Hallo liebe Community,

erstmal weis ich das schon Themen dazu da sind allerdings nicht gerade aktuell und bei sowas sollte es ja auch personenspezifisch sein.

Kurzgeschichte:

Ich habe mir bei Randy Run Spielzeit für WoW gekauft und per Sofortüberweisung gezahlt. Geld kam scheinbar an da ich den Code auch erhalten habe.
2 Tage Später merke ich das ich nicht mehr in mein Online-Banking rein komme. Also Hotline angerufen und die meinten ich hätte nen Trojaner. Meine Daten würden im Internet rumkaspern und ich muss meinen Rechner formatieren. Da mir das ganz und gar nicht passt habe ich mich selbst auf die Suche begeben.

MSE: Keine Bedrohung gefunden.
Avast Home Edition: Keine Bedrohung gefunden.
Testversion von Trend Micro Titanium: 5 Sachen gefunden: (ja ich hatte mal nen Radar für nen Ego-Shooter *schande auf mein Haupt*). Also bekannt und in Ordnung

Nochmal durchgejagt und keine weiteren Gefunden.
Kann ich nun davon ausgehen das alles sauber ist oder gibts noch Maßnahmen die ich einleiten sollte oder muss?

PS: bekomme nun neue Daten zugeschickt aber will halt doch auf Nummer sicher sicher gehen^^


Achso: mein Verdacht: Ich habe wie ich die Bestellung gemacht habe mich normal ins Online-Banking eingeloggt und somit ne Fehlermeldung bekommen das bereits jemand da Eingeloggt wäre (was ich war). Da mir da keiner Sagen kann wo die Daten nun herumspucken, bzw. wie die herrausgefunden haben das ich einen habe denke ich das es mit dieser doppelten Anmeldung zu tun hat.

Viele liebe Grüße
Wuti

Nachtrag: Soeben mit Trojan Remove (Vers. 6.8.2) scannen lassen, nichts entdeckt.

Zitat:

Testversion von Trend Micro Titanium: 5 Sachen gefunden:

Log dazu fehlt
Die info allein wieviel gefunden wurde hilft keinem weiter

Hallo,

danke das du dich der Sache annehmen möchtest. Habe leider die Testversion wieder deinstalliert. Werde sich nochmal installieren um zu schauen ob die Log-files noch da sind.

PS da ich schon gesehen habe das Malewarebytes oft gefragt wurde habe ich mir das auch in der Zwischenzeit installiert. Läuft gerade durch. Sobald es fertig ist folgt auch der Log.

Gruß Ronny

Nachtrag zu Trend Micro:
leider keine Logs mehr da.. werde erneut scannen sobald Malewarebytes fertig ist.

SP das erstmal die Ergebnisse vom Quick Scan.
Der komplette folgt sobald fertig.

Zitat:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7763

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

21.09.2011 17:55:55
mbam-log-2011-09-21 (17-55-55).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 175549
Laufzeit: 4 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

*Werbungs-Modus-AN*
Lad dir mal Secure-Banking runter. (guck einfach in der Anti-Virus Section)
Wenn du dann deinen Webbrowser öffnest (Firefox oder Internet Explorer), kannst du sehen, ob dein Rechner mit Malware infiziert ist, welche Man-in-the-Middle Attacken benutzt. (was die meisten bzw. alle Banking-Trojaner benutzen)
*Werbungs-Modus-AUS*

Es kann durchaus sein, dass du möglicherweise mit neuartiger Malware infiziert wurdest, welche andere/neue Registry Keys bis hin zu temporär verschlüsselten Prozessen verwendet.

Ist dir vielleicht aufgefallen, das neuerdings auf deiner Bank-Seite neue zusätzliche Eingabefelder sind? Zb. TANs oder sonst welche Daten außer Benutzername und Passwort abgefragt werden?

Zitat:

Ist dir vielleicht aufgefallen, das neuerdings auf deiner Bank-Seite neue zusätzliche Eingabefelder sind? Zb. TANs oder sonst welche Daten außer Benutzername und Passwort abgefragt werden

Ne war immer die selbe Seite.

Zitat:

Es kann durchaus sein, dass du möglicherweise mit neuartiger Malware infiziert wurdest, welche andere/neue Registry Keys bis hin zu temporär verschlüsselten Prozessen verwendet.

Davor ist man leider nie geschützt.

Ich gehe wie gesagt davon aus das sich zur selben Zeit die Leute von der "Sofortüberweisung" und der normale Zugang zum Konto die Ursache waren. Die Bank wird davon ausgehen das die von der Sofortüberweisung der "Hacker" sind^^

Was meinst du dazu?

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hier erstmal Malewarebytes:

Zitat:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7769

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

22.09.2011 12:02:58
mbam-log-2011-09-22 (12-02-51).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 425498
Laufzeit: 1 Stunde(n), 35 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\program files\cryptload_1.1.8\router\fritz!box\nc.exe (PUP.Netcat) -> No action taken.
c:\Users\Rumsli\downloads\cryptload_1.1.8\router\fritz!box\nc.exe (PUP.Netcat) -> No action taken.

Abgesehen davon das ich 2 mal Cryptload auf den Computer habe^^
Habs erstmal so gelassen kann aber auch gern entfernt werden.

ESET wird gerade gemacht log kommt sofort sobald vorhanden.

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = my.daemon-search.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 10 57 67 AE 5C EA CB 01  [binary data]
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
FF - prefs.js..browser.search.selectedEngine: "DAEMON Search"
[2011.08.15 23:09:18 | 000,000,000 | ---D | M] (DVDVideoSoftTB Community Toolbar) -- C:\Users\Rumsli\AppData\Roaming\mozilla\Firefox\Profiles\4snp5f3v.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}
[2011.08.19 23:19:31 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Users\Rumsli\AppData\Roaming\mozilla\Firefox\Profiles\4snp5f3v.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2011.03.24 21:59:44 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\Rumsli\AppData\Roaming\mozilla\Firefox\Profiles\4snp5f3v.default\extensions\engine@conduit.com
[2011.04.24 18:31:09 | 000,002,059 | ---- | M] () -- C:\Users\Rumsli\AppData\Roaming\Mozilla\Firefox\Profiles\4snp5f3v.default\searchplugins\daemon-search.xml
[2011.03.12 10:50:57 | 000,004,097 | ---- | M] () -- C:\Users\Rumsli\AppData\Roaming\Mozilla\Firefox\Profiles\4snp5f3v.default\searchplugins\hms.xml
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.03.04 15:01:52 | 000,000,000 | ---- | M] () - D:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2011.09.19 17:38:01 | 000,000,036 | -H-- | M] () - E:\autorun.inf -- [ NTFS ]
O33 - MountPoints2\{43186fc0-62c1-11e0-8cad-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{43186fc0-62c1-11e0-8cad-806e6f6e6963}\Shell\AutoRun\command - "" = F:\Autorun.exe
@Alternate Data Stream - 102 bytes -> C:\ProgramData\TEMP:CB0AACC9
:Commands
[emptytemp]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.