100 Tan Trojaner

seit heute, den 12. Juni 2011 habe ich ein Problem mich auf meinem Bankkonto bei der Post oder Targobank anzumelden. Es erscheint folgende Meldung:

Sehr geehrter Benutzer. Ihr account für einige Funktion ist gespert! Bitte bestätigen Sie Ihre gültige TAN-Liste, damit können Sie Ihre onlinebanking weiter voll benutzen. Fur Bestätigung Ihre TAN-Liste, füllen Sie die Form unten und drücken Sie die Taste “Absenden”. Wir bedanken Ihnen um Ihre Verständnis.

Habe AntiVirPersonal aktualisiert und einen kompletten Scan durchführen lassen. Leider nach Neustart immer noch keine Besserung. Auch der Spyware Terminator, den ich mir von chiponline heruntergeladen habe hatte keinen Erfolg, nix gefunden.

Habe hier einiges darüber gelesen, aber werde da nicht richtig schlau draus mit ole.exe und kopieren ... Bei google erfahren, dass ich eventuell den trojan.spyeye habe, nachdem ich dort obige Meldung hinein kopiert habe. Persönlich arbeite ich mit mozilla firefox, Betriebssystem, ich glaube windows home premium, aldi Pc von März 2011. Vielleicht ist es am einfachsten, eine Wiederherstellung zu einem bestimmten Zeitpunkt über die Systemsteuerung zu generieren. Hätte mir gerne selber geholfen, aber bisher bin ich nicht weiter gekommen. Vielen Dank für eine Antwort ...

hi, systemwiederherstellung nützt nichts.
bitte mache nichts mehr im allein gang, wir schauen uns das mal an.
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten

Hallo markusg, vielen Dank für deine schnelle Antwort. Bemühe mich jetzt mit zip7 die Logfiles im Archiv unterzubringen. Für mich garnicht so leicht ... Vielen Dank, Ulf

Endlich geklappt mit den zip-files im Archiv

du brauchst keine angst zu haben, bei problemen melde dich ruhig.
für fragen muss man sich nicht schämen :-)
lies genau die anweisungen, das ist das einzige was ich "verlange" :-)
achtung!
dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.


:OTL
O4 - HKU\S-1-5-21-3638473129-759193437-3243530552-1000..\Run: [9Y7Y1ZUJYF7W1I6DSVTIII] C:\Recycle.Bin\B6232F3AB5F.exe (qns)
:Files
C:\Recycle.Bin
:Commands
[purity]
[resethosts]
[EMPTYFLASH]
[emptytemp]
[Reboot]


• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
öffne computer, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
http://www.trojaner-board.de/54791-a...ner-board.html

Hier das Textdokument von OTL nach dem Neustart:

All processes killed
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-3638473129-759193437-3243530552-1000\Software\Microsoft\Windows\CurrentVersion\Run\\9Y7Y1ZUJYF7W1I6DSVTIII deleted successfully.
C:\Recycle.Bin\B6232F3AB5F.exe moved successfully.
========== FILES ==========
C:\Recycle.Bin folder moved successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYFLASH]

User: All Users

User: Default
->Flash cache emptied: 56466 bytes

User: Default User
->Flash cache emptied: 0 bytes

User: Public

User: Ulf
->Flash cache emptied: 70466 bytes

Total Flash Files Cleaned = 0.00 mb


[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

User: Ulf
->Temp folder emptied: 220611655 bytes
->Temporary Internet Files folder emptied: 27240231 bytes
->Java cache emptied: 372239 bytes
->FireFox cache emptied: 823309185 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 33858926 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50434 bytes
%systemroot%\sysnative\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 749 bytes
RecycleBin emptied: 73079068 bytes

Total Files Cleaned = 1,124.00 mb


OTL by OldTimer - Version 3.2.24.0 log created on 06122011_230456

Files\Folders moved on Reboot...
C:\Users\Ulf\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...

hast du den upload ohne nanemsangabe gemacht? dann war das falsch, ich wollte den gesammten ordner moved files gepackt und das archiv haben. bitte im upload channel hochladen.

habe im upload channel den moved files hochgeladen mit namen 06122011_230456.log und link zu der aktuellen seite hier. Das Archiv? Ist es dabei?

kannst du den ordner moved files noch mal packen und dann moved files.rar oder zip im upload channel hochladen? danke.

ausgeführt und ich habe zu danken

ok, du hast einen spyeye trojaner auf dem pc, die neueste version sogar :-(
diese trojaner sind sehr ausgeklügelt.
deswegen daten sichern:
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
vorher autorun aus.
sichere bilder dokumente persönliches.
dann neu aufsetzen, falls du hilfe brauchst, gibts die natürlich.
dann zeige ich dir, wie man richtig absichert.
dann alle passwörter endern.

Oh man, das muss ich erst einmal verdauen! Sicherlich werde ich Hilfe brauchen und dann hier posten. Werde mir morgen erst einmal ein externes Laufwerk kaufen zur Datensicherung und dann erst einmal versuchen alleine zurecht zu kommen ... Melde mich dann wieder. Vielen Dank!!!

ja, datensicherung ist sowieso etwas, was man immer zur hand haben sollte es kann immer probleme geben.
und bei fragen, stelle sie ruhig

So, Daten extern gesichert, PC wieder in den Auslieferungszustand zurück gesetzt, heul. Wenn du Tipps hast, wie ich meinen PC sicherer machen kann, dann wäre das nett ...

start suchen.
tippe windows update.
jetzt instaliere wichtige und optionale updates. dein pc wird häufiger neustarten, besuche die seite so lange, bis es nichts neues mehr gibt.
unter einstellungen so konfigurieren, dass windows updates automatisch geladen werden.
malware@appranger.com; virus_malware@avira.com; newvirus@anti-virus.by; virus@arcabit.com; virus@authentium.com; virus@avast.com; newvirus@avlab-ua.com; virus_submission@bitdefender.com; virus@ca.com; malwaresubmit@avlab.comodo.com; viruslab@complex.is; vms@drweb.com; malware@emsisoft.com; samples@eset.com; viruslab@f-prot.com; vsamples@f-secure.com; submitvirus@fortinet.com; virus@hacksoft.com.pe; hauri98@hauri.co.kr; samples@ikarus.at; newvirus@incalab.co.kr;newvirus@kasp...h@lavasoft.com; feed@submit.microsoft.com; submit@misec.net; detections@spybot.info; trojans@moosoft.com; virus_research@nai.com; sample@nod32.com; analysis@norman.no; newvirus@proantivirus.com; virsample@pspl.com; viruslab@quickheal.com; viruslab@rising.com.cn; trojanfeed@ats-lab.com;
samples@securecomputing.com;submit@simplysup.com; new@stopvirus.ru; spywarereport@sunbelt-software.com; hreat_samples@sonicwall.com; samples@superantispyware.com; avsubmit@symantec.com; viruslab@trendmicro-europe.com; andreas@trustdefender.com; auto-submit@usec.at; submit@websensesecuritylabs.com; submit@zillya.com; report@prevxresearch.com; samples@corbitek.ro; virus_research@avertlabs.com; v3sos@ahnlab.com; viruslab@hauri.co.kr; jshukla@trlokom.com; submit@usec.at; service@fireav.com; wirus@mks.com.pl; submit_virus@research.sybari.com; support@crawler.com; virus@commandcom.com; helpdesk@pestpatrol.com; avservice@tmlab.de; virus@micropoint.com.cn; newvirus@z-oleg.com; virus@cyber.com; k7viruslab@k7computing.com; samples@sophos.com; virus@virusbuster.hu; virus@asw.cz; ipevirus@vet.com.au; research@finjan.com; submissions@webroot.com; virus@commandsoftware.com; samples@percomp.de; samples@gdatasoftware.com; onecare@submit.microsoft.com; windefend@submit.microsoft.com; virussamples@Pandasecurity.com; trojans@agnitum.com; luca@clamav.net; submit@samples.immunet.com; David@BugBopper.com; virus@nanoav.ru ; newvirus@nictasoft.com; tesubmit@threatexpert.com;
sample@safenet-inc.com;