Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Befall mit Trojan.PWS.Gen / 20-TAN-Trojaner (https://www.trojaner-board.de/91061-befall-trojan-pws-gen-20-tan-trojaner.html)

frankiefigs 23.09.2010 18:00
Befall mit Trojan.PWS.Gen / 20-TAN-Trojaner
 
Juten Tach liebe Community,

nachdem ich mich lange Jahre schadlos gehalten habe, hat es mich jetzt doch erwischt: Gestern trat bei mir der 20-TAN-Trojaner (Sparkasse) auf,d.h. beim Einloggen ins Onlinebanking werde ich aufgefordert mal eben 20 TAN einzugeben. Den Postings hier im Forum nach zu urteilen liege ich damit z.Zt. voll im Trend! BitDefender 2010, mit dem ich in den letzten Jahren immer sehr zufrieden war, findet NIX bei tiefgehender Systemprüfung.
Wie auch immer, gemäß Anleitung im Board hab ich

(1) mit MBAM gescannt und siehe da: Trojan.PWS.Gen -> mbam-log-1.txt
(2) Bedrohungen gelöscht und anschließend neu gescannt -> mbam-log-2.txt
(3) Scan mit OTL -> OTL.txt/Extras.txt

Nach dem Löschen der infizierten Files tritt die TAN-Abfrage auch nicht mehr auf. Was gibt es jetzt noch zu tun? Danke für Eure Hilfe!

Chris4You 23.09.2010 19:09
Hi,

Aufräumen und ev. tiefer bohren...
Komme aber erst morgen dazu...

Das ist er (gewesen):
36 - AppCertDlls: NetPetup - (C:\Windows\system32\iscsywiz.dll) - C:\Windows\System32\iscsywiz.dll File not found

chris

Chris4You 24.09.2010 07:53
Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
C:\Windows\System32\acddaeccadea_z.dll
C:\Windows\System32\bacddaeb_r.dll
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Fix für OTL:
  • Doppelklick auf die OTL.exe, um das Programm auszuführen.
  • Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
  • Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"
http://oldtimer.geekstogo.com/OTL/OTL_Main_Tutorial.gif
Code:

:OTL
DRV - (UIUSys) -- C:\Windows\System32\DRIVERS\UIUSYS.SYS File not found
DRV - (NwlnkFwd) -- C:\Windows\System32\DRIVERS\nwlnkfwd.sys File not found
DRV - (NwlnkFlt) -- C:\Windows\System32\DRIVERS\nwlnkflt.sys File not found
DRV - (IpInIp) -- C:\Windows\System32\DRIVERS\ipinip.sys File not found
DRV - (blbdrive) -- C:\Windows\System32\drivers\blbdrive.sys File not found
O33 - MountPoints2\{070fb55b-6ee1-11de-9312-001a803ebc35}\Shell - "" = AutoRun
O33 - MountPoints2\{070fb55b-6ee1-11de-9312-001a803ebc35}\Shell\AutoRun\command - "" = H:\LaunchU3.exe -- File not found
O33 - MountPoints2\{8f82317c-d263-11dd-af0f-001a803ebc35}\Shell\AutoRun\command - "" = H:\Menu.exe -- File not found
O33 - MountPoints2\{d2dfe610-d5ac-11dc-b675-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{d2dfe610-d5ac-11dc-b675-806e6f6e6963}\Shell\AutoRun\command - "" = F:\autorun.exe -- File not found
O33 - MountPoints2\{e4da564b-7928-11de-a6b9-001a803ebc35}\Shell\AutoRun\command - "" = H:\Launcher.exe -- File not found
O33 - MountPoints2\G\Shell\AutoRun\command - "" = G:\Autorun\Autorun.exe -- File not found
O36 - AppCertDlls: NetPetup - (C:\Windows\system32\iscsywiz.dll) - C:\Windows\System32\iscsywiz.dll File not found
@Alternate Data Stream - 98 bytes -> C:\ProgramData\TEMP:551E1CB4
@Alternate Data Stream - 134 bytes -> C:\ProgramData\TEMP:38849DE5
@Alternate Data Stream - 129 bytes -> C:\ProgramData\TEMP:74699137
@Alternate Data Stream - 124 bytes -> C:\ProgramData\TEMP:B3D74A13
@Alternate Data Stream - 124 bytes -> C:\ProgramData\TEMP:273A8657
@Alternate Data Stream - 122 bytes -> C:\ProgramData\TEMP:7DFDF9DF
@Alternate Data Stream - 122 bytes -> C:\ProgramData\TEMP:27AD48A5
@Alternate Data Stream - 120 bytes -> C:\ProgramData\TEMP:A23D24E7
@Alternate Data Stream - 119 bytes -> C:\ProgramData\TEMP:9AB338B9
@Alternate Data Stream - 118 bytes -> C:\ProgramData\TEMP:EB603FE4
@Alternate Data Stream - 114 bytes -> C:\ProgramData\TEMP:5EBA4934
@Alternate Data Stream - 111 bytes -> C:\ProgramData\TEMP:8FBE0E9C
@Alternate Data Stream - 111 bytes -> C:\ProgramData\TEMP:1941675B
@Alternate Data Stream - 109 bytes -> C:\ProgramData\TEMP:7091055F
@Alternate Data Stream - 105 bytes -> C:\ProgramData\TEMP:8EEE3BBB
@Alternate Data Stream - 102 bytes -> C:\ProgramData\TEMP:B14B4A95
@Alternate Data Stream - 101 bytes -> C:\ProgramData\TEMP:37CE0F2E

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
"DisableMonitoring" = dword:0x00

:Commands
[emptytemp]
[Reboot]
  • Den roten Run Fixes! Button anklicken.
  • Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.
  • Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:
  • %systemroot%\_OTL

Cureit:
http://www.trojaner-board.de/59299-a...eb-cureit.html
Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log.
Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn.
Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet.

chris

frankiefigs 25.09.2010 14:15
Hi Chris,

alle Prüfungen sind ohne Befund. System scheint sauber zu sein. Danke für die Unterstützung.

Virustotalscan acddaeccadea_z.dll
Code:
File name:acddaeccadea_z.dll
Submission date:2010-09-24 16:53:27 (UTC)
Current status:queued (#3) queued (#3) analysing finished
Result:0/ 43 (0.0%)

Additional information
Show all
MD5  : 2aab95d72043eb5f0743b2f813b31869
SHA1  : 1bed2a9e7b3dfa05cfb7fdc05077ca923a4c2511
SHA256: 8e77828f61e89b76f9c9619be7eab90a9f6a4802d76e356a345df7e1490a8dd7
ssdeep: 3:gbTiR8WhFa:gyR8WhFa
File size : 23 bytes
First seen: 2010-09-24 16:53:27
Last seen : 2010-09-24 16:53:27
TrID:
Unknown!
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
Virustotalscan bacddaeb_r.dll
Code:
File name:bacddaeb_r.dll
Submission date:2010-09-24 17:03:20 (UTC)
Current status:queued (#1) queued (#1) analysing finished
Result:0/ 43 (0.0%)

Additional information
Show all
MD5  : 85d5902866ea0041884360a0bd58b57e
SHA1  : 316bac5d418594f27f4213f759f7c973539b0008
SHA256: 3d1446c36aacaca414a5037f2e377ea804bc661de61890b2b97645c962e1d6ab
ssdeep: 3:S1g+S1WFcn:S1Vcmc
File size : 23 bytes
First seen: 2009-03-05 00:00:06
Last seen : 2010-09-24 17:03:20
TrID:
Unknown!
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
OTL
Code:
All processes killed
========== OTL ==========
Service UIUSys stopped successfully!
Service UIUSys deleted successfully!
File  C:\Windows\System32\DRIVERS\UIUSYS.SYS File not found not found.
Service NwlnkFwd stopped successfully!
Service NwlnkFwd deleted successfully!
File  C:\Windows\System32\DRIVERS\nwlnkfwd.sys File not found not found.
Service NwlnkFlt stopped successfully!
Service NwlnkFlt deleted successfully!
File  C:\Windows\System32\DRIVERS\nwlnkflt.sys File not found not found.
Service IpInIp stopped successfully!
Service IpInIp deleted successfully!
File  C:\Windows\System32\DRIVERS\ipinip.sys File not found not found.
Service blbdrive stopped successfully!
Service blbdrive deleted successfully!
File  C:\Windows\System32\drivers\blbdrive.sys File not found not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{070fb55b-6ee1-11de-9312-001a803ebc35}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{070fb55b-6ee1-11de-9312-001a803ebc35}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{070fb55b-6ee1-11de-9312-001a803ebc35}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{070fb55b-6ee1-11de-9312-001a803ebc35}\ not found.
File H:\LaunchU3.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8f82317c-d263-11dd-af0f-001a803ebc35}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8f82317c-d263-11dd-af0f-001a803ebc35}\ not found.
File H:\Menu.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d2dfe610-d5ac-11dc-b675-806e6f6e6963}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d2dfe610-d5ac-11dc-b675-806e6f6e6963}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d2dfe610-d5ac-11dc-b675-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d2dfe610-d5ac-11dc-b675-806e6f6e6963}\ not found.
File F:\autorun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e4da564b-7928-11de-a6b9-001a803ebc35}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e4da564b-7928-11de-a6b9-001a803ebc35}\ not found.
File H:\Launcher.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G\ deleted successfully.
File G:\Autorun\Autorun.exe not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\NetPetup:C:\Windows\system32\iscsywiz.dll deleted successfully.
ADS C:\ProgramData\TEMP:551E1CB4 deleted successfully.
ADS C:\ProgramData\TEMP:38849DE5 deleted successfully.
ADS C:\ProgramData\TEMP:74699137 deleted successfully.
ADS C:\ProgramData\TEMP:B3D74A13 deleted successfully.
ADS C:\ProgramData\TEMP:273A8657 deleted successfully.
ADS C:\ProgramData\TEMP:7DFDF9DF deleted successfully.
ADS C:\ProgramData\TEMP:27AD48A5 deleted successfully.
ADS C:\ProgramData\TEMP:A23D24E7 deleted successfully.
ADS C:\ProgramData\TEMP:9AB338B9 deleted successfully.
ADS C:\ProgramData\TEMP:EB603FE4 deleted successfully.
ADS C:\ProgramData\TEMP:5EBA4934 deleted successfully.
ADS C:\ProgramData\TEMP:8FBE0E9C deleted successfully.
ADS C:\ProgramData\TEMP:1941675B deleted successfully.
ADS C:\ProgramData\TEMP:7091055F deleted successfully.
ADS C:\ProgramData\TEMP:8EEE3BBB deleted successfully.
ADS C:\ProgramData\TEMP:B14B4A95 deleted successfully.
ADS C:\ProgramData\TEMP:37CE0F2E deleted successfully.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\\"DisableMonitoring" | dword:0x00 /E : value set successfully!
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 116 bytes
 
User: Default User
 
User: XXX
->Temp folder emptied: 92275 bytes
->Temporary Internet Files folder emptied: 779850 bytes
->Java cache emptied: 4171899 bytes
->FireFox cache emptied: 63842275 bytes
->Flash cache emptied: 6779 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 14 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 66,00 mb
 
 
OTL by OldTimer - Version 3.2.14.1 log created on 09242010_191754

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
CureIt
Code:
Scanstatistiken
-----------------------------------------------------------------------------
Gescannt: 322732
Infiziert: 0
Modifikationen: 0
Verdächtig: 0
Adware: 0
Dialer: 0
Scherzprogramme: 0
Riskware: 0
Hacktools: 0
Desinfiziert: 0
Gelöscht: 0
Umbenannt: 0
Verschoben: 0
Ignoriert: 0
Geschwindigkeit:: 248 Kb/s
Dauer:: 3:27:01
-----------------------------------------------------------------------------

Chris4You 25.09.2010 21:24
Hi,

sieht ok aus...
Läuft der Rechner?

chris

frankiefigs 26.09.2010 12:43
Moin,

Rechner läuft ohne Auffälligkeiten. Hab nochmal mit CCleaner aufgewischt und alle PW geändert.

:dankeschoen:


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:55 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27