Trojaner-Board - Aufforderung zur Eingabe von 40 TAN's bei Postbank Online-Banking

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Aufforderung zur Eingabe von 40 TAN's bei Postbank Online-Banking (https://www.trojaner-board.de/90349-aufforderung-eingabe-40-tans-postbank-online-banking.html)

Aufforderung zur Eingabe von 40 TAN's bei Postbank Online-Banking

Hallo liebe Gemeinde!

Seit einigen Tagen habe ich dieselben Probleme wie schon in dem Thread http://www.trojaner-board.de/89340-4...entfernen.html 40Tans onlinebanking abfrage(postbank), trojaner entfernen beschrieben.
Kurz nochma die Hauptmerkmale die mir aufgefallen sind:

Beim Online-Banking werde ich aufgefordert 40 TAN's einzugeben
Das ^-Zeichen erscheint manchmal bei Eingabe doppelt
Avira findet nichts

Da dem Betroffenen dort anscheinend gut geholfen werden konnte, hoffe ich, dass mir hier auch geholfen werden kann. Weil ich gar keine ahnung von den ganzen Bereinigungsschritten habe, eröffne ich lieber einen neuen Post, statt die Schritte in dem anderen Thread abzuarbeiten.

Bis jetzt haben ich die Schritte der load.exe von larusso befolgt. Erhaltene log-dateien sind unten angehängt.

Zitat:

Art des Suchlaufs: Quick-Scan

Mach bitte einen Vollscan mit Malwarebytes. Denk an das Update vorher, Du musst es vor jedem manuellen Scan auch manuell aktualisieren.

Hi!
Hier die Log vom Malwarebytes' Vollscan:

Code:

 Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org
 

Datenbank Version: 4539
 

Windows 6.1.7600

Internet Explorer 8.0.7600.16385
 

04.09.2010 01:47:03

mbam-log-2010-09-04 (01-47-03).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)

Durchsuchte Objekte: 468103

Laufzeit: 2 Stunde(n), 22 Minute(n), 43 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 4

Infizierte Registrierungswerte: 1

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 2
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_CLASSES_ROOT\CLSID\{b922d405-6d13-4a2b-ae89-08a030da4402} (Adware.WidgiToolbar) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{b922d405-6d13-4a2b-ae89-08a030da4402} (Adware.WidgiToolbar) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b922d405-6d13-4a2b-ae89-08a030da4402} (Adware.WidgiToolbar) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b922d405-6d13-4a2b-ae89-08a030da4402} (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{b922d405-6d13-4a2b-ae89-08a030da4402} (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\Program Files (x86)\pdfforge Toolbar\WidgiHelper.exe (Adware.WidgiToolbar) -> Quarantined and deleted successfully.

C:\Program Files (x86)\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hmm. Will irgendwie nicht so klappen. Hab 3 mal scannen lassen, vorher alle Programme beendet und geschlossen und jedesmal kam beim Schritt "Manual File Scan - Getting folder structure ..." die Meldung "Out of Memory".

Versuchs mal im abgesicherten Modus.

Tut mir Leid, dass ich mich erst jetzt melde, aber war unterwegs und hatte mein Laptop nicht mit.

Hab jetzt den OTL Scan im abgesicherten Modus durchgeführt.
Ergebnis: Genau wie beim letzten mal. Zweimal durchgeführt, zweimal die Meldung "Out of Memory" beim Vorgang "Gettin folder structure".

Wodran könnte das denn liegen!?

Probiers mit dieser älteren umbenannten Version => http://sicher-ins-netz.info/dl/lichtinsdunkel.exe

Habs mit der alten Version probiert, aber tritt wieder der gleiche Fehler auf. Sowohl im Normalen wie im abgesicherten Modus.

Hm, dann können wir fast nichts analysieren wenn OTL schon nicht läuft :eek:
Andere spezielle Tools laufen nicht im 64-Bit-Windows!

Mach erstmal zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

So hier die Logs von Malwarebytes und SASW

Code:

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org
 

Datenbank Version: 4569
 

Windows 6.1.7600

Internet Explorer 8.0.7600.16385
 

08.09.2010 15:15:15

mbam-log-2010-09-08 (15-15-15).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)

Durchsuchte Objekte: 468348

Laufzeit: 2 Stunde(n), 21 Minute(n), 12 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Code:

SUPERAntiSpyware Scan Log

hxxp://www.superantispyware.com
 

Generated 09/08/2010 at 12:28 PM
 

Application Version : 4.42.1000
 

Core Rules Database Version : 5469

Trace Rules Database Version: 3281
 

Scan type       : Complete Scan

Total Scan Time : 03:57:58
 

Memory items scanned      : 578

Memory threats detected   : 0

Registry items scanned    : 13817

Registry threats detected : 0

File items scanned        : 335615

File threats detected     : 55
 

Adware.Tracking Cookie

    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@statcounter[1].txt

    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@cdn.at.atwola[2].txt

    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@at.atwola[2].txt

    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@apmebf[1].txt

    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@content.yieldmanager[2].txt

    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@tracking.hannoversche[1].txt

    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@doubleclick[1].txt

    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@imrworldwide[2].txt

    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@zanox-affiliate[1].txt

    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@ad.zanox[1].txt

    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@adserver.traffictrack[2].txt

    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@content.yieldmanager[3].txt

    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@webmasterplan[2].txt

    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@advertising[2].txt

    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@www.zanox-affiliate[1].txt

    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@serving-sys[1].txt

    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@weborama[2].txt

    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@atdmt[1].txt

    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@tradedoubler[2].txt

    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@mediaplex[2].txt

    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@ad.adc-serv[1].txt

    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@ad.yieldmanager[3].txt

    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@zanox[1].txt

    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@tacoda[2].txt

    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@tracking.quisma[1].txt

    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@adfarm1.adition[2].txt

    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@atwola[2].txt

    C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\***@bs.serving-sys[1].txt

    media.entertonement.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\2DJGLM2H ]

    media.mtvnservices.com [ C:\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\2DJGLM2H ]

    cdn4.specificclick.net [ C:\Windows.old\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\ARRMV2H2 ]

    cloud.video.unrulymedia.com [ C:\Windows.old\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\ARRMV2H2 ]

    gals09.fantasygirlrevenue.com [ C:\Windows.old\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\ARRMV2H2 ]

    ia.media-imdb.com [ C:\Windows.old\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\ARRMV2H2 ]

    indieclick.3janecdn.com [ C:\Windows.old\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\ARRMV2H2 ]

    inwmedia.net [ C:\Windows.old\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\ARRMV2H2 ]

    media.ichwillspielen.com [ C:\Windows.old\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\ARRMV2H2 ]

    media.mtvnservices.com [ C:\Windows.old\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\ARRMV2H2 ]

    media.rofl.to [ C:\Windows.old\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\ARRMV2H2 ]

    media01.kyte.tv [ C:\Windows.old\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\ARRMV2H2 ]

    media1.break.com [ C:\Windows.old\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\ARRMV2H2 ]

    pornoprinzen.com [ C:\Windows.old\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\ARRMV2H2 ]

    secure-us.imrworldwide.com [ C:\Windows.old\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\ARRMV2H2 ]

    www.***.org [ C:\Windows.old\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\ARRMV2H2 ]

    www.***.com [ C:\Windows.old\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\ARRMV2H2 ]

    www.***.com [ C:\Windows.old\Users\***\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\ARRMV2H2 ]
 

Trojan.Agent/CDesc[Generic]

    C:\WINDOWS.OLD\PROGRAM FILES\COMMON FILES\FLUXDVD\LIB\XEB\XEBTAG.DLL

    C:\WINDOWS.OLD\PROGRAM FILES\VIDEOLOAD MANAGER\XEB\XCTFOLDER.DLL

    C:\WINDOWS.OLD\PROGRAM FILES\VIDEOLOAD MANAGER\XEB\XEBTAG.DLL
 

Trojan.Agent/Gen-FakeAlert[Local]

    C:\WINDOWS.OLD\PROGRAM FILES\PEARSONS CRYSTAL DATA\LAZY.EXE
 

Trojan.Vundo-Variant/F

    C:\WINDOWS.OLD\PROGRAM FILES\QIP INFIUM\LANGS\ENGLISH.DLL

    C:\WINDOWS.OLD\PROGRAM FILES\QIP INFIUM\LANGS\RUSSIAN.DLL

    C:\WINDOWS.OLD\PROGRAM FILES\QIP INFIUM\PROTOS\INFICQ\PICS.DLL

    C:\WINDOWS.OLD\USERS\***\APPDATA\ROAMING\MIRC\BIN\DLL\SENDKEY.DLL

    C:\WINDOWS.OLD\USERS\***\APPDATA\ROAMING\MIRC\BIN\DLL\TBWIN.DLL

Da wurden ein paar Überreste gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Die Scans finden nichts, aber das Problem mit der TAN-Abfrage besteht weiter.

Zitat:

aber das Problem mit der TAN-Abfrage besteht weiter.

Nur in einem bestimmten Browser oder in allen?

Passiert in allen Browsern: Firefox, IE, Google Chrome