Onlinezugang gesperrt - Trojaner Gosi, TAN-Fenster, andere Schädlinge ?
 

Hallo Experten,
ich wurde gestern von meiner Bank informiert, dass mein Onlinezugang gesperrt wurde, da die Kripo meine Zugangsdaten auf einem fremden Rechner fand.
Ich solle meinen Rechner nach Trojanern (Gosi) usw. untersuchen und bereinigen.
Bestätigen kann ich meinerseits, dass vorgestern ein merkwürdiges TAN-Fenster nach der Online-Anmeldung aufging.

Da ich leider eure Seite nicht kannte, habe ich schon mit verschiedenen ScanProgrammen nach Schadprogrammen usw. gesucht,
jedes bringt ein anderes Ergebnis und die angemahnten Schädlinge lassen sich nicht alle entfernen :-(

Nun bin ich nach einer Empfehlung eines Freudes bei Euch gelandet, habe mich hoffentlich richtig über eure FAQ informiert,
deshalb anbei das aktuellste Log mit Malwarebytes und ein älteres, vor meinen "eigenmächtigen" Korrekturversuchen.

++++++++++++++++++++++++++++++++++++++
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5654

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

01.02.2011 18:24:47
mbam-log-2011-02-01 (18-24-47).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 284084
Laufzeit: 53 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\FwHookDrv (Rogue.WinDefender) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\system32\srvblck2.tmp (Malware.Trace) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\acroiehelpe.txt (Malware.Trace) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Admin\lokale einstellungen\Temp\0.031881801266304355.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Admin\lokale einstellungen\Temp\0.6111760221558933.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\drivers\fwhookdrv.sys (Rogue.WinDefender) -> Quarantined and deleted successfully.

+++++++++++++++++++++++++++++++++++++++++++++++

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5659

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

02.02.2011 18:27:51
mbam-log-2011-02-02 (18-27-51).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 283691
Laufzeit: 54 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\FwHookDrv (Rogue.WinDefender) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

++++++++++++++++++++++++++++++++++++++++++++++

So,
hier noch die beiden Logs von OTL.

Schade, dass bisher von Euch noch keiner Zeit für mein Problem hatte.
Ich habe gerade herausgefunden, dass der "Schädling" noch auf dem Rechner ist.
Denn wenn ich bei meiner Bank einen Demozugang nutze, erscheint auch dieses TAN-Fenster (siehe Anhang). Wenn ich JavaScript im Browser deaktiviere, erscheint es nicht.

Also ich brauche weiterhin HILFE, habe nur diesen Rechner und kann überhaupt nicht einschätzen, was da alles infiziert ist.

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

So, 3 ältere Logs gibt es noch.

Ist das rein zufällig ein Büro-Rechner?

Naja, ich weiß jetzt zwar nicht, was das mit dem weiteren Lösen der Probleme zu tun hat :crazy:
Der PC muss für alles herhalten, wofür Bedarf ist bzw. teilweise war
-> Büro (Mail, Internet,..), Hobby (Videobearbeitung) und so weiter.

Wenn Du konkretes brauchst, dann bitte genauer fragen, gebe gerne Antwort, wenn's hilfreich ist ! :kaffee:

Steht der Rechner nun in einem Büro oder zuhause?

Achso, das meinst Du - steht zu Hause !

Deinstallier erstmal ZoneAlarm. Das Teil ist kontraproduktiver Mist, verwende die Windows-Firewall.

Dann gehts weiter:

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Gut, hat wohl geklappt :abklatsch:

Was war das mit der WMV-Datei auf D ??? Bitte kurze Erklärung !

Brauchst du die WMV-Datei noch?
Du findest Backups nach dem OTL-Fix in C:\_OTL


Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Nee, die WMV brauche ich nicht, will nur verstehen, was damit war ???

So, hier das

Combofix Logfile:
--- --- ---

Ach herrje, wer hat denn den Rechner mit FAT32 als Systempartition installiert? :balla: :stirn:
Müssen wir nachträglich mit convert-Befehl unbedingt nach NTFS konvertieren.

Jetzt gleich mit dem convert-Befehl (Wenn JA - dann bitte Hilfestellung) ???

Was ist mit dem Trojaner oder anderen Schädlingen, alles schon bereinigt ?
Können wir nicht das zuerst mal versuchen zu beheben, evtl. muss ich ja eh das System neu aufsetzen, was ich allerdings wenn möglich vermeiden möchte !

Sag' mal bitte was zu den 2 Fragen - DANKE :kaffee:


Ergänzung:

O.K. ich mach dann mal das mit dem Convert, wäre schön, wenn Du schon mal den nächsten Schritt aufzeigen könntest !

Hallo ruhig bleiben! Nichts voreilig unternehmen, das mit CONVERT war als Hinweis gedacht, das machen wir dann wenn wir durch sind!! Deswegen hb ich auch extra keine genauen Befehle gepostet! :balla:

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Oh Sorry, jetzt ist Convert durch :headbang: -> Da zu dem Zeitpunkt keine weiterere Anweisung kam, hab' ich halt vermutet, Du erwartet es.

Soll ich nun wie beschrieben mit GMER und OSAM weitermachen :confused:

Naja, nun ist es egal. Sei es drum. Hat C: jetzt NTFS?

Ja c: hat nun NTFS !

Ich führe jetzt mal GMER und OSAM aus und poste dann die LOGS.

So, die knappen 220 Minuten kamen mir wie Stunden vor :party:

Hier die 3 Logs:

Achso, kam bisher wohl noch nicht zur Sprache, habe älteres Ubuntu auch auf der Platte - falls es von Interesse ist !

Dann geht auch der unbekannte MBR i.O.

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hier nun die beiden Logs:


Was bedeutet dies nun, kannst Du mir bitte zusätzlich zum weiteren Vorgehen auch die beiden nachfolgenden Fragen beantworten:

- Wieso zeigt mir Malwarebytes immer noch einen infizierten REG-Schlüssel, muss hier noch was getan werden ?

- War die COMPIPV6.DLL der Schädling, hab' ich mir den am 28.01.11 eingefangen ?

Das sind Überreste wieso wurden die nicht entfernt?

Ist ein Schädling, den wir mit OTL gefixt haben und in der Quarantäne liegt (man achte auf den Ordner) - dort ist er harmlos weil isoliert.

Wie im allerersten Log zu sehen, hatte ich mittels Malwarebytes versucht zu löschen, ist aber nach Neustart immer wieder da.

Haben eben erneut Malwarebytes ausgeführt, gelöscht, Neustart und nochmal mit Malwarebytes überprüft, immer noch nicht gelöscht :heulen:

Was nun ?

POste nochmal frische OTL-Logs.

Anbei :kaffee:

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hier das Log

ok. findet Malwarebytes immer noch und wieder wieder den einen Eintrag?

Ja leider, auch nach erneutem Löschversuch und Neustart findet Malwarebytes weiterhin diesen Eintrag !

Falls sichtbar unter OSAM => deaktivieren und löschen!

Mmh, jetzt bin ich mir unsicher, was ich tun soll, es passiert nicht das, wie in der OSAM-Doku beschrieben, sofern ich's richtig verstehe:

Was habe ich getan (so, lt. Doku):

OSAM gestartet wie beschrieben, als das Ergebnis da war, Settings angepaßt, den von Dir genannten Eintrag "FwHookDrv" (FwHookDrv) - ? - C:\WINDOWS\system32\drivers\FwHookDrv.sys" deaktiviert, Apply ausgeführt & Reboot.
Dann OSAM erneut gestartet, ein Result-Fenster mit grünen Haken bzgl. des genannten Eintrags war da, dieses geschlossen.
Dann begann OSAM zu rödeln, und nun komme ich mit der Doku nicht klar:

Jetzt habe ich aber 2 Einträge (siehe Anhang), einer ist aktiv und einer deaktiviert.

Was soll ich jetzt tun ?

Deaktiviert ist er schon mal. Löschen solltest du ihn noch.
Findet Malwarebytes ihn immer noch?

:pfeiff:

Das mit dem Löschen, war ja das, was ich nicht verstanden habe, deshalb hab' ich ja gefragt...
Es gibt ja nun neben dem deaktivierten auch einen aktivierten ???

O.K. dann lösche ich mal den deaktivierten Eintrag lt. Doku mit "Delete from Storage" usw.

bis gleich

:Boogie:

Na, geht doch, Malewarebytes findet endlich nix mehr :singsing:

FRAGE:
Kann ich nun mal den Demo-Zugang bei der Bank testen, ob das TAN-Fenster noch kommt ?

Ja teste mal. Berichte dann ob wieder alles ok ist.

:Boogie: :taenzer: :Boogie:

:applaus: Hey DANKE, endlich das TAN-Fenster erscheint nicht mehr !

So, was ist abschließend zu tun, temp. Programme wie Antispyware, der Ordner _OTL löschen usw. ???

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

[Gelöst] Onlinezugang gesperrt - Trojaner Gosi, TAN-Fenster, andere Schädlinge ?
 

Vielen Dank für die Unterstützung - super Forum :dankeschoen:

:huepp: :taenzer: :applaus: :taenzer: :huepp:

Was sehr positiv ist, nur ihr Experten des Forumbetreibers antwortet, so bleibt es strukturiert und übersichtlich und wird nicht durch Labertaschen :aufsmaul: gestört.

Macht weiter so ! :daumenhoc

:party: [Thema kann geschlossen werden] :party:

Das ist Absicht, denn nur Helfer dürfen auch antworten in fremde Stränge ;)