\System32\Drivers\Beep.SYS 0x910A8000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0x910AF000 \SystemRoot\System32\drivers\vga.sys 0x910BB000 \SystemRoot\System32\drivers\VIDEOPRT.SYS 0x910DC000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0x910E4000 \SystemRoot\system32\drivers\rdpencdd.sys 0x910EC000 \SystemRoot\System32\Drivers\Msfs.SYS 0x910F7000 \SystemRoot\System32\Drivers\Npfs.SYS 0x91105000 \SystemRoot\System32\DRIVERS\rasacd.sys 0x9110E000 \SystemRoot\system32\DRIVERS\tdx.sys 0x91124000 \SystemRoot\system32\DRIVERS\hidusb.sys 0x9112D000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0x9113D000 \SystemRoot\system32\DRIVERS\USBD.SYS 0x9113F000 \SystemRoot\system32\DRIVERS\mouhid.sys 0x91147000 \SystemRoot\system32\DRIVERS\smb.sys 0x9115B000 \SystemRoot\system32\drivers\afd.sys 0x911A3000 \SystemRoot\System32\DRIVERS\netbt.sys 0x911D5000 \SystemRoot\system32\DRIVERS\pacer.sys 0x911EB000 \SystemRoot\system32\DRIVERS\netbios.sys 0x907EC000 \SystemRoot\system32\DRIVERS\wanarp.sys 0x805DA000 \??\E:\superantispyware\SASKUTIL.SYS 0x911F9000 \??\E:\superantispyware\SASDIFSV.SYS 0x9180C000 \SystemRoot\system32\DRIVERS\rdbss.sys 0x91848000 \SystemRoot\system32\drivers\nsiproxy.sys 0x91852000 \SystemRoot\system32\drivers\csc.sys 0x918AD000 \SystemRoot\System32\Drivers\dfsc.sys 0x918C4000 \SystemRoot\system32\drivers\AsIO.sys 0x918C6000 \SystemRoot\System32\Drivers\crashdmp.sys 0x918D3000 \SystemRoot\System32\Drivers\dump_dumpata.sys 0x918DE000 \SystemRoot\System32\Drivers\dump_atapi.sys 0x9D0D0000 \SystemRoot\System32\win32k.sys 0x918E6000 \SystemRoot\System32\drivers\Dxapi.sys 0x918F0000 \SystemRoot\system32\DRIVERS\monitor.sys 0x9D2F0000 \SystemRoot\System32\TSDDD.dll 0x9D310000 \SystemRoot\System32\cdd.dll 0x9D320000 \SystemRoot\System32\ATMFD.DLL 0x918FF000 \SystemRoot\system32\drivers\luafv.sys 0x9191A000 \??\C:\Windows\system32\drivers\acedrv01.sys 0x91975000 \??\C:\Windows\system32\drivers\acedrv02.sys 0x80C09000 \??\C:\Windows\system32\drivers\acedrv03.sys 0x80C68000 \??\C:\Windows\system32\drivers\acedrv04.sys 0x80CC7000 \??\C:\Windows\system32\drivers\acedrv05.sys 0x80D26000 \??\C:\Windows\system32\drivers\acedrv06.sys 0x80D86000 \??\C:\Windows\system32\drivers\acedrv07.sys 0x80E0D000 \??\C:\Windows\system32\drivers\ACEDRV09.sys 0x80E70000 \SystemRoot\system32\DRIVERS\tifsfilt.sys 0x80E80000 \SystemRoot\system32\drivers\spsys.sys 0x80F30000 \SystemRoot\system32\DRIVERS\lltdio.sys 0x80F40000 \SystemRoot\system32\DRIVERS\rspndr.sys 0x80F53000 \SystemRoot\system32\DRIVERS\asyncmac.sys 0x80F5C000 \SystemRoot\system32\drivers\HTTP.sys 0x80FC9000 \SystemRoot\System32\DRIVERS\srvnet.sys 0x80FE6000 \SystemRoot\system32\DRIVERS\bowser.sys 0x80DE8000 \SystemRoot\System32\drivers\mpsdrv.sys 0x919D4000 \SystemRoot\system32\drivers\mrxdav.sys 0x833AB000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xA4A0C000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys 0xA4A45000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys 0xA4A5D000 \SystemRoot\System32\DRIVERS\srv2.sys 0xA4A85000 \SystemRoot\System32\DRIVERS\srv.sys 0xA4AD4000 \SystemRoot\system32\drivers\peauth.sys 0xA4BB2000 \SystemRoot\System32\Drivers\secdrv.SYS 0xA4BBC000 \SystemRoot\System32\drivers\tcpipreg.sys 0xA4BC8000 \SystemRoot\system32\DRIVERS\cdfs.sys 0xA4BDE000 \SystemRoot\system32\DRIVERS\MpNWMon.sys 0xA4BFA000 \??\C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{D466CA8F-55D8-4E08-AAB7-DDF418803F41}\MpKsl1d162cca.sys 0x833E3000 \??\C:\Users\Heiko\AppData\Local\Temp\uxldypow.sys 0x77980000 \Windows\System32\ntdll.dll Processes (total 50): 0 System Idle Process 4 System 568 C:\Windows\System32\smss.exe 700 csrss.exe 748 C:\Windows\System32\wininit.exe 760 csrss.exe 792 C:\Windows\System32\services.exe 808 C:\Windows\System32\lsass.exe 816 C:\Windows\System32\lsm.exe 984 C:\Windows\System32\winlogon.exe 1012 C:\Windows\System32\svchost.exe 1056 C:\Windows\System32\nvvsvc.exe 1084 C:\Windows\System32\svchost.exe 1136 C:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe 1276 C:\Windows\System32\svchost.exe 1304 C:\Windows\System32\svchost.exe 1364 C:\Windows\System32\svchost.exe 1468 C:\Windows\System32\audiodg.exe 1496 C:\Windows\System32\svchost.exe 1548 C:\Windows\System32\SLsvc.exe 1604 C:\Windows\System32\svchost.exe 1692 C:\Program Files\NVIDIA Corporation\Display\NvXDSync.exe 1704 C:\Windows\System32\nvvsvc.exe 1836 C:\Windows\System32\svchost.exe 424 C:\Windows\System32\spoolsv.exe 656 C:\Windows\System32\svchost.exe 1584 C:\Windows\System32\taskeng.exe 2052 C:\Windows\System32\dwm.exe 2116 C:\Windows\System32\taskeng.exe 2248 C:\Program Files\ASUS\AASP\1.00.40\aaCenter.exe 2360 C:\Windows\RtHDVCpl.exe 2392 C:\Program Files\Microsoft Security Client\msseces.exe 2600 C:\Windows\explorer.exe 2628 C:\Windows\System32\bgsvcgen.exe 2676 C:\Program Files\Canon\DIAS\CnxDIAS.exe 2888 C:\Windows\System32\svchost.exe 2960 C:\Windows\System32\svchost.exe 2992 C:\Windows\System32\SearchIndexer.exe 3176 E:\Spybot - Search & Destroy\SDWinSec.exe 3448 C:\Windows\System32\taskeng.exe 3800 C:\Windows\System32\wbem\unsecapp.exe 3820 WmiPrvSE.exe 3116 C:\Windows\System32\svchost.exe 2820 C:\Program Files\Common Files\microsoft shared\ink\InputPersonalization.exe 3924 C:\Program Files\Internet Explorer\ieuser.exe 3228 C:\Program Files\Internet Explorer\iexplore.exe 2492 C:\Windows\System32\Macromed\Flash\FlashUtil10i_ActiveX.exe 1940 C:\Windows\System32\SearchProtocolHost.exe 2228 C:\Windows\System32\SearchFilterHost.exe 4028 C:\Users\Heiko\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00100000 (NTFS) \\.\E: --> \\.\PhysicalDrive0 at offset 0x00000019`00100000 (NTFS) \\.\F: --> \\.\PhysicalDrive0 at offset 0x00000032`00100000 (NTFS) \\.\G: --> \\.\PhysicalDrive0 at offset 0x0000004b`00200000 (NTFS) \\.\H: --> \\.\PhysicalDrive0 at offset 0x00000069`00300000 (NTFS) PhysicalDrive0 Model Number: SAMSUNGHD501LJ, Rev: CR100-10 Size Device Name MBR Status -------------------------------------------- 465 GB \\.\PhysicalDrive0 Windows 2008 MBR code detected SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979 Done! |
Zitat:
|
Der Treiber ist laut OSAM runter vom System, das Overlay kommt noch immer. Hier das Log nach dem Neustart: OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:45 Uhr. |
Copyright ©2000-2025, Trojaner-Board