Trojaner-Board - 40 TAN Eingabe Postbanking

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - 40 TAN Eingabe Postbanking (https://www.trojaner-board.de/94568-40-tan-eingabe-postbanking.html)

40 TAN Eingabe Postbanking

Hallo liebe Helfer,
gestern hats mich auch erwischt und ich habe heute getan, was hier empfohlen wird.
Danach funktionierte das Banking wieder, aber ich weiß nicht, ob ich die, die sich in Quarantäne befinden entgültig "hinrichten" darf.
Deshalb anschließend meine beiden log-Texte.
Ganz toll finde ich, daß sich hier Experten die Zeit nehmen zu helfen, wo man selbst machtlos wäre.
Schon mal ein ganz großes Dankeschön

von dietrich einem neuen alten (72)

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5477

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

07.01.2011 17:36:43
mbam-log-2011-01-07 (17-36-43).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|)
Durchsuchte Objekte: 246591
Laufzeit: 51 Minute(n), 23 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{6A6198BA-163B-A4C7-AA5B-096BABD38573} (Trojan.ZbotR.Gen) -> Value: {6A6198BA-163B-A4C7-AA5B-096BABD38573} -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\dieter\lokale einstellungen\temporary internet files\content.ie5\dbcd7w9l\a48d3[1].exe (Spyware.Zbot) -> Quarantined and deleted successfully.
c:\system volume information\_restore{cb9ac075-7035-496d-b933-53f282c7918f}\rp119\a0027579.exe (Spyware.Zbot) -> Quarantined and deleted successfully.

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 01/07/2011 at 07:03 PM

Application Version : 4.47.1000

Core Rules Database Version : 6156
Trace Rules Database Version: 3968

Scan type : Complete Scan
Total Scan Time : 01:13:49

Memory items scanned : 511
Memory threats detected : 0
Registry items scanned : 6792
Registry threats detected : 0
File items scanned : 116736
File threats detected : 36

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@ad.yieldmanager[2].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@ad.ad-srv[2].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@in.getclicky[1].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@stats.paypal[2].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@adtech[1].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@usenext[2].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@ad.zanox[1].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@www.usenext[2].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@track.effiliation[3].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@smartadserver[2].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@apmebf[1].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@ad.adc-serv[2].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@user.lucidmedia[1].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@www.zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@traffictrack[2].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@webmasterplan[2].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@doubleclick[1].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@mediaplex[1].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@a.revenuemax[1].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@vinvest.122.2o7[1].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@paypal.112.2o7[1].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@fl01.ct2.comclick[2].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@www.windowsmedia[2].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@content.yieldmanager[1].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@www.googleadservices[1].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@ad1.adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@atdmt[2].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@zanox[2].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@tradedoubler[1].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@tracking.quisma[2].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@fastclick[1].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@ad2.adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@www.etracker[1].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@himedia.individuad[2].txt
C:\Dokumente und Einstellungen\dieter\Cookies\dieter@track.effiliation[1].txt

hallo.
1. bank anrufen, onlinebanking sperren lassen.
2.
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
stelle beide berichte hier ein.

Hallo Markusg,

bin erst jetzt wieder am Rechner. Zwischendurch hatte ich Probleme mit meinem WLAN-Zugang.
Vielen Dank, ich mache mich an die Arbeit.

viele Grüße dietrich

mußte mir erst ein Winzip installieren. Hoffentlich kommt nun alles gut an.

vielen Dank Dietrich

VirusTotal - Free Online Virus, Malware and URL Scanner
besuchen.
dort folgendes hochladen:
C:\WINDOWS\system32\Ma44ePan.exe
kannst du einfach abkopieren und in das eingabefeld dort einfügen, dann absenden.
falls die datei bereits analysiert wurde, klicke erneut prüfen, poste den ergebniss link.
ich möchte aber folgendes zu bedenken geben, dass besste bei solch einem trojaner ist immer das neu aufsetzen, da du onlinebanking machst, muss dein system vertrauenswürdig sein, und dass können wir nur bedingt wieder herstellen.
ich persönlich würde den pc neu instalieren, ich gebe dir dann noch tipps mit auf den weg.

will erstmal den Link loswerden und melde mich dann wieder

dietrich

hxxp://www.virustotal.com/file-scan/report.html?id=6ddeb8fa9e0af5d2d63b5a35c187007949cfcfb5172aea49e98d4868e516bed7-1294504700

ok danke. nun solltest du dich zu dem rest äußern :-)

die Ma44ePan.exe ist die Treibersoftware für meine MAYA44e Audiokarte. Die hab ich bei der Firma ESI direkt runtergeladen, will aber nichts heißen.
Im Verdacht hätte ich einen Bildschirmschoner, der mir irgendwie (weiß nicht mehr wie) vor Weihnachten in den Rechner flatterte. Diese Unterwasser-Bilschirmschoner kosten normalerweise Geld. Der kam aber kostenlos. Selbst wenn ich ihn löschen würde, wäre sicher damit das Problem nicht behoben. Weiß auch nicht, wo ich den löschen müßte.
Du hast natürlich recht, vorübergehende Sicherheit bringt wahrscheinlich nur eine Neuinstallation.
Um mich damit anzufreunden brauche ich Zeit.
Zwei Fragen:
1. Müßten beim Neuaufsetzen auch die Datenpartition D und meine Datenplatte G gelöscht werden oder befinden sich die infizierten Teile erfahrungsgemäß nur auf C ?
2. Kann man eigentlich sagen, daß auch die Postbank-Zugangssoftware unsicher ist und an diesem "Einbruch" etwas Schuld trägt? Die Kontonummer zu erfahren ist sicher einfach, aber falls er durch die "Tür" kam müßte die PIN geknackt sein. Falls nicht durch die "Tür" ist aus meiner Sicht die Zugangssoftware Schuld. Eine 5-stellige PIN ist, bei den heutigen Rechenleistungen, auch nicht überaus sicher.

gruß dietrich

naja die banken achten schon sehr auf sicherheit. aber 100 %ige gibts niemals.
es reicht c: zu formatieren.

hallo markusg,

beim Googln fällt auf, daß hauptsächlich Postbankkunden betroffen zu sein scheinen.
Daß C: reichen würde, ist erstmal eine gute Nachricht. Falls Du noch spezielle Tipps für das Neuaufsetzen hast, würde ich mich über eine Info freuen. Momentan helfe ich mir damit, daß ich alle möglichen Transaktionen auf Null gesetzt habe. Allerdings ist ja vorstellbar, daß jemand, wenn er Vollzugriff hat, auch diese Einstellungen ändert.
Ich habe zudem das Problem, daß mein WLAN-Zugang mit Firewall nicht funktioniert. McAfee halte ich aktuell, weitere Sicherungen habe ich nicht.

gruß dietrich

meine Rente ist zwar nicht üppig, aber 20.- Euro auf das Spendenkonto ist mir Eure schnelle Hilfe wert
(eigentlich natürlich viel mehr!). Dazu ändere ich jetzt sogleich wieder die Einstellungen und gehe über Paypal. Irgendwie muß ja so ein wunderbares Forum auch finanziert werden.
Vielen Dank!

gruß dietrich

nein über diesen pc noch nichts mit paypal oder so machen, du musst erst formatieren.
und danke für die spende

hatte eben noch geschrieben, daß mich Eure schnelle und kompetente Hilfe beeindruckt hat. Obwohl meine Rente nicht üppig ist, habe ich 20 Euro auf Euer Spendenkonto überwiesen, wobei mir die Hilfe natürlich viel mehr wert ist. So ein Forum muß ja auch finanziert werden.
Hatte das zwar schon mal geschrieben, aber wahrscheinlich falsch abgeschickt.

danke! dietrich

pardon, nun doppelt gemoppelt

dietrich

hast du gelesen was ich geschrieben hab :-)
du darfst über diesen pc, bis er formatiert ist, nichts mehr mit geld machen.
was nicht heißt, dass wir dir nicht dankbar sind!

selbstverständlich lese ich Eure Ratschläge. Allerdings beschäftigt mich solch ein Problem auch und regt meine Gedanken an, ohne daß ich PC Sicherheitsexperte bin.
Insbesondere interessiert mich, wie ein Einbrecher in den sicherheitskritischen Bereich kommen kann, ohne die gesetzten Schranken zu überwinden. Das zuerst von mir erdachte berechnete Erraten der PIN ist unmöglich, da der Angreifer ständig bei mehreren Versuchen abgewiesen würde. Er muß also die PIN bei meiner Eingabe ausspähen können und das wäre eine Schwäche der Homebanking-Software, selbst dann, wenn mein Rechner unsicher ist.
Wenn er im kritischen Bereich ist und ich noch bei Sinnen bin und keine TAN eingebe, müßte er in kurzer Zeit eine ganz bestimmte 6-stellige TAN erraten - unmöglich. Wenn ich in den Einstellungen alle Transaktionen auf Null gesetzt habe, müßte er in Minutenschnelle zwei 6-stellige TAN erraten, um einmal die Einstellungen zu verändern und zum anderen danach eine Transaktion vorzunehmen. Dabei hat er jeweils nur drei Versuche. Wer das schafft sollte Lotto spielen. Bleibt also nur das Abfangen der TAN während einer Transaktion. Wenn das gelänge, wäre das wieder eine Homebanking-Software-Schwäche, aber noch komplizierter als die PIN-Verwendung, weil die erspähte TAN auf eine andere Transaktion verwendet werden müßte.
Bei den Pannen, die ich bisher in der Presse und im Internet gelesen habe, wurden entweder die TANs leichtfertig in die Tabelle eingetragen oder es wurden Unregelmäßigkeiten bei der TAN-Eingabe nicht beachtet. Also bei ordentlicher Eingabe wurde die TAN nicht angenommen und zur Eingabe einer neuen aufgefordert.
Was sehe ich mit meinem primitiven Blick falsch? Bin für jede gedankliche Korrektur dankbar. Was könnte ich eigentlich tun, damit nach dem Neuaufsetzen des Systems so ein Vorfall zumindest unwahrscheinlicher wird?
Meine momentanen Vorsorgen sind:
1. Notwendige Überweisungen vom Laptop (anderer Rechner, aber auch nicht sicherer)
2. alle möglichen Überweisungsrahmen auf Null setzen
3. Konto leer machen.

Gruß dietrich

naja du brauchst das konto sicher nicht leer räumen.
das neu aufsetzen ist aber eine notwendige vorsichtsmaßname.
da trojaner immer besser werden, und wie gesagt keine software fehlerfrei ist, so was gibts einfach nicht, muss man dem vorbäugen.
wie man den pc etwas besser absichert, werde ich dir, wenn wir uns ans neu aufsetzen machen, zeigen.

Hallo markusg,

bin mir sicher, daß Du recht hast, aber momentan gehe ich das Risiko ein und kille ich das System noch nicht.
Es wäre schön, wenn Du mir zu gegebener Zeit trotzdem beim Neuaufsetzen helfen würdest.

Nochmals vielen Dank für die wertvolle Hilfe bis hierher

und viele Grüße dietrich

ja, meld dich einfach.