Sparkasse Allgäu Trojaner - Onlinebanking gesperrt
 

Hallo, die Sparkasse Allgäu hat das Onlinebanking gesperrt, da auf meinem Rechner ein Trojaner ein Abfragefenster "vorgeschaltet" hat, um mittels TAN-Eingage eine Testüberweisung von über 1.300,00 Euro auszuführen. In einem Infoschreiben wurde von der Sparkasse mitgeteilt, es könnte sich um HaxDoor oder wsnpoem handeln. Mein McAfee Anti Virus Plus hat nichts erkannt.

:hallo:

Mein Name ist Jürgen und ich werde Dir bei Deinem Problem behilflich sein. Zusammen schaffen wir das...:abklatsch:

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig durch bevor Du beginnst. Wenn es Probleme gibt oder Du etwas nicht verstehst, dann stoppe mit Deiner Ausführung und beschreibe mir das Problem.
• Führe bitte nur Scans durch, zu denen Du von mir aufgefordert wurdest.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software, außer Du wurdest dazu aufgefordert.
• Speichere alle unsere Tools auf dem Desktop ab.
• Poste die Logfiles direkt in Deinen Thread in Code-Tags.
• Bedenke, dass wir hier alle während unserer Freizeit tätig sind, wenn du innerhalb von 24 Stunden nichts von mir liest, dann schreibe mir bitte eine PM.

Los geht's:

Schritt 1
http://filepony.de/icon/frst.pnghttp://deeprybka.trojaner-board.de/b...t/frstscan.png

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hallo Jürgen,

herzlichen Dank für deine schnelle Rückmeldung! Ich muss mich erst etwas zurechtfinden und möchte dir auch mitteilen, dass ich als freiberufliche Grafikerin gearbeitet habe, zur Zeit aber in der Gastronomie tätig bin und sehr hoffe, dass du mir helfen kannst. Ich benutze noch WindowsXP und habe ziemlich alte Programme auf dem PC, z.B. Freehand, Photoshop 7.0, ... Ich hatte komische Meldungen bezügl. des Acrobat Readers 7.0 und habe auch gelesen, dass hier Sicherheitslücken vorkommen. Ich habe keine Mail-Anhänge geöffnet und keine Idee, wie ich mir den Trojaner eingefangen habe.

Hier der Inhalt der FRST.txt:

Und hier Addition.txt:

Hallo,
kein Problem. Werden wir schon hinbekommen. Achte aber bitte darauf, die Logs vollständig zu posten. Es fehlt nämlich das Ende der Logs... ;)

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
  Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es eine Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Morn,
hab Combofix installiert und alles nach Angabe vorgenommen. McAfee Echtzeitscan und Firewall deaktiviert. Durch den Bilschirmschoner musste ich hin und wieder die Maus antippen, damit ich sehen konnte, was auf dem Schirm passiert - ob der Scan wie im Fenster angekündigt nach ca. 10 Minuten oder leicht verdoppelt fertig wäre. Im blauen Fenster bewegte sich der Cursor stetig ... jedoch nach Stunden (ca. acht auf der Hut, uff) - McAfee läuft manchmal auch sehr lange für einen vollständigen Scan - hab ich das Programm geschlossen. PC neu gestartet und nochmals den Scan völlig ungestört von 3 Uhr nacht bis 7.30 Uhr "rödeln" lassen. Als ich das Programm nochmals startete, wurde abgefragt, ob ich das verfügbare Update installieren möchte, was ich dann nicht getan habe. Heute morgen dann immer noch das blaue Fenster ohne Ergebnis. Irgendwas stimmt wohl nicht ...? :confused:

Hallo,
Ok dann lassen wir Combofix weg. Wenn es Probleme mit unseren Tools gibt gleich melden.

Schritt 1

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

So, hab den mbar-Scan laufen lassen und es wurden 2 Maleware gefunden.
Dann beim zweiten Mal nichts mehr ...

Zweiter Scan:

Hier noch der system-log Text

Wie geht es nun weiter?

Hi, gut gemacht.... :daumenhoc

Bevor ich weitere Anweisungen gebe:
Ist Dir schon bewusst, dass XP keine Updates mehr bekommt und Online-Banking mit so einem PC absolut nicht empfehlenswert, ja fast schon unverantwortlich erscheint? ;)

Ja! Ich möchte mir in Bälde einen neuen Rechner zulegen. Mit Windows 7. Dieser Befall hat mir "den Rest gegeben" ...:kloppen:

Vernünftige Entscheidung! :daumenhoc

Willst den hier gleich plattmachen oder spielen wir noch ein bisschen und bereinigen ihn? ;)

Nachdem ich nun schon platt bin würd' ich den Rechner lieber gern bereinigen. ;0 Ist das noch viel Arbeit?

Naja, wir werden sehen... :D

Machen wir erstmal so weiter:

Schritt 1
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 2

http://filepony.de/icon/malwarebytes_anti_malware.png Malwarebytes Antimalware

• Download-Link
• Installiere das Programm in den vorgegebenen Pfad.
• Starte Malwarebytes' Anti-Malware (MBAM).
• Sollte die Benutzeroberfläche noch in Englisch sein, klicke auf Settings und wähle bei Language Deutsch aus.
• Unter Erkennung und Schutz setze bitte einen Haken bei "Suche nach Rootkits".
• Klicke im Anschluss auf "Suchlauf", wähle den Bedrohungssuchlauf aus, aktualisiere die Datenbanken und klicke auf "Suchlauf jetzt starten".
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. (geht so...)
• Poste mir den Inhalt der Logdatei (geht so...). Klicke dazu auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Suchlauf-Protokoll aus und klicke auf Ansicht. Klicke auf "In Zwischenablage kopieren" poste mir den Inhalt in Code-Tags als Antwort in den Thread.

Schritt 3
Downloade Dir HitmanProhttp://deeprybka.trojaner-board.de/b.../hitmanpro.pngauf Deinen Desktop:

HitmanPro - 32 Bit
HitmanPro - 64 Bit

• Starte die HitmanPro.exe
• Klicke auf Weiter und akzeptiere die Lizenzbedingungen. Klicke auf Weiter.
• Wähle "Nein, ich möchte nur einen Einmalscan zur Überprüfung dieses Computers ausführen" aus und klicke auf Weiter.
• Lass am Ende des Suchlaufs alle auftretende Funde in die Quarantäne verschieben und klicke auf Weiter.
• Wähle unten links auf der Button-Leiste Logdatei speichern und speichere die Logdatei auf Deinem Desktop.
• Schließe HitmanPro.
• Poste bitte den Inhalt der HitmanPro_<Datum_Uhrzeit>.txt mit Deiner nächsten Antwort.

Schritt 4

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 5

http://filepony.de/icon/frst.pnghttp://deeprybka.trojaner-board.de/b...t/frstscan.png

Bitte starte FRST erneut, markiere auch die checkbox http://deeprybka.trojaner-board.de/b...t/addition.pngund drücke auf Scan.
Bitte poste mir den Inhalt der beiden Logs die erstellt werden.

Schritt 1

Ich mach nun gleich Schritt 2 ...

Hallo, hier bin ich wieder mit dem Ergebnis von Schritt 2 ...

Schritt 3

Auch Schritt 4 ist geschafft:

Schritt 5, FRST


FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---



Addition:


Hallo Jürgen,

die ganzen Scans hab ich heil hinter mich gebracht. Es raucht der Kopf ... Nun warte ich auf Deine weiteren Angaben und wie ich die ganzen Programme auf dem Desktop wieder los werde. Ich möchte dann gerne das ganze System auf meiner externen Festplatte speichern. Kannst Du mir erklären, wie ich das am besten machen soll? Gruß Lapaloma

Ja, klar. ;)
Aufräumen tun wir sowieso. Die Frage ist jetzt halt, ob es nur noch um Datensichern geht, oder ob wir noch weitere Dinge an diesem PC machen sollen. Wie gesagt, ich rate dringend ab diesen PC für sensible Dinge zu verwenden. Und es war mit Sicherheit auch mal Sinowal auf dem PC....

Das Datensichern wäre mir wichtig. Um für den Übergang noch mit dem PC zu arbeiten wäre da viel zu machen?

Definiere mal was Du unter "arbeiten" mit dem PC verstehst? ;)

E-Mail, Internet, die Programme nutzen, z.B. Photoshop, Excel, mit dem Onlinebanking könnte ich warten ...

Hausaufgaben: :)

Schritt 1
Browser-Alternative installieren:
Mozilla Firefox http://deeprybka.trojaner-board.de/b...an/firefox.png
Den Internetexplorer am besten nicht mehr benutzen bzw. deaktivieren.
Deaktivieren von Internet Explorer - Windows-Hilfe


Schritt 2
Das alte Zeug deinstallieren. Mit den neuesten Versionen ersetzen. Ändern oder Entfernen eines Programms in Windows XP

Java http://deeprybka.trojaner-board.de/b...clean/java.png, Flash-Player http://filepony.de/icon/flashplayer_firefox.png und PDF-Reader http://filepony.de/icon/adobe_reader.png



Schritt 3
http://deeprybka.trojaner-board.de/b...s/combofix.png Combofix-Deinstallation.

• Wichtig: Bitte Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.
  
• Drücke bitte die http://deeprybka.trojaner-board.de/b...ne/revo/w7.png + R Taste und schreibe Combofix /Uninstall in das Ausführen-Fenster.
• Klicke auf OK.
  Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert.
• Nun die eben deaktivierten Programme wieder aktivieren.

Schritt 4
Lade Dir bitte http://filepony.de/icon/delfix.pngDelFix herunter.

• Schließe alle offenen Programme.
• Starte die delfix.exe mit einem Doppelklick.
• Setze vor jede Funktion ein Häkchen.
• Klicke auf Start.

Hinweis: DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte Deinen Rechner abschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen. ;)

Schritt 5 Datensicherung
Wenn Du ganz sicher gehen willst, solltest Du es via Live-CD machen.
http://www.trojaner-board.de/75619-a...x-live-cd.html

Ansonsten nur persönliche Daten sichern.
http://www.trojaner-board.de/71715-k...iendungen.html

Die Platte erst an den neuen PC anschließen wenn dort ein Virenscanner installiert ist und den neuen PC vorher impfen.
http://www.filepony.de/icon/panda_usb_vaccine.png Panda USB Vaccine

Bitte lade Dir von hier Panda USB Vaccine herunter.

• Starte und installiere es.
  http://deeprybka.trojaner-board.de/b...s/usbsetup.png
• Impfe Deinen PC
  http://deeprybka.trojaner-board.de/b.../pcvaccine.png

Wir haben es geschafft! :abklatsch:
Die Logs sehen für mich im Moment sauber aus. :daumenhoc

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:und/oder das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:
Es bleibt mir nur noch, Dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen. ;)

HERZLICHEN DANK deeprybka!

Für die tagelange Begleitung, die schnelle & erfolgreiche Hilfe, sowie die wichtigen Infos!
Respekt für diese Arbeit, die Nerven aus Stahl und die investierte Zeit.
Ich hoffe den "Notdienst" nicht mehr beanspruchen zu müssen - aber es gibt viel zu lernen hier und es ist schön, dass es diese Seite mit den Helfern gibt.

Lapaloma ohee :0)

Wir helfen gerne! :)
Alles Gute...und lass die Finger vom Online-Banking mit XP... ;)