Sehr geehrtes Trojaner-Team,

ich habe mir auf meinem Gerät einen fiesen E-Banking-Trojaner eingefangen.

Folgendes hat sich vor einigen Tagen beim Überweisen per E-Banking bei der Sparkasse ereignet: Nach Eingabe der Daten für die erste Überweisung erhielt ich eine SMS mit der benötigten TAN, die ich eingab (An der Webseite der Bank gab es nichts Auffälliges). Nach Eingabe der Daten für die zweite Überweisung erhielt ich wieder eine SMS mit einer TAN und bemerkte, daß der Text der SMS nicht korrekt war. Er lautete: 'Die TAN für Ihre Überweisung über 9.995,00 Euro auf das Konto xxxxx lautet: yyyyy'. Ich nahm die Überweisung nicht vor und verständigte umgehend die Sparkasse. Diese sperrte den Online-Zugang zu meinem Konto, überprüfte alle Kontobewegungen des Tages und stellte fest, daß schon mit der ersten Überweisung 9.995 Euro auf ein Konto bei der Postbank überwiesen wurden, und dies erstaunlicherweise nicht von meinem Girokonto, sondern einem meiner Tagesgeldkonten. Die Überweisung wurde gestoppt, bei der Polizei habe ich Anzeige erstattet. Genaure Informationen zum Trojaner konnte mir weder die Sparkasse noch die Polizei mitteilen.

Auf meinem Windows-XP-Rechner ist Symantec Client Security installiert, sowohl Windows als auch Symantec befindet sich auf dem neuesten Stand. Symantec findet auch nach einem Komplettscan des Systems nichts Verdächtiges. Ich benutze Firefox.

Ich habe die in diesem Board empfohlene Vorgehensweise befolgt und einen Komplettscan mit Malwarebytes sowie einen Systemscan mit OTL erstellt. Die Logdateien habe ich als Attachment beigefügt. Malwarebytes findet "Trojan.FakeAlert.Gen". Malwarebytes bemerkt auch, daß das Security-Center ist bei meinem Rechner standarmäßig deaktiviert ist (zentral verwalteter Rechner, daher kein Problem).

Das Verhalten des Trojaners ähnelt den Beschreibungen von "SpyEye", die in letzter Zeit in der Presse zu lesen waren.

Um welche Malware könnte es sich bei meinem System handeln und kann man sie entfernen, ohne das System neu aufzusetzen?

Vielen Dank für Ihre Hilfe!

Herzliche Grüße,
Thomas

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Nein, es gibt keine weiteren Logs in Malwarebytes. Der Reiter "Logdateien" ist weder nach einem Full Scan noch nach einem Quick Scan anklickbar. Erst nachdem man "Hauptmenü" geklickt hat (wodurch die Suchlaufergebnisse verloren gehen), ist der Reiter "Logdateien" wieder anklickbar (aber leer). Der Log des letzten Full Scan befindet sich im Anhang.

Zitat:

Datenbank Version: 6186

Du hast Malwarebytes vorher nicht aktualisiert. Bitte updaten und einen Vollscan machen.

Hallo Arne, ich habe jetzt einen vollständigen Scan mit dem aktualisierten Malwarebytes durchgeführt. Die kritischen Elemente habe ich danach entfernt, den Log füge ich bei. Gestern abend hatte ich auch einen vollständigen Scan gemacht (habe die Aktualisierung da aber leider versäumt) und die kritschen Elemente enfternt (diese Logdatei füge ich zur Information auch an)
Danke für Deine Hilfe!

Viele Grüße,
Thomas

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O27 - HKLM IFEO\userinit.exe: Debugger - C:\WINDOWS\system32\defm.exe ()
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2005.04.04 19:44:20 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{e632aaf6-61c4-11df-bbe0-00a0c6000000}\Shell - "" = AutoRun
O33 - MountPoints2\{e632aaf6-61c4-11df-bbe0-00a0c6000000}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{e632aaf6-61c4-11df-bbe0-00a0c6000000}\Shell\AutoRun\command - "" = F:\LiteAuto.exe
O33 - MountPoints2\{ff967994-8cb2-11de-ad79-001de00acc85}\Shell - "" = AutoRun
O33 - MountPoints2\{ff967994-8cb2-11de-ad79-001de00acc85}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{ff967994-8cb2-11de-ad79-001de00acc85}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{ff967996-8cb2-11de-ad79-001de00acc85}\Shell - "" = AutoRun
O33 - MountPoints2\{ff967996-8cb2-11de-ad79-001de00acc85}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{ff967996-8cb2-11de-ad79-001de00acc85}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{ff967998-8cb2-11de-ad79-001de00acc85}\Shell - "" = AutoRun
O33 - MountPoints2\{ff967998-8cb2-11de-ad79-001de00acc85}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{ff967998-8cb2-11de-ad79-001de00acc85}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{ff96799c-8cb2-11de-ad79-001de00acc85}\Shell - "" = AutoRun
O33 - MountPoints2\{ff96799c-8cb2-11de-ad79-001de00acc85}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{ff96799c-8cb2-11de-ad79-001de00acc85}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{ff96799f-8cb2-11de-ad79-001de00acc85}\Shell - "" = AutoRun
O33 - MountPoints2\{ff96799f-8cb2-11de-ad79-001de00acc85}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{ff96799f-8cb2-11de-ad79-001de00acc85}\Shell\AutoRun\command - "" = F:\setup_vmc_lite.exe /checkApplicationPresence
:Files
C:\WINDOWS\tasks\*.job
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hallo Arne, ich habe den OTL-Fix wie beschrieben durchgeführt. Der Rechner hat neu gebootet, die Logdatei füge ich bei.
Danke und viele Grüße,
Thomas

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne, ich stehe jetzt kurz davor, die beschriebenen Schritte durchzuführen. Die Tools scheinen recht tief in das System einzugreifen. Mein System habe ich aber mit "PGP Desktop Whole Disk Encryption" verschlüsselt. Ich weiß, daß ich deswegen das System nicht so einfach umpartitionieren kann - bei einer Umpartitionierung muß ich erst entschlüsseln, umpartitionieren und dann verschlüsseln. Deswegen eine kurze Frage vorneweg: verändert ComboFix etwas an der Partitionstabelle / am Bootsektor o.ä.? Wenn ja, wäre die Chance nicht klein, daß das System dadurch geschrottet wird....

Und noch eine andere Frage: ich habe noch eine Komplettspiegelung meines Systems auf einer anderen Festplatte aus dem Dezember. Ich habe alle Daten auf D: und alle Programme auf C:. Wäre es sinnvoller, die Spiegelung zu nehmen und die D-Partition des aktuellen Systems auf die Spiegelung zu kopieren? Also das alte System und die aktuellen Daten weiterbenutzen? Oder anders gefragt: Wie hoch ist die Chance, daß der Trojaner seit längerer Zeit im System schläft und erst in letzter Zeit aktiv geworden ist? Und wie hoch ist die Chance, daß sich der Trojaner auf der C-Partition, nicht aber auf der D-Partition befindet?

Viele Grüße,
Thomas

Zitat:

ComboFix etwas an der Partitionstabelle / am Bootsektor o.ä.?

An der Partitionstabelle nicht, aber wenn CF einen TDL/TDSS erkennt, behebt es ihn auch.
Komplettbackup vorher machen?

Hallo Arne, danke für Deine Hilfe. Mir wurde das ganze zu heiß. Ich habe meine Komplettspiegelung vom letzten Dezember zurückgespielt und die aktuellen Daten genommen. Malwarebytes melden so keine Funde mehr. Den letzten Malwarebytes-Log habe ich angefügt. Ich hoffe das System ist jetzt frei von Schadsoftware...

Viele Grüße,
Thomas