Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Sparkasse TAN Trojaner (https://www.trojaner-board.de/99756-sparkasse-tan-trojaner.html)

Heidemarie 30.05.2011 16:21
Sparkasse TAN Trojaner
 
Hallo zusammen,

ich habe hier das gleiche Prob beschrieben gefunden, wie bei mir aufgetreten ist:

http://www.trojaner-board.de/99273-s...-trojaner.html

Nun hab ich das Programm drüber laufen lassen, was dort auch empfohlen wurde. Das hat auch infezierte Dateien gefunden. Die habe ich gelöscht. Aber mit System neu aufsetzen und Co. hab ich so gar nichts am Hut. Wie krieg ich denn jetzt mein System sicher?

Vielen Dank im Vorraus!

Grüzzis
Heidi

markusg 30.05.2011 16:25
hallo
welches programm hast du laufen lassen und wo sind die ergebnisse?

Heidemarie 30.05.2011 16:29
Ich hab das in dem anderen Thread beschriebene Malwarebytes laufen lassen. Und um mir irgendein Ergebniss raus zu kopieren, war ich wohl zu blond. Das Programm hat dann Windows neu gestartet und entweder hab ich es nicht gescheit in die Zwischenablage nei oder der Neustart hat es gelöscht. :headbang:

markusg 30.05.2011 16:56
öffne malwarebytes logdateien, dort findest du die logs, die öffnen rechtsklick markieren rechtsklick kopieren.
antworten klicken hier im thema, rechtsklick einfügen und die logs sind hier.

Heidemarie 30.05.2011 17:07
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6723

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30.05.2011 17:06:05
mbam-log-2011-05-30 (17-06-05).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 143250
Laufzeit: 7 Minute(n), 16 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 2
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\9678ACB43C661622 (Trojan.SpyEyes) -> Value: 9678ACB43C661622 -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\UGUF2E2J9H1C0B8JD (Trojan.SpyEyes) -> Value: UGUF2E2J9H1C0B8JD -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
c:\performsizm (Trojan.SpyEyes) -> Quarantined and deleted successfully.
c:\dgfusdghudf (Trojan.SpyEyes) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\performsizm\config.bin (Trojan.SpyEyes) -> Quarantined and deleted successfully.
c:\dgfusdghudf\config.bin (Trojan.SpyEyes) -> Quarantined and deleted successfully.

markusg 30.05.2011 17:26
also dieser pc muss formatiert werden, ich erkläre dir wies geht.
vorher möchte ich noch 1 log sehen.
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Heidemarie 30.05.2011 17:41
Combofix Logfile:
Code:
ComboFix 11-05-29.04 - ICH 30.05.2011  18:38:24.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.958.699 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\ICH\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\sdjafsdjfsd
c:\sdjafsdjfsd\config.bin
c:\sdjafsdjfsd\sdjafsdjfsd.exe
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-04-28 bis 2011-05-30  ))))))))))))))))))))))))))))))
.
.
2011-05-30 14:56 . 2011-05-30 14:56        --------        d-----w-        c:\dokumente und einstellungen\ICH\Anwendungsdaten\Malwarebytes
2011-05-30 14:45 . 2010-12-20 16:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-30 14:45 . 2011-05-30 14:45        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-05-30 14:45 . 2011-05-30 14:45        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2011-05-30 14:45 . 2010-12-20 16:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2011-05-29 08:54 . 2011-05-29 08:55        --------        d-----w-        c:\windows\Internet Logs
2011-05-29 08:52 . 2011-05-29 08:52        --------        d-----w-        c:\programme\Gemeinsame Dateien\Deterministic Networks
2011-05-29 08:51 . 2011-05-29 08:51        --------        d-----w-        c:\programme\Cisco Systems
2011-05-14 09:56 . 2011-05-14 09:56        --------        d-----r-        c:\dokumente und einstellungen\LocalService\Favoriten
2011-05-14 09:56 . 2011-05-14 09:56        --------        d-sh--w-        c:\dokumente und einstellungen\LocalService\IETldCache
2011-05-14 08:10 . 2011-05-14 09:41        --------        d-----w-        c:\windows\system32\NtmsData
2011-05-13 05:59 . 2011-05-13 05:59        --------        d-----w-        c:\dokumente und einstellungen\ICH\Anwendungsdaten\OpenOffice.org
2011-05-13 05:54 . 2011-05-13 05:56        --------        d-----w-        c:\programme\OpenOffice.org 3
2011-05-08 07:21 . 2011-05-08 07:21        --------        d-----w-        c:\programme\Gemeinsame Dateien\Plasmoo
2011-05-07 14:23 . 2011-05-07 14:23        781272        ----a-w-        c:\programme\Mozilla Firefox\mozsqlite3.dll
2011-05-07 14:23 . 2011-05-07 14:23        1874904        ----a-w-        c:\programme\Mozilla Firefox\mozjs.dll
2011-05-07 14:23 . 2011-05-07 14:23        89048        ----a-w-        c:\programme\Mozilla Firefox\libEGL.dll
2011-05-07 14:23 . 2011-05-07 14:23        465880        ----a-w-        c:\programme\Mozilla Firefox\libGLESv2.dll
2011-05-07 14:23 . 2011-05-07 14:23        15832        ----a-w-        c:\programme\Mozilla Firefox\mozalloc.dll
2011-05-07 14:23 . 2011-05-07 14:23        1892184        ----a-w-        c:\programme\Mozilla Firefox\d3dx9_42.dll
2011-05-07 14:23 . 2011-05-07 14:23        142296        ----a-w-        c:\programme\Mozilla Firefox\components\browsercomps.dll
2011-05-07 14:23 . 2011-05-07 14:23        1974616        ----a-w-        c:\programme\Mozilla Firefox\D3DCompiler_42.dll
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-01 05:05 . 2010-08-12 08:49        137656        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2011-03-07 05:33 . 2010-08-11 15:30        692736        ----a-w-        c:\windows\system32\inetcomm.dll
2011-03-05 12:39 . 2011-03-05 12:39        323624        ----a-w-        c:\windows\system32\wiaaut.dll
2011-03-04 06:36 . 2008-04-14 12:00        420864        ----a-w-        c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2008-04-14 12:00        1858048        ----a-w-        c:\windows\system32\win32k.sys
2011-05-07 14:23 . 2011-05-07 14:23        142296        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2009-11-20 434176]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-05 281768]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-14 13877248]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-11-29 421888]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2010-06-17 370176]
"SetDefPrt"="c:\programme\Brother\Brmfl04g\BrStDvPt.exe" [2004-11-11 49152]
"ControlCenter2.0"="c:\programme\Brother\ControlCenter2\brctrcen.exe" [2005-01-07 864256]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-10-29 249064]
"BabylonToolbar"="c:\programme\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe" [2010-11-07 286720]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\ICH\Startmen\Programme\Autostart\
OpenOffice.org 3.3.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
t@x aktuell.lnk - c:\programme\Buhl finance\tax Steuersoftware 2011\taxaktuell.exe [2011-2-14 532592]
TL-WN321G Wireless Utility.lnk - c:\programme\TP-LINK\TL-WN321G\COMMON\TWCU.exe [2011-1-28 1298432]
VPN Client.lnk - c:\windows\Installer\{F3C1DE9E-5E16-4BA9-B854-7B53A45E3579}\Icon3E5562ED7.ico [2011-5-29 6144]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"nwiz"=nwiz.exe /install
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe
"RemoteControl"=c:\programme\CyberLink\PowerDVD\PDVDServ.exe
"SoundMan"=SOUNDMAN.EXE
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"GhostStartTrayApp"=c:\programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
.
R1 GhPciScan;GhostPciScanner;c:\programme\Symantec\Norton Ghost 2003\GhPciScan.sys [14.08.2002 15:11 5632]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [12.08.2010 10:49 136360]
R2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\drivers\EAPPkt.sys [09.10.2007 13:13 38144]
S2 OMSI download service;Sony Ericsson OMSI download service;c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe [12.03.2011 13:08 90112]
S3 PRISM_USB;D-Link Air Wireless USB Adapter Driver;c:\windows\system32\drivers\PRISMUSB.sys [02.10.2003 15:47 666624]
S3 RTL8187B;NETGEAR WG111v3 Wireless-G USB Adapter Vista Driver;c:\windows\system32\drivers\wg111v3.sys [31.07.2009 15:12 341504]
.
Inhalt des "geplante Tasks" Ordners
.
2011-05-27 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.babylon.com/?babsrc=HP_ss&mntrId=041786b4000000000000001478788c0e&tlver=1.4.19.19&affID=17162
IE: Free YouTube to MP3 Converter - c:\dokumente und einstellungen\ICH\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 83.169.184.161 192.168.0.1
FF - ProfilePath - c:\dokumente und einstellungen\ICH\Anwendungsdaten\Mozilla\Firefox\Profiles\oijw658s.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://search.babylon.com/?babsrc=toolbar2&q=
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKCU-Run-9D6UWFXE8HUAXZ8XRFDPCPMFD - c:\sdjafsdjfsd\sdjafsdjfsd.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-05-30 18:41
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-05-30  18:42:42
ComboFix-quarantined-files.txt  2011-05-30 16:42
.
Vor Suchlauf: 7 Verzeichnis(se), 112.971.960.320 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 112.967.118.848 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 6DFA6F872B1B1C5A6B67AEEBA0202FE4
--- --- ---

Heidemarie 30.05.2011 17:42
Ich hoffe, das ist das Richtige!

markusg 30.05.2011 18:54
öffne bitte arbeitsplatz c: rechtsklick auf qoobox, mit winrar oder zip packen, archiv hochladen.
http://www.trojaner-board.de/54791-a...ner-board.html

Heidemarie 30.05.2011 20:37
Ich lann C nicht zippen. Angeblich zu groß. Wie mach ich das am geschicktesten dann?

Heidemarie 30.05.2011 20:39
Ja okay, soll ja nur qoobox zippen. Ich bin echt untalentiert in Sachen PC! :wtf:

markusg 31.05.2011 10:30
naja, man kann ja dazu lernen.
ok beginne jetzt deine daten zu sichern, bilder dokumente etc. damit wir dann neu aufsetzen können.
jetzt ist das sichern gefahrlos möglich.

Heidemarie 10.06.2011 16:04
Dauert noch ein bisschen. Aber ichbin dran! =)

markusg 11.06.2011 11:51
kein problem, mach immer mit der ruhe, die sparkasse weis bescheid, also kann in der richtung nichts passieren.


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:24 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19