20-TAN Trojaner - Kreissparkasse
 

Hallo zusammen!

Ich habe über google dieses Board entdeckt und auch gelesen, dass ich nicht der Erste mit diesem Problem bin.

Seit heute Mittag öffnet sich beim Login bei meiner Kreissparkasse ein Fenster, das mich zur Eingabe von 20 TANs auffordert.

Ich schreibe jetzt von einem anderen, sauberen Rechner und habe von hier aus zumindest schon mal meine Passwörter geändert.

Da ich kein Computer-Experte bin, würde ich mich sehr über eine schrittweise Hilfestellung zur Entfernung des Trojaners freuen.
AdAware und Search&Destroy finden nichts.

Wie beginne ich am besten? Bin morgen früh wieder an dem "infizierten" Rechner.

Vielen Dank für eure Hilfe schon mal im Voraus!!

Konst.

Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt

Soweit so gut. Vielen Dank schon mal!

Als Anhang lade ich die Logfiles hoch.
Die OTL.txt musste ich leider packen, da die 147 kb zu groß waren.

deinstaliere mal spybot, es stört die reinigung.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
O4 - HKU\S-1-5-21-534150291-965462922-1864197137-1129..\Run: [Javamod] C:\Dokumente und Einstellungen\KK.BECKER-NET\Anwendungsdaten\Cscfax\dvdwmi.exe ()
[2010.12.22 11:23:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\KK.BECKER-NET\Anwendungsdaten\Imaxel
[2010.12.21 18:18:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\KK.BECKER-NET\Anwendungsdaten\Cscfax
:Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort posten.


öffne den arbeitsplatz, c: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
lade das archiv in unserem upload channel hoch.
http://www.trojaner-board.de/54791-a...ner-board.html

Der Upload läuft gerade, könnte allerdings etwas dauern.

Im Anhagng schon mal wieder das Textdokument.

Spybot habe ich vorher deinstalliert.

Vielen Dank!

ok dann warte ich mal auf den upload :-)

Der Upload müsste jetzt endlich abgeschlossen sein :-)

kein upload zu sehen.
wie groß ist das archiv?
wenn nicht lads mal hier hoch:
File-Upload.net
und sende mir den link als private nachicht.

Sind 130 MB geworden... daher auch die lange Upload-Zeit.

Teile das Archiv jetzt, damit ich es bei File-Upload einstellen kann.

hmm du kannst ja auch folgendes versuchen
öffne mal den moved files ordner und dort auf das datum klicken.
dann siehst ja c:\dokumente.
folgenden ordner packen:
C:\Dokumente und Einstellungen\KK.BECKER-NET\Anwendungsdaten\Cscfax
und den in unserem upload channel hochladen, der sollte nur n paar kb groß sein. und dort ist die malware drinnen

Das ging jetzt auch fix :-)

sorry ich hatte wohl nicht gesehen das der andere ordner so groß war!!!
hmm wenn du weiterhin onlinebanking machen willst, solltest du neu aufsetzen.
daten sichern kannst du, und ich werde dir, falls gewünscht, tipps geben wie das system besser zu schützen ist.

Danke für die Antwort- wenn es auch für mich die schlechtest mögliche ist..

Kann ich davon ausgehen, dass meine Date (Eigene Dateien, etc.) nicht "befallen sin? Also dass ich die vor Neuinstallation wegkopieren kann ohne den Trojaner "mitzunehmen"?

Entschuldigung für die schlechte Rechtschreibung - die Tastatur hakt ;-)

davon kannst du ausgehen.
naja wie gesagt würde ich dir gern ratschläge mit geben für die zukunft, wenn du fertig gesichert hast, damit wirs denen dann so schwer wie möglich machen, dein system noch mals zu befallen.