Hallo,

ich poste hier heute das erste Mal. Ich hoffe, mir kann einer von Euch helfen!

Folgendes Problem:
auf meinem Laptop scheint sich irgendwann irgendwie ein Trojaner eingeschlichen zu haben. Ich wollte vor 3 Tagen auf mein Online-Bankkonto vom Laptop aus zugreifen und einige Überweisungen tätigen. Normalerweise mache ich soetwas immer nur von meinem Rechner @home, daher kann ich nicht wirklich sagen, wann sich dieser Trojaner eingeschlichen hat. Nach Eingabe meiner Konto-Nr. und meinem PIN kam plötzlich die Aufforderung, 4 Tans zur weiteren Identifikation einzugeben. Das habe ich natürlich nicht gemacht und hab mich direkt wieder abgemeldet, leider hatten die Bösen nun aber meine Konto-Nr und meine PIN => also PIN ersteinmal vom anderen Rechner aus geändert.

Auf meine Laptop habe ich die freie Version von Antivir. Antivir erkennt jedoch nichts bösartiges. Dann hab ich mir die 30-Tage Versionen von F-Prot und F-Secure runtergeladen. Leider erkennen auch diese Programme nichts. Auch mit HijackThis und Spybot konnte ich das Problem nicht lösen. Was zum Teufel kann das sein?

Inzwischen hab ich mir mit diesem "datfind" die Log-Dateien erstellen lassen. Kann sich die jemand mal bitte ansehen?

Vielen Dank!

hier kommen noch die anderen LOG-Dateien...

Hallo.

Zitat:

Zitat von atlantik99

Inzwischen hab ich mir mit diesem "datfind" die Log-Dateien erstellen lassen.

Ein HJT-Logfile wäre besser. Bitte nicht als Anhang, sondern direkt in deinen Beitrag kopieren, nachdem du alle aktiven Links und persönlichen Informationen editiert hast.

Wie hast du die (vermeintliche) Seite deiner Bank aufgerufen? Adresse per Hand eingetippt oder ein Bookmark benutzt? Oder irgendwo einen Link angeklickt?

[QUOTE=Franz1968;263616]Hallo.

Ein HJT-Logfile wäre besser. Bitte nicht als Anhang, sondern direkt in deinen Beitrag kopieren, nachdem du alle aktiven Links und persönlichen Informationen editiert hast.
QUOTE]

Von Hand eingegeben. Egal auf welches Banking-Portal ich gehe, ich bekomme immer die TAN-Abfrage. Sobald ich in der Anmeldemaske (alle Bankportale) als Konto-Nr. 12345 und Passwort 12345 eingebe, kommt die Meldung mit den TANs. Bei manchen Banken sind es nur 4 TANs, bei andere manchmal auch bis zu 6 TANs.

Das mit der HJT-Logfile und dem editieren werde ich gleich mal ausprobrieren, mal sehen ob ich das so hinbekomme... ;-)

Zitat:

Zitat von atlantik99

Das mit der HJT-Logfile und dem editieren werde ich gleich mal ausprobrieren, mal sehen ob ich das so hinbekomme... ;-)

Wird schon gehen. Eine TAN brauchst du dazu jedenfalls nicht.
Bitte scanne gleich im Anschluss dein System mit Blacklight von F-Secure und poste das Log.

Sorry, ich weiß nicht wirklich, was Du mit vorher editieren meintest. Ich hoffe, dass ist in Ordnung so...

Hier die Log-File:

Logfile of HijackThis v1.99.1
Scan saved at 12:02:38, on 19.04.2007
Platform: Windows XP SP2, v.2096 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2096)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Apache Group\Apache\Apache.exe
C:\WINDOWS\system32\bmwebcfg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Apache Group\Apache\Apache.exe
C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\sony\vaio power management\SPMgr.exe
C:\Programme\sony\vaio update 2\VAIOUpdt.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\BHODemon 2\BHODemon.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\svchost.exe
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: BHODemon 2.0.lnk = C:\Programme\BHODemon 2\BHODemon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O10 - Broken Internet access because of LSP provider 'bmnet.dll' missing
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache - Unknown owner - C:\Programme\Apache Group\Apache\Apache.exe" --ntservice (file missing)
O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: MySQL5 - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)

Ja, das passt. Allerdings scheint dein Logfile in Ordnung zu sein, abgesehen von der Internet-Explorer-Version, die nicht aktuell ist.

Nutzt du beim Online-Banking den IE?

Bitte erstelle vorsichtshalber noch ein Logfile, nachdem du Hijackthis.exe in abc.com umbenannt hast. Es gibt Malware, die sich vor der Hijackthis.exe versteckt, nach Umbenennen aber sichtbar wird.

Kannst du die Datei bmnet.dll auf deinem Rechner finden? Wenn ja, lade sie bei Virustotal hoch und poste das komplette Ergebnis, auch wenn nichts gefunden wurde.

Ja, ich nutze den IE. Hijackthis hab ich in abc.com umbenannt. Hier die neue Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 13:07:08, on 19.04.2007
Platform: Windows XP SP2, v.2096 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2096)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Apache Group\Apache\Apache.exe
C:\WINDOWS\system32\bmwebcfg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Apache Group\Apache\Apache.exe
C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\sony\vaio power management\SPMgr.exe
C:\Programme\sony\vaio update 2\VAIOUpdt.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\BHODemon 2\BHODemon.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\MapInfo\Professional\MAPINFOW.EXE
C:\Programme\mg9\prog\mg.exe
C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Hijackthis\abc.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: BHODemon 2.0.lnk = C:\Programme\BHODemon 2\BHODemon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O10 - Broken Internet access because of LSP provider 'bmnet.dll' missing
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache - Unknown owner - C:\Programme\Apache Group\Apache\Apache.exe" --ntservice (file missing)
O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: MySQL5 - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)


Die bmnet.dll hab ich auch gefunden und bei Virustotal scannen lassen. Ich kannte den Service garnicht. Danke hierfür! Jedoch wurde leider nichts gefunden. Das Ergebnis sieht so aus:

Antivirus Version Update Result
AhnLab-V3 2007.4.19.1 04.19.2007 no virus found
AntiVir 7.3.1.53 04.19.2007 no virus found
Authentium 4.93.8 04.18.2007 no virus found
Avast 4.7.981.0 04.19.2007 no virus found
AVG 7.5.0.447 04.18.2007 no virus found
BitDefender 7.2 04.19.2007 no virus found
CAT-QuickHeal 9.00 04.18.2007 no virus found
ClamAV devel-20070416 04.19.2007 no virus found
DrWeb 4.33 04.19.2007 no virus found
eSafe 7.0.15.0 04.18.2007 no virus found
eTrust-Vet 30.7.3579 04.19.2007 no virus found
Ewido 4.0 04.19.2007 no virus found
FileAdvisor 1 04.19.2007 no virus found
Fortinet 2.85.0.0 04.19.2007 no virus found
F-Prot 4.3.2.48 04.18.2007 no virus found
F-Secure 6.70.13030.0 04.19.2007 no virus found
Ikarus T3.1.1.5 04.19.2007 no virus found
Kaspersky 4.0.2.24 04.19.2007 no virus found
McAfee 5012 04.18.2007 no virus found
Microsoft 1.2405 04.19.2007 no virus found
NOD32v2 2203 04.19.2007 no virus found
Norman 5.80.02 04.19.2007 no virus found
Panda 9.0.0.4 04.19.2007 no virus found
Prevx1 V2 04.19.2007 no virus found
Sophos 4.16.0 04.17.2007 no virus found
Sunbelt 2.2.907.0 04.07.2007 no virus found
Symantec 10 04.19.2007 no virus found
TheHacker 6.1.6.088 04.09.2007 no virus found
VBA32 3.11.3 04.18.2007 no virus found
VirusBuster 4.3.7:9 04.18.2007 no virus found
Webwasher-Gateway 6.0.1 04.19.2007 no virus found