Hallo,

ich habe wie es aussieht den Online Banking Virus der Sparkasse. Ich wurde beim Online Banking wiederholt aufgefordert eine Testüberweisung zu machen. Dies habe ich nicht gemacht.

Ich habe bereits Antivir und McAfee Security Scan durchlaufen lassen. Es wurde dort Sachen gefunden aber der Virus scheint immer noch auf dem PC zu sein.

Ich habe den Virus schon seit mehreren Tagen. Gestern waren auf meinem PC mehrere Dokumente (Textdateien) verschwunden. Ich habe daraufhin eine Systemwiederherstellung durchgeführt. Danach waren die Dateien wieder da aber kurz danach sind Sie wieder verschwunden.
Auch im Firefox ist die Google Suche usw. oben rechts weg.

Im Anhang die geforderten Dateien. Die gmer.txt Datei ist leider zu Groß für den Anhang.
Hier die Datei extern: hxxp://www.file-upload.net/download-7323341/gmer.txt.txt.html

Ich würde mich sehr über Hilfe freuen.

Viele Grüße
B. Arnold

Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\User\Anwendungsdaten\Uxsacu\pazyu.exe
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Fix für OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\biyakmrr.sys -- (biyakmrr)
O4 - HKLM..\Run: []  File not found
O4 - HKCU..\Run: [Akquubvubo] C:\Dokumente und Einstellungen\User\Anwendungsdaten\Uxsacu\pazyu.exe ()
O4 - HKCU..\Run: [IExplorer Util] C:\Dokumente und Einstellungen\User\Anwendungsdaten\ie_util.exe (Корпорация  Майкрософт)
O33 - MountPoints2\{46452244-c151-11e0-8bcd-83f7f9841fda}\Shell - "" = AutoRun
O33 - MountPoints2\{46452244-c151-11e0-8bcd-83f7f9841fda}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{46452244-c151-11e0-8bcd-83f7f9841fda}\Shell\AutoRun\command - "" = L:\AutoRun.exe
O33 - MountPoints2\{46452247-c151-11e0-8bcd-83f7f9841fda}\Shell - "" = AutoRun
O33 - MountPoints2\{46452247-c151-11e0-8bcd-83f7f9841fda}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{46452247-c151-11e0-8bcd-83f7f9841fda}\Shell\AutoRun\command - "" = L:\AutoRun.exe
O33 - MountPoints2\{46452249-c151-11e0-8bcd-83f7f9841fda}\Shell - "" = AutoRun
O33 - MountPoints2\{46452249-c151-11e0-8bcd-83f7f9841fda}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{46452249-c151-11e0-8bcd-83f7f9841fda}\Shell\AutoRun\command - "" = J:\AutoRun.exe
O33 - MountPoints2\{4645224b-c151-11e0-8bcd-83f7f9841fda}\Shell - "" = AutoRun
O33 - MountPoints2\{4645224b-c151-11e0-8bcd-83f7f9841fda}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{4645224b-c151-11e0-8bcd-83f7f9841fda}\Shell\AutoRun\command - "" = J:\AutoRun.exe
O33 - MountPoints2\{73e16508-e4fd-11e0-8c08-1caff7117031}\Shell - "" = AutoRun
O33 - MountPoints2\{73e16508-e4fd-11e0-8c08-1caff7117031}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{73e16508-e4fd-11e0-8c08-1caff7117031}\Shell\AutoRun\command - "" = J:\AutoRun.exe
[2013.02.28 09:24:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Uxsacu
[2013.02.28 09:24:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Peraek
[2013.02.28 09:24:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Coavis
[2012.03.05 17:25:45 | 000,000,216 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~1lKhiPLMpMcQaer
[2012.03.05 17:25:44 | 000,000,296 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~1lKhiPLMpMcQae
[2012.03.05 17:25:37 | 000,000,336 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\1lKhiPLMpMcQae

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = dword:0x00

:Commands
[emptytemp]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Stelle den Killer wir folgt ein:

Dann den Scan starten durch (Start Scan).
Wenn der Scan fertig ist bitte "Report" anwählen (eventuelle Funde erstmal mit Skip übergehen). Es öffnet sich ein Fenster (Report anklicken), den Text abkopieren und hier posten...

chris

Vielen Dank für die schnelle Antwort. Leider lässt sich die Seite virustotal.com nicht öffnen.

Hi,

Plan B:
Datei (C:\Dokumente und Einstellungen\User\Anwendungsdaten\Uxsacu\pazyu.exe) mit einem Packer (7zip, izarc etc. packen (zip) UND verschlüsseln, Passwort "infected"),
File-Upload.net - Ihr kostenloser File Hoster!, hochladen und den Link (mit Löschlink) als "PrivateMail" an mich...

Danach alles ab "Fix für OTL" abarbeiten...

chris

PN ist raus.
Hier das Ergebnis von OTL.

Hi,

Danke für den Upload, schaue mir das Teil heute Abend an...

Neben dem Lauf von MAM mal prüfen, ob der Banker noch zuschlägt... ;o)
Rest durchführen und Log posten...

chris

Scan und Bereinigung mit Malware ist fertig.
Das Online Banking kann ich nicht testen, da mein Account gesperrt wurde.
Rest folgt.

----------------------
Malwarebytes Anti-Malware (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.03.14.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
User :: ARNOLD [limitiert]

Schutz: Aktiviert

14.03.2013 09:54:30
mbam-log-2013-03-14 (09-54-30).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 301543
Laufzeit: 34 Minute(n), 49 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 9
C:\Dokumente und Einstellungen\Default User\Startmenü\Programme\Autostart\liykh.exe (Trojan.EOFail) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Default User\Startmenü\Programme\Autostart\ovhyzi.exe (Trojan.EOFail) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-18\$d14a80962a5160079bd6fc5a83c572d3\n (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{13D1AC26-C193-42C0-A562-817F7CF6D7B4}\RP225\A0057019.exe (Trojan.EOFail) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{13D1AC26-C193-42C0-A562-817F7CF6D7B4}\RP225\A0057070.exe (Trojan.EOFail) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{13D1AC26-C193-42C0-A562-817F7CF6D7B4}\RP226\A0057562.exe (Trojan.Zbot.HEEP) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{13D1AC26-C193-42C0-A562-817F7CF6D7B4}\RP226\A0058771.exe (Trojan.Zbot.HEEP) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{13D1AC26-C193-42C0-A562-817F7CF6D7B4}\RP228\A0060351.exe (Trojan.Zbot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\03142013_094425\C_Dokumente und Einstellungen\User\Anwendungsdaten\Uxsacu\pazyu.exe (Trojan.EOFail) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
------------------------------