Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Online Banking vermutlich Phishing vor Login

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 17.05.2015, 11:21   #16
deeprybka
/// TB-Ausbilder
/// Anleitungs-Guru
 
Online Banking vermutlich Phishing vor Login - Standard

Online Banking vermutlich Phishing vor Login



Warum hast Du ohne Anweisung Avira installiert? Das steht doch in meinem ersten Posting, dass keine Veränderungen vorgenommen werden sollen!

Hat Avira Dateien gelöscht?
__________________
Gruß
deeprybka

Lob, Kritik, Wünsche?

Spende fürs trojaner-board?
_______________________________________________
„Neminem laede, immo omnes, quantum potes, iuva.“ Arthur Schopenhauer

Alt 17.05.2015, 11:26   #17
Dr. Chili
 
Online Banking vermutlich Phishing vor Login - Standard

Online Banking vermutlich Phishing vor Login



Zitat:
Zitat von deeprybka Beitrag anzeigen

Hat Avira Dateien gelöscht?
Nein, zumindest wurde mir nichts dergleichen gemeldet.

edit: Bei der Bank ist das Problem offenbar seit 01/2014 bekannt. Es gibt aber noch keine Lösungsansätze:
hxxp://www.bankaustria.at/sicherheit/sicherheitshinweis.jsp
__________________


Alt 17.05.2015, 11:32   #18
deeprybka
/// TB-Ausbilder
/// Anleitungs-Guru
 
Online Banking vermutlich Phishing vor Login - Standard

Online Banking vermutlich Phishing vor Login



Ja, hab ich gestern schon gelesen.

Den Kamerad hier such ich:
Zitat:
C:\Users\nina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\system.pif not found.
Schritt 1



Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.
Klicke auf OK und kopiere nun den Text aus der Codebox in das leere Textdokument:
Code:
ATTFilter
cmd: type "C:\QooBox\ComboFix-quarantined-files.txt"
         
Speichere dieses bitte als Fixlist.txt in das Verzeichnis ab, in dem sich auch die FRST-Anwendung befindet.
  • Starte FRST und drücke auf den Fix-Button.
  • Das Tool erstellt eine "Fixlog.txt" -Datei.
  • Poste mir bitte deren Inhalt.
__________________
__________________

Alt 17.05.2015, 12:00   #19
Dr. Chili
 
Online Banking vermutlich Phishing vor Login - Standard

Online Banking vermutlich Phishing vor Login



Bittesehr:

Code:
ATTFilter
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 16-05-2015 02
Ran by nina at 2015-05-17 12:55:51 Run:2
Running from C:\FRST
Loaded Profiles: nina (Available profiles: nina & Gast)
Boot Mode: Normal

==============================================

Content of fixlist:
*****************
cmd: type "C:\QooBox\ComboFix-quarantined-files.txt"
         
*****************


=========  type "C:\QooBox\ComboFix-quarantined-files.txt" =========

2015-05-16 21:14:31 . 2015-05-16 21:14:31              900 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\AddRemove-25_escape.reg.dat
2015-05-16 21:14:31 . 2015-05-16 21:14:31              702 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\AddRemove-LucasArts' Monkey4.reg.dat
2015-05-16 21:14:15 . 2015-05-16 21:14:15            1,050 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-NortonOnlineBackupReminder.reg.dat
2015-05-16 21:14:15 . 2015-05-16 21:14:15              900 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-hpqSRMon.reg.dat
2015-05-16 21:14:15 . 2015-05-16 21:14:15              938 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-HP Software Update.reg.dat
2015-05-16 21:14:15 . 2015-05-16 21:14:15              534 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\SafeBoot-MCODS.reg.dat
2015-05-16 21:14:15 . 2015-05-16 21:14:15              546 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\SafeBoot-mcmscsvc.reg.dat
2015-05-16 21:14:06 . 2015-05-16 21:14:06               97 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-NPSStartup.reg.dat
2015-05-16 21:14:05 . 2015-05-16 21:14:05               92 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\Toolbar-Locked.reg.dat
2015-05-16 21:11:31 . 2015-05-16 21:11:31           54,019 ----a-w-  C:\Qoobox\Quarantine\C\Windows\Temp\logishrd\_LVPrcInj01_.dll.zip
2015-05-16 21:11:26 . 2009-01-16 23:14:08          156,312 ----a-w-  C:\Qoobox\Quarantine\G\Setup.exe.vir
2015-05-16 21:11:26 . 2012-02-24 19:02:31               37 ----a-w-  C:\Qoobox\Quarantine\G\Autorun.inf.vir
2015-05-16 20:55:50 . 2015-05-16 20:55:50           13,273 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2015-05-16 20:49:06 . 2015-05-16 20:49:06              512 ----a-w-  C:\Qoobox\Quarantine\MBR_HardDisk0.mbr
2015-05-16 20:46:43 . 2015-05-16 21:11:52              268 ----a-w-  C:\Qoobox\Quarantine\catchme.log
2015-05-16 18:46:14 . 2009-10-07 00:47:22          109,080 ----a-w-  C:\Qoobox\Quarantine\C\Windows\Temp\logishrd\LVPrcInj01.dll.vir
2014-02-14 15:50:24 . 1996-11-06 11:05:10          302,592 ----a-w-  C:\Qoobox\Quarantine\C\Windows\unin0407.exe.vir
2009-10-17 08:31:33 . 2009-02-10 19:23:42          192,484 ----a-w-  C:\Qoobox\Quarantine\C\Program Files\Common Files\Acer GameZone online.ico.vir

========= End of CMD: =========


==== End of Fixlog 12:55:51 ====
         
Wenn ich mich nicht irre habe ich als erstes- noch bevor ich mich hier gemeldet habe den CCLeaner über die Registry laufen lassen. Nur falls das von Bedeutung wäre...

Alt 17.05.2015, 12:36   #20
deeprybka
/// TB-Ausbilder
/// Anleitungs-Guru
 
Online Banking vermutlich Phishing vor Login - Standard

Online Banking vermutlich Phishing vor Login



Danke für den Hinweis. Relevant ist aber nur der Zeitraum nach Erstellung des 1. FRST-Logs.

Zitat:
Zitat von Dr. Chili Beitrag anzeigen
Riecht für mich stark nach neu Aufsetzen...
Das ist sicher und bestimmt nicht dumm.

Mach bitte aber vorher noch einen Test:

Schritt 1
  • Download
  • Installiere HitmanProAlert und entferne den Haken bei
  • Starte nach der Installation den PC neu.

Versuch dann bitte nochmal ein OB-Login. Gibts ne Alarm-Meldung?

__________________
Gruß
deeprybka

Lob, Kritik, Wünsche?

Spende fürs trojaner-board?
_______________________________________________
„Neminem laede, immo omnes, quantum potes, iuva.“ Arthur Schopenhauer

Alt 17.05.2015, 13:29   #21
Dr. Chili
 
Online Banking vermutlich Phishing vor Login - Standard

Online Banking vermutlich Phishing vor Login



Ja, alles wie gehabt. Noch irgendwelche Ideen?

Alt 17.05.2015, 13:32   #22
deeprybka
/// TB-Ausbilder
/// Anleitungs-Guru
 
Online Banking vermutlich Phishing vor Login - Standard

Online Banking vermutlich Phishing vor Login



Die Frage war, ob HitmanProAlert irgendwas entdeckt?
__________________
Gruß
deeprybka

Lob, Kritik, Wünsche?

Spende fürs trojaner-board?
_______________________________________________
„Neminem laede, immo omnes, quantum potes, iuva.“ Arthur Schopenhauer

Alt 17.05.2015, 13:44   #23
deeprybka
/// TB-Ausbilder
/// Anleitungs-Guru
 
Online Banking vermutlich Phishing vor Login - Standard

Online Banking vermutlich Phishing vor Login



Also der Firefox ist ja manipuliert. Gibts da keine Warnung von HitmanProAlert?

Bitte noch diese Schritte ausführen:

Schritt 1



Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.
Klicke auf OK und kopiere nun den Text aus der Codebox in das leere Textdokument:
Code:
ATTFilter
FF NetworkProxy: "autoconfig_url", "https://guardvpn.net/facebook.js"
         
Speichere dieses bitte als Fixlist.txt in das Verzeichnis ab, in dem sich auch die FRST-Anwendung befindet.
  • Starte FRST und drücke auf den Fix-Button.
  • Das Tool erstellt eine "Fixlog.txt" -Datei.
  • Poste mir bitte deren Inhalt.

Schritt 2

  • Gib in das Search-Feld:
    system.pif ein.
  • Klicke auf den Search Files Button.
  • Bitte poste die erstellte Search.txt - Datei in Deiner nächsten Antwort.

Versuch jetzt nochmal das OB-Login bitte.
__________________
Gruß
deeprybka

Lob, Kritik, Wünsche?

Spende fürs trojaner-board?
_______________________________________________
„Neminem laede, immo omnes, quantum potes, iuva.“ Arthur Schopenhauer

Alt 17.05.2015, 17:25   #24
Dr. Chili
 
Online Banking vermutlich Phishing vor Login - Standard

Online Banking vermutlich Phishing vor Login



Fixlog:

Code:
ATTFilter
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 16-05-2015 02
Ran by nina at 2015-05-17 18:23:48 Run:3
Running from C:\FRST
Loaded Profiles: nina (Available profiles: nina & Gast)
Boot Mode: Normal

==============================================

Content of fixlist:
*****************
FF NetworkProxy: "autoconfig_url", "https://guardvpn.net/facebook.js"
*****************

Firefox Proxy settings were reset.

==== End of Fixlog 18:23:48 ====
         
Beim IE ist die Meldung jetzt verschwunden... (war sie schon vor der letzten fixlist)

edit: Hitman pro ist aktiv, aber es kommt keine Meldung

Alt 17.05.2015, 17:26   #25
deeprybka
/// TB-Ausbilder
/// Anleitungs-Guru
 
Online Banking vermutlich Phishing vor Login - Standard

Online Banking vermutlich Phishing vor Login



Und beim FF?
__________________
Gruß
deeprybka

Lob, Kritik, Wünsche?

Spende fürs trojaner-board?
_______________________________________________
„Neminem laede, immo omnes, quantum potes, iuva.“ Arthur Schopenhauer

Alt 17.05.2015, 17:37   #26
Dr. Chili
 
Online Banking vermutlich Phishing vor Login - Standard

Online Banking vermutlich Phishing vor Login



Search.txt:

Code:
ATTFilter
Farbar Recovery Scan Tool (x86) Version: 16-05-2015 02
Ran by nina at 2015-05-17 18:26:56
Running from C:\FRST
Boot Mode: Normal

================== Search Files: "system.pif" =============

====== End Of Search ======
         
Alles weg!

spooky!

Was mir noch aufgefallen ist. Als die Fehlermeldung kam war ich auf www.bankaustria.at/404.jsp - jetzt komm ich automatisch auf eine "gesicherte" Homepage (Mit Schlüsselsymbol neben der Url)

Wars das?

Alt 17.05.2015, 17:46   #27
deeprybka
/// TB-Ausbilder
/// Anleitungs-Guru
 
Online Banking vermutlich Phishing vor Login - Standard

Online Banking vermutlich Phishing vor Login



Zitat:
Zitat von Dr. Chili Beitrag anzeigen
Wars das?
Das liegt an Dir. Wenn Du mit der Bereinigung weitermachen willst, dann machen wir weiter.
Wenn Du "Neuaufsetzen" willst, dann ist das auch Deine Entscheidung. Mir egal.

Zitat:
Als die Fehlermeldung kam war ich auf www.bankaustria.at/404.jsp - jetzt komm ich automatisch auf eine "gesicherte" Homepage (Mit Schlüsselsymbol neben der Url)
Ich konnte das noch nicht nachstellen. Du hast ja gesagt, dass der Firefox vor dem Fix noch die Meldung gebracht hat. Zwar liegt diese Scriptdatei noch auf einem russischen Server, aber ich hätte gerne noch die andere Malwaredatei gehabt. Die ist weg. Und ich hatte noch keine Zeit den Code der Script-Datei zu checken.
__________________
Gruß
deeprybka

Lob, Kritik, Wünsche?

Spende fürs trojaner-board?
_______________________________________________
„Neminem laede, immo omnes, quantum potes, iuva.“ Arthur Schopenhauer

Alt 17.05.2015, 17:49   #28
Dr. Chili
 
Online Banking vermutlich Phishing vor Login - Standard

Online Banking vermutlich Phishing vor Login



Das neu aufsetzen würde ich mir gerne sparen, weil ich kein Win 7 bei der Hand habe. So gesehen machen wir weiter, bitte

Alt 17.05.2015, 17:50   #29
deeprybka
/// TB-Ausbilder
/// Anleitungs-Guru
 
Online Banking vermutlich Phishing vor Login - Standard

Online Banking vermutlich Phishing vor Login



Schritt 1

  • Download und Anleitung
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Sollte die Benutzeroberfläche noch in Englisch sein, klicke auf Settings und wähle bei Language Deutsch aus.
  • Unter Einstellungen/ Erkennung und Schutz setze bitte einen Haken bei "Suche nach Rootkits".
  • Gehe zurück zum Armaturenbrett und klicke auf "Jetzt scannen".
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben und poste mir das Log.
__________________
Gruß
deeprybka

Lob, Kritik, Wünsche?

Spende fürs trojaner-board?
_______________________________________________
„Neminem laede, immo omnes, quantum potes, iuva.“ Arthur Schopenhauer

Alt 17.05.2015, 20:55   #30
Dr. Chili
 
Online Banking vermutlich Phishing vor Login - Standard

Online Banking vermutlich Phishing vor Login



Code:
ATTFilter
^ Malwarebytes Anti-Malware 
www.malwarebytes.org

Suchlauf Datum: 17.05.2015
Suchlauf-Zeit: 20:49:54
Logdatei: 
Administrator: Ja

Version: 2.01.6.1022
Malware Datenbank: v2015.05.17.03
Rootkit Datenbank: v2015.05.16.01
Lizenz: Kostenlos
Malware Schutz: Deaktiviert
Bösartiger Webseiten Schutz: Deaktiviert
Selbstschutz: Deaktiviert

Betriebssystem: Windows 7 Service Pack 1
CPU: x86
Dateisystem: NTFS
Benutzer: nina

Suchlauf-Art: Bedrohungs-Suchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 418218
Verstrichene Zeit: 34 Min, 3 Sek

Speicher: Aktiviert
Autostart: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

Prozesse: 0
(Keine schädliche Elemente gefunden)

Module: 0
(Keine schädliche Elemente gefunden)

Registrierungsschlüssel: 1
PUP.Optional.WeDownLoadManager.A, HKU\S-1-5-21-3389578649-474333246-578579119-1006\SOFTWARE\WEDLMNGR, , [5067138145457db9d4749b6439ca17e9], 

Registrierungswerte: 1
PUP.Optional.Spigot.A, HKU\S-1-5-21-3389578649-474333246-578579119-1006\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{B6449CE3-FAFF-4CF0-A17D-74885FB179FE}|URL, https://at.search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=903578&p={searchTerms}, , [a314d9bb9eecf244c3d6766235ce33cd]

Registrierungsdaten: 0
(Keine schädliche Elemente gefunden)

Ordner: 3
PUP.Optional.SimilarSites.A, C:\Users\nina\AppData\Roaming\SimilarSites, , [9e19276daddd1d19e9a6931712f19967], 
PUP.Optional.SiteFinder.A, C:\Users\nina\AppData\LocalLow\SiteFinder, , [6a4d0d873654c47264442e9056ad26da], 
PUP.Optional.SiteFinder.A, C:\Users\nina\AppData\LocalLow\SiteFinder\UserData, , [6a4d0d873654c47264442e9056ad26da], 

Dateien: 3
PUP.Optional.Spigot.A, C:\Users\nina\AppData\Roaming\Mozilla\Firefox\Profiles\tcn0t8c3.default\searchplugins\yahoo_ff.xml, , [892e3b591a70d0660b68a740cf34fe02], 
PUP.Optional.SiteFinder.A, C:\Users\nina\AppData\LocalLow\SiteFinder\UserData\prefs.js, , [6a4d0d873654c47264442e9056ad26da], 
PUP.Optional.Spigot.A, C:\Users\nina\AppData\Roaming\Mozilla\Firefox\Profiles\tcn0t8c3.default\prefs.js, Gut: (), Schlecht: (user_pref("keyword.URL", "https://at.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&ilc=12&type=903578&p=");), ,[52657a1a4a40db5bfdd96eeefe082ed2]

Physische Sektoren: 0
(Keine schädliche Elemente gefunden)


(end)
         
Quarantäne wurde mir nicht angeboten. Nur "entfernen"

Antwort

Themen zu Online Banking vermutlich Phishing vor Login
anhang, aufforderung, banking, eingabe, erscheint, formation, funktioniert, gestern, handy, handynummer, information, installation, login, online, online banking, phishing, phone, scan, seite, seltsame, software, tans, troja, vermutlich, vorerst



Ähnliche Themen: Online Banking vermutlich Phishing vor Login


  1. Secure Banking - Online Banking auf der sicheren Seite!
    Archiv - 29.08.2016 (471)
  2. Windows 8.1: Online-Banking-Trojaner (BAWAG) entfernt, noch immer falsche Login-Seite
    Plagegeister aller Art und deren Bekämpfung - 15.11.2015 (24)
  3. Online Banking gesperrt wg. Phishing
    Plagegeister aller Art und deren Bekämpfung - 05.06.2014 (9)
  4. Merkwürdige TAN-Abfrage nach Login bei Online-Banking
    Plagegeister aller Art und deren Bekämpfung - 19.05.2013 (27)
  5. Müll aus Secure Banking - Online Banking auf der sicheren Seite!
    Mülltonne - 04.10.2012 (0)
  6. Kreditkartenabfrage nach Online-Banking-Login - Trojan.BTSoft.Gen ?
    Plagegeister aller Art und deren Bekämpfung - 12.07.2012 (3)
  7. Phishing-Attacke, Bereinigung vor Online-Banking-Entsperrung nötig
    Plagegeister aller Art und deren Bekämpfung - 07.05.2012 (8)
  8. PIN angeblich falsch mit TAN bestätigen - Login online Banking comdirect
    Log-Analyse und Auswertung - 28.04.2012 (15)
  9. Commerzbank Online-Banking Phishing???
    Plagegeister aller Art und deren Bekämpfung - 24.11.2011 (6)
  10. Online Banking - TAN Abfrage beim Banking - Trojaner?
    Log-Analyse und Auswertung - 12.08.2011 (3)
  11. Phishing Trojaner Sparkasse Online Banking
    Plagegeister aller Art und deren Bekämpfung - 30.12.2010 (57)
  12. Online-Banking (Sparkasse) verlangt nach Login Eingabe von mehreren TAN
    Plagegeister aller Art und deren Bekämpfung - 22.10.2010 (1)
  13. Phishing Online Banking Sparkasse
    Plagegeister aller Art und deren Bekämpfung - 24.03.2010 (1)
  14. firefox schließt bei onlinebanking, t-online login....
    Plagegeister aller Art und deren Bekämpfung - 02.02.2010 (22)
  15. Bin vermutlich in eine Phishing Falle geraten
    Log-Analyse und Auswertung - 09.12.2009 (3)
  16. Verdacht auf Viren (Phishing / Online-Banking)
    Log-Analyse und Auswertung - 12.11.2009 (53)
  17. Online Banking gesperrt wegen Phishing und Trojanern
    Log-Analyse und Auswertung - 15.06.2009 (6)

Zum Thema Online Banking vermutlich Phishing vor Login - Warum hast Du ohne Anweisung Avira installiert? Das steht doch in meinem ersten Posting, dass keine Veränderungen vorgenommen werden sollen! Hat Avira Dateien gelöscht? - Online Banking vermutlich Phishing vor Login...
Archiv
Du betrachtest: Online Banking vermutlich Phishing vor Login auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.