Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: MBAM - Sparkasse meint Banking-Trojaner

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 05.10.2009, 22:49   #1
Alexander Rohn
 
MBAM - Sparkasse meint Banking-Trojaner - Standard

MBAM - Sparkasse meint Banking-Trojaner



Meine Sparkasse sagte mir, ich hätte einen Banking-Trojaner auf meinem Rechner. Meine Bankdaten sind wohl irgendwie im Ausland aufgetaucht.
Jetzt arbeite ich die Anleitung ab, a) CCCleaner; b) Malware etc.
Kann mir jemand helfen ?

Anbei der Malware - Report und im Anschluss daran der Bericht meines AntiVir-Virenscanners....
Danke schon mal im Voraus. Liebe Grüße A. Rohn




Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2838
Windows 5.1.2600 Service Pack 2

22.09.2009 04:16:17
mbam-log-2009-09-22 (04-16-17).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 175915
Laufzeit: 2 hour(s), 32 minute(s), 37 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\SYSTEM32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.




AntiVir:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 29. September 2009 22:51

Es wird nach 1749618 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : VOGTBREMEN

Versionsinformationen:
BUILD.DAT : 9.0.0.408 17961 Bytes 26.08.2009 16:46:00
AVSCAN.EXE : 9.0.3.7 466689 Bytes 21.07.2009 12:36:08
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 08:21:42
ANTIVIR2.VDF : 7.1.6.1 3857920 Bytes 16.09.2009 18:38:25
ANTIVIR3.VDF : 7.1.6.40 429568 Bytes 25.09.2009 08:32:35
Engineversion : 8.2.1.27
AEVDF.DLL : 8.1.1.2 106867 Bytes 21.09.2009 18:41:31
AESCRIPT.DLL : 8.1.2.33 479611 Bytes 21.09.2009 18:41:30
AESCN.DLL : 8.1.2.5 127346 Bytes 21.09.2009 18:41:27
AERDL.DLL : 8.1.2.4 430452 Bytes 23.07.2009 08:59:39
AEPACK.DLL : 8.2.0.0 422261 Bytes 21.09.2009 18:41:25
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23.07.2009 08:59:39
AEHEUR.DLL : 8.1.0.155 1921400 Bytes 21.09.2009 18:41:20
AEHELP.DLL : 8.1.7.0 237940 Bytes 21.09.2009 18:41:04
AEGEN.DLL : 8.1.1.66 364917 Bytes 26.09.2009 08:32:36
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40
AECORE.DLL : 8.1.8.1 184693 Bytes 21.09.2009 18:38:29
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 21.09.2009 18:41:31
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Dienstag, 29. September 2009 22:51

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '52361' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'ssflwbox.scr' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'accwpac.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TraXEx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MemOptimizer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLConfig.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDFBackend.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aswUpdSv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'accsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '40' Prozesse mit '40' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '59' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\System Volume Information\_restore{0FF17727-9F83-4D7C-919C-3A3EAC40F985}\RP669\A0264329.exe
[FUND] Ist das Trojanische Pferd TR/Spy.Bebloh.A.14
C:\System Volume Information\_restore{0FF17727-9F83-4D7C-919C-3A3EAC40F985}\RP671\A0265478.exe
[FUND] Ist das Trojanische Pferd TR/Spy.Bebloh.A.15
C:\WINDOWS\SYSTEM32\CONFIG\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01234567\tvp13[1].exe
[FUND] Ist das Trojanische Pferd TR/Spy.Bebloh.A.15

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{0FF17727-9F83-4D7C-919C-3A3EAC40F985}\RP669\A0264329.exe
[FUND] Ist das Trojanische Pferd TR/Spy.Bebloh.A.14
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[WARNUNG] Fehler in der ARK Library
[HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert.
C:\System Volume Information\_restore{0FF17727-9F83-4D7C-919C-3A3EAC40F985}\RP671\A0265478.exe
[FUND] Ist das Trojanische Pferd TR/Spy.Bebloh.A.15
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[WARNUNG] Fehler in der ARK Library
[HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert.
C:\WINDOWS\SYSTEM32\CONFIG\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01234567\tvp13[1].exe
[FUND] Ist das Trojanische Pferd TR/Spy.Bebloh.A.15
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b32e5bb.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 30. September 2009 06:57
Benötigte Zeit: 1:28:06 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

6320 Verzeichnisse wurden überprüft
247272 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
247267 Dateien ohne Befall
4196 Archive wurden durchsucht
4 Warnungen
5 Hinweise
52361 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Alt 06.10.2009, 10:57   #2
kira
/// Helfer-Team
 
MBAM - Sparkasse meint Banking-Trojaner - Standard

MBAM - Sparkasse meint Banking-Trojaner



Hallo und Herzlich Willkommen!

Klingt nicht nur schlimm, sondern ist es auch
Wenn ein Rechner befallen ("offen") war, kann man davon ausgehen dass der Rechner und ALLE Passwörter die auf und an dem System eingegeben wurden kompromittiert sind. Technische Kompromittierung/wikipedia.org
Ich würd dir echt empfehlen, dein System komplett neu aufzusetzen, um wieder mit einem vertrauenswürdigen System zu arbeiten können!
Da Du Online-Banking betreibst, ist es meiner Meinung nach unvermeidbar!

- Ändere deine Passworte und Zugangsdaten (überall! -Bank, Chat, Mail etc)! - von einem sauberen System aus
- Anleitung: Neuaufsetzen des Systems + Absicherung

gruß
Coverflow
__________________


Alt 06.10.2009, 21:02   #3
Alexander Rohn
 
MBAM - Sparkasse meint Banking-Trojaner - Standard

MBAM - Sparkasse meint Banking-Trojaner



Hallo und Guten Abend.

Ich habe meine Banking-Paßwörter und auch Ebay bereits von einem sauberen Rechner aus geändert und gehe auch nur noch von dort auf diese Seiten.
Ich würde sehr sehr gerne um die Neuaufsetzung des Systems herumkommen.
Kann man denn anhand der geposteten Files sagen, ob mein System mitlerweile sauber ist ?

Danke schonmal für die Hilfe...
__________________

Alt 06.10.2009, 21:41   #4
kira
/// Helfer-Team
 
MBAM - Sparkasse meint Banking-Trojaner - Standard

MBAM - Sparkasse meint Banking-Trojaner



wie Du möchtest, dazu brauchen wir aber in wenig mehr Info und Prüfung:
Deine persönlichen Angaben/Daten (die persönliche Merkmale enthalten, wie Name, Seriennummer etc) kannst Du aus dem geposteten Logs heraus löschen[/u]
- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
lade Dir HijackThis 2.0.2 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

2.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

3.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

5.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
  • - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
    - starte gmer.exe
    - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
    - bitte nichts am Pc machen während der Scan läuft!
    - "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
    - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
    - mit "Ok" wird GMER beendet.
    - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
- kannst Du das Log bei File-Upload.net/kostenlos hochladen und den Link mir hier posten.

Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]
gruß
Coverflow

Alt 11.10.2009, 23:18   #5
Alexander Rohn
 
MBAM - Sparkasse meint Banking-Trojaner - Standard

MBAM - Sparkasse meint Banking-Trojaner



Okay,

hier der Logfile von Hijack 2.0.2

den Rest arbeite ich noch ab......




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:15:36, on 11.10.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\PDFDrucker\PDFBackend.exe
C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
C:\Programme\WLAN Monitor\wlconfig.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\TraXEx\TraXEx.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\WLAN Monitor\accwpac.exe
C:\Programme\Java\jre1.5.0_07\bin\jucheck.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\Office10\EXCEL.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PDFPrint] "C:\Programme\PDFDrucker\PDFBackend.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [wlconfig] "C:\Programme\WLAN Monitor\wlconfig.exe" -autostart
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: TraXEx 3.0.lnk = C:\Programme\TraXEx\TraXEx.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: IE-Spuren löschen - {6C7C0C9A-B51D-4ADB-A74D-C4E33744F866} - C:\Programme\TraXEx\Integration\TraXEx 3.0 Internet Explorer.lnk
O9 - Extra button: Löschautomat - {8DA7743F-9274-4BE8-899E-C0FF6ED61B00} - C:\Programme\TraXEx\Integration\TraXEx 3.0 Löschautomat.lnk
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe (file missing)
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/Dominik/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg

--
End of file - 7377 bytes


Alt 11.10.2009, 23:30   #6
Alexander Rohn
 
MBAM - Sparkasse meint Banking-Trojaner - Standard

MBAM - Sparkasse meint Banking-Trojaner



Hier die File Liste:

----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A0A2-10DB

Verzeichnis von C:\

11.10.2009 23:25 43 filelist.txt
11.10.2009 20:50 804.700.160 hiberfil.sys
11.10.2009 20:50 1.206.939.648 pagefile.sys

20 Datei(en) 2.012.566.904 Bytes
0 Verzeichnis(se), 779.833.344 Bytes frei

----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A0A2-10DB

Verzeichnis von C:\WINDOWS

11.10.2009 20:52 1.720.346 WindowsUpdate.log
11.10.2009 20:52 0 0.log
11.10.2009 20:51 54.156 QTFont.qfn
11.10.2009 20:51 159 WIADEBUG.LOG
11.10.2009 20:51 50 WIASERVC.LOG
11.10.2009 20:50 2.048 BOOTSTAT.DAT
08.10.2009 20:45 32.550 SchedLgU.Txt
04.10.2009 22:24 116 NeroDigital.ini
17.07.2009 15:05 169 ka.ini
01.07.2009 08:30 151 PhotoSnapViewer.INI
149 Datei(en) 60.420.789 Bytes
0 Verzeichnis(se), 779.792.384 Bytes frei

----- System ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A0A2-10DB

Verzeichnis von C:\WINDOWS\system

32 Datei(en) 1.201.219 Bytes
0 Verzeichnis(se), 779.796.480 Bytes frei

----- System 32 (Achtung: Zeitfenster beachten!) ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A0A2-10DB

Verzeichnis von C:\WINDOWS\system32

11.10.2009 22:53 22.033 nvModes.001
11.10.2009 20:53 1.170 WPA.DBL
11.10.2009 20:51 21.961 nvapps.xml
29.09.2009 19:57 22.033 nvModes.dat
21.09.2009 20:36 91.289 mvshuidg
26.08.2009 21:58 838.600 TZLog.log
21.08.2009 08:50 450.560 jscript.dll
05.08.2009 11:05 206.336 mswebdvd.dll
18.07.2009 18:18 1.506.304 shdocvw.dll
18.07.2009 18:18 3.083.264 mshtml.dll
17.07.2009 20:56 58.880 atl.dll
14.07.2009 13:03 46.080 tzchange.exe
13.07.2009 10:08 286.720 wmpdxm.dll
13.07.2009 10:08 5.537.792 wmp.dll
26.06.2009 18:17 665.088 wininet.dll
26.06.2009 18:17 618.496 urlmon.dll
26.06.2009 18:17 474.624 shlwapi.dll
26.06.2009 18:17 532.480 mstime.dll
26.06.2009 18:17 146.432 msrating.dll
26.06.2009 18:17 39.424 pngfilt.dll
26.06.2009 18:17 449.024 mshtmled.dll
26.06.2009 18:16 81.920 ieencode.dll
26.06.2009 18:16 205.312 dxtrans.dll
26.06.2009 18:16 96.768 inseng.dll
26.06.2009 18:16 357.888 dxtmsft.dll
26.06.2009 18:16 55.808 extmgr.dll
26.06.2009 18:16 16.384 jsproxy.dll
26.06.2009 18:16 251.392 iepeers.dll
26.06.2009 18:16 1.056.256 danim.dll
26.06.2009 18:16 1.023.488 browseui.dll
26.06.2009 18:16 152.064 cdfview.dll
26.06.2009 18:03 371.200 html.iec
25.06.2009 10:44 59.392 wdigest.dll
25.06.2009 10:44 732.160 lsasrv.dll
25.06.2009 10:44 168.448 schannel.dll
25.06.2009 10:44 56.320 secur32.dll
25.06.2009 10:44 133.632 msv1_0.dll
25.06.2009 10:44 298.496 kerberos.dll
23.06.2009 02:23 375.808 xpsp3res.dll
16.06.2009 16:53 119.808 t2embed.dll
16.06.2009 16:53 82.432 fontsub.dll
15.06.2009 13:32 78.848 telnet.exe
11.06.2009 11:29 176.264 FNTCACHE.DAT
10.06.2009 16:22 85.504 avifil32.dll
10.06.2009 08:30 132.096 wkssvc.dll
05.06.2009 09:42 655.872 mstscax.dll
03.06.2009 21:26 1.296.384 quartz.dll
20.05.2009 12:24 2.373.504 WMVCore.dll
07.05.2009 17:42 346.624 localspl.dll
19.04.2009 22:06 1.846.784 win32k.sys
17.04.2009 21:19 126 AF15IRTBL.bin
17.04.2009 21:19 28.672 AF15BDAEX.dll
16.04.2009 09:03 380.684 PERFH009.DAT
16.04.2009 09:03 53.098 PERFC009.DAT
16.04.2009 09:03 391.574 PERFH007.DAT
16.04.2009 09:02 63.976 PERFC007.DAT
16.04.2009 09:02 897.778 PerfStringBackup.INI
15.04.2009 17:11 584.192 rpcrt4.dll
2233 Datei(en) 487.026.403 Bytes
0 Verzeichnis(se), 779.612.160 Bytes frei

----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A0A2-10DB

Verzeichnis von C:\WINDOWS\Prefetch

11.10.2009 23:25 11.020 FIND.EXE-0EEAD1A7.pf
11.10.2009 23:25 10.938 CMD.EXE-034B0549.pf
11.10.2009 23:24 14.160 VERCLSID.EXE-28F52AD2.pf
11.10.2009 23:24 33.718 AVWSC.EXE-1742FD55.pf
11.10.2009 23:24 56.456 WMIPRVSE.EXE-0D449B4F.pf
11.10.2009 23:24 29.068 RUNDLL32.EXE-6E0E3853.pf
11.10.2009 23:15 13.684 NOTEPAD.EXE-2F2D61E1.pf
11.10.2009 23:15 19.588 HIJACKTHIS.EXE-3643707F.pf
11.10.2009 23:15 15.950 HJTINSTALL.EXE-39E069F7.pf
11.10.2009 23:09 66.168 EXCEL.EXE-11B6929A.pf
11.10.2009 23:07 88.210 IEXPLORE.EXE-360BBB5C.pf
11.10.2009 23:00 47.174 ADOBEUPDATER.EXE-285901AC.pf
11.10.2009 23:00 59.712 ACRORD32.EXE-0408CA01.pf
11.10.2009 22:59 58.200 MSIMN.EXE-2E3AC8DB.pf
11.10.2009 22:53 16.446 RUNDLL32.EXE-57C8756E.pf
11.10.2009 22:36 11.516 SSFLWBOX.SCR-00C6F4BF.pf
11.10.2009 22:31 26.070 UPDATE.EXE-090DF562.pf
11.10.2009 21:54 43.400 DFRGNTFS.EXE-38C3807C.pf
11.10.2009 21:54 15.888 DEFRAG.EXE-2858C7E2.pf
11.10.2009 21:54 175.706 Layout.ini
11.10.2009 21:52 18.218 GOOGLEUPDATERSERVICE.EXE-2C9098C6.pf
11.10.2009 21:07 25.830 HELPSVC.EXE-1C192440.pf
11.10.2009 20:56 33.376 JUCHECK.EXE-34DF0896.pf
11.10.2009 20:56 8.144 JAVA.EXE-287C63A9.pf
11.10.2009 20:53 50.832 AVNOTIFY.EXE-22D2A6A0.pf
11.10.2009 20:53 31.472 WGATRAY.EXE-350D4455.pf
11.10.2009 20:52 49.936 UPDATE.EXE-33FE454B.pf
11.10.2009 20:52 21.590 ACCWPAC.EXE-32E2338A.pf
11.10.2009 20:52 16.830 IMAPI.EXE-201490BB.pf
11.10.2009 20:52 15.456 ALG.EXE-275708CF.pf
11.10.2009 20:52 20.146 WUAUCLT.EXE-1360D60A.pf
11.10.2009 20:52 14.084 IPODSERVICE.EXE-07892C80.pf
11.10.2009 20:52 61.138 GOOGLEUPDATER.EXE-1DF2649A.pf
11.10.2009 20:52 9.816 ZYWATCH.EXE-32221A2E.pf
11.10.2009 20:52 798.600 NTOSBOOT-B00DFAAD.pf
08.10.2009 20:45 16.510 LOGONUI.EXE-312BE1BF.pf
08.10.2009 20:35 24.012 WSCNTFY.EXE-0B14C27D.pf
08.10.2009 20:35 19.344 REGSVR32.EXE-396DEA2C.pf
08.10.2009 20:35 6.786 TRAXEX.EXE-0FCF8BC7.pf
39 Datei(en) 2.055.192 Bytes
0 Verzeichnis(se), 779.685.888 Bytes frei

----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A0A2-10DB

Verzeichnis von C:\WINDOWS\tasks

11.10.2009 21:52 1.044 Google Software Updater.job
11.10.2009 20:50 6 SA.DAT
07.09.2009 19:42 276 AppleSoftwareUpdate.job
27.02.2009 18:15 398 1-Klick-Wartung.job
7 Datei(en) 2.449 Bytes
0 Verzeichnis(se), 779.681.792 Bytes frei

----- Windows/Temp -----------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A0A2-10DB

Verzeichnis von C:\WINDOWS\Temp

11.10.2009 22:53 255 WGAErrLog.txt
11.10.2009 20:53 409 WGANotify.settings
2 Datei(en) 664 Bytes
0 Verzeichnis(se), 779.681.792 Bytes frei

----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A0A2-10DB

Verzeichnis von C:\DOKUME~1\Dominik\LOKALE~1\Temp

11.10.2009 23:15 114.688 ~DF89CE.tmp
11.10.2009 23:08 32.768 ~DFC7DD.tmp
11.10.2009 23:08 32.768 ~DF991B.tmp
11.10.2009 20:56 1.157 jusched.log
11.10.2009 20:52 16.384 Perflib_Perfdata_ac.dat
11.10.2009 20:51 409.600 ~DF9700.tmp
08.10.2009 20:35 409.600 ~DFCFC.tmp
07.10.2009 22:31 409.600 ~DFC09F.tmp
8 Datei(en) 1.426.565 Bytes
0 Verzeichnis(se), 779.681.792 Bytes frei

Alt 11.10.2009, 23:35   #7
Alexander Rohn
 
MBAM - Sparkasse meint Banking-Trojaner - Standard

MBAM - Sparkasse meint Banking-Trojaner



Hier die Programme vom CC Cleaner:


AccessDirect
Adobe Flash Player 9 ActiveX
Adobe Reader 8.1.2 - Deutsch
Apple Mobile Device Support
Apple Software Update
Avira AntiVir Personal - Free Antivirus
Barbie(TM) als Die Prinzessin und das Dorfmädchen - Demo
BCM V.92 56K Modem
bhv Grundschule total 2007/2008 Starter
Broadcom Advanced Control Suite
CCleaner (remove only)
cFos NT/2000/XP DSL/ISDN Driver 5.24 (Build 2740)
Codeur Windows Media Série 9
DAO
Dell ResourceCD
DivX
DivX Player
DJMixStation 2 feat. Virtual DJ
DVDSentry
ElsterFormular 2007/2008
Google Earth
Google Toolbar for Internet Explorer
Google Updater
HijackThis 2.0.2
ICE PINGU XL
iTunes
J2SE Runtime Environment 5.0 Update 7
Java 2 Runtime Environment, SE v1.4.2
Kellogg's Hit Studio
LiveReg (Symantec Corporation)
LiveUpdate 1.80 (Symantec Corporation)
Loewenzahn Spielebox
Malwarebytes' Anti-Malware
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft Office XP Professional mit FrontPage
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Works 7.0
Modem Helper
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 Parser and SDK
Nero Suite
Nokia Connectivity Cable Driver
NVIDIA Drivers
Paint Shop Pro 7
PC Connectivity Solution
pdf24
PowerDVD
QuickSet
QuickTime
Restaurant Empire
RollerCoaster Tycoon 2
Sicherheitsupdate für Windows Media Encoder (KB954156)
Sony Ericsson PC Suite
Super RTL - Clubs
Superbike
Synaptics Pointing Device Driver
T-Online Fotoservice
Thrustmaster FFB Driver
TraXEx 3.0
TuneUp Utilities 2006
uMedia uTV
Windows Driver Package - Nokia (WUDFRd) WPD (11/03/2006 6.82.26.2)
Windows Installer 3.1 (KB893803)
Windows XP Service Pack 2
WinRAR Archivierer
Wissen für Kinder - Atlas
Wissen für Kinder - Weltgeschichte
WLAN Monitor
WLAN Quick-Starter
ZyXEL G-220 v2 Wireless Adapter Utility-Programm

Alt 12.10.2009, 01:58   #8
kira
/// Helfer-Team
 
MBAM - Sparkasse meint Banking-Trojaner - Standard

MBAM - Sparkasse meint Banking-Trojaner



nur so "zwischendurch":
Weil Du auf eine andere Sicherheitssoftware umsteigen bist:
Norton Antivirus ZU deinstallieren gehe auf der Symantec-Webseite und suche nach den speziellen Deinstallations-Tools, mit denen die letzten Reste (auch) entfernt werden sollten.
Norton Removal Tool (für alle Produkte ab 2003 bis 2008) von hier herunterladen

Alt 19.10.2009, 22:50   #9
Alexander Rohn
 
MBAM - Sparkasse meint Banking-Trojaner - Standard

MBAM - Sparkasse meint Banking-Trojaner



So , hier nun der letzte Teil des Puzzles.
Kannst Du mir sagen, was ich nun als nächstes tun kann ?
Ist der Rechner wieder sauber ??





GMER 1.0.15.15125 - http://www.gmer.net
Rootkit scan 2009-10-12 02:39:43
Windows 5.1.2600 Service Pack 2
Running: k2u0gow3.exe; Driver: C:\DOKUME~1\Dominik\LOKALE~1\Temp\kflcipow.sys


---- System - GMER 1.0.15 ----

SSDT 83B54B30 ZwConnectPort
SSDT F7E16786 ZwCreateKey
SSDT F7E1677C ZwCreateThread
SSDT F7E1678B ZwDeleteKey
SSDT F7E16795 ZwDeleteValueKey
SSDT F7E1679A ZwLoadKey
SSDT F7E16768 ZwOpenProcess
SSDT F7E1676D ZwOpenThread
SSDT F7E167A4 ZwReplaceKey
SSDT F7E1679F ZwRestoreKey
SSDT F7E16790 ZwSetValueKey
SSDT F7E16777 ZwTerminateProcess

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)
AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

Device \Driver\NPF \Device\NPF_{00CB2140-FF65-4BF6-A3A1-113E4AA7A941} F7A48C4A

AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 mouclass.sys (Mausklassentreiber/Microsoft Corporation)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device \Driver\prodrv06 \Device\ProDrv06 E1DE5008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort0 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort1 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\prohlp02 \Device\ProHlp02 E1A19788

AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device \FileSystem\Fastfat \Fat EFCECC8A
Device \FileSystem\Fastfat \Fat EFD044F4

AttachedDevice \FileSystem\Fastfat \Fat SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System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
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-4b3e-fd82-dbeafd62c15f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-4b3e-fd82-dbeafd62c15f}\InprocServer32@Class 0x98 0x76 0x90 0x34 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-4b3e-fd82-dbeafd62c15f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-4b3e-fd82-dbeafd62c15f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-6abe-589b-2be4fd62c15f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-6abe-589b-2be4fd62c15f}\InprocServer32@Class 0xE8 0xBD 0x89 0x0F ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-6abe-589b-2be4fd62c15f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-6abe-589b-2be4fd62c15f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-74aa-e290-647afd62c15f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-74aa-e290-647afd62c15f}\InprocServer32@Class 0x0B 0xCA 0xBC 0x69 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-74aa-e290-647afd62c15f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-74aa-e290-647afd62c15f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a3ac-ff96-e225fd62c15f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a3ac-ff96-e225fd62c15f}\InprocServer32@Class 0x39 0x79 0x90 0x41 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a3ac-ff96-e225fd62c15f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-a3ac-ff96-e225fd62c15f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-af39-89bf-5e13fd62c15f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-af39-89bf-5e13fd62c15f}\InprocServer32@Class 0xDC 0x06 0x0D 0x08 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-af39-89bf-5e13fd62c15f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-af39-89bf-5e13fd62c15f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-b073-1621-3861fd62c15f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-b073-1621-3861fd62c15f}\InprocServer32@Class 0x5A 0x76 0x73 0xEB ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-b073-1621-3861fd62c15f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-b073-1621-3861fd62c15f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-d119-d9b7-7977fd62c15f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-d119-d9b7-7977fd62c15f}\InprocServer32@Class 0xDA 0x40 0x3F 0x1D ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-d119-d9b7-7977fd62c15f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-d119-d9b7-7977fd62c15f}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL

---- EOF - GMER 1.0.15 ----

Alt 20.10.2009, 18:54   #10
kira
/// Helfer-Team
 
MBAM - Sparkasse meint Banking-Trojaner - Standard

MBAM - Sparkasse meint Banking-Trojaner



hi

für eine gründliche Reinigung werden noch einige Schritte nötig:

1.
ist Dir bekannt? wenn nicht fixe mit HJT:
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
Code:
ATTFilter
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/Dominik/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg
         
2.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.
  • `Start → ausführen` "cleanmgr" reinschreiben (ohne "") → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) müssen geleert werden→ "Ok"
  • `Start → ausführen` → %temp% reinschreiben (ohne "")→ "Ok" - - Ordnerinhalt überall markieren und löschen
  • für jedes Benutzerkonto bitte durchführen
  • anschließend den Papierkorb leeren

3.
reinige dein System mit Ccleaner:
  • "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
  • "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
  • Starte dein System neu auf

4.
  • lade Dir SUPERAntiSpyware FREE Edition herunter.
  • installiere das Programm und update online.
  • starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
  • setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
  • anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
  • auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
  • um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
  • drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

5.
Alte Java-Versionen entfernen:
- Lade Dir JavaRa von prm753 herunter
- auf dem Desktop entpacken
- die JavaRa.exe per Doppelklick starten
- wähle "Remove Older Versions" und klicke auf "Yes
- wird ein Log erstellt, kannst Du speichern (posten nicht nötig)
- Installiere die Offline-Version von Java Java Runtime Environment (JRE) 6 Update aktuelle Version ) von http://www.trojaner-board.de/105213-java-update-einstellungen.html]SUN[/url]

Adobe Reader auch veraltet...

6.
Den kompletten Rechner zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "My Computer" aus:
im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans

ansonsten alles in Ordnung?

Alt 26.10.2009, 18:40   #11
Alexander Rohn
 
MBAM - Sparkasse meint Banking-Trojaner - Standard

MBAM - Sparkasse meint Banking-Trojaner



Okay, mache ich.
Wir ziehen erstmal um, so dass ich ca. 4 Wochen nicht online sein kann....
Aber aufgeschoben ist ja nicht aufgehoben.

Bis hierher schonmal Vielen Dank !

Antwort

Themen zu MBAM - Sparkasse meint Banking-Trojaner
0 bytes, anschluss, avg, avgnt.exe, banking-trojaner, content.ie5, desktop, disabled.securitycenter, einstellungen, fehler, file, google, internet, jucheck.exe, jusched.exe, logon.exe, lsass.exe, löschen, malware, mdm.exe, microsoft, neustart, nicht gefunden, nt.dll, programme, quelldatei, registrierungsschlüssel, registry, scan, security.hijack, services.exe, software, suchlauf, svchost.exe, system, system volume information, userinit.exe, versteckte objekte, verweise, virus gefunden, warnung, winlogon.exe



Ähnliche Themen: MBAM - Sparkasse meint Banking-Trojaner


  1. Win XP Trojaner Sparkasse Online-Banking
    Log-Analyse und Auswertung - 10.03.2015 (34)
  2. Sparkasse hat das Online-Banking gesperrt, Hinweis: Trojaner
    Log-Analyse und Auswertung - 24.05.2013 (12)
  3. Online-Banking Trojaner (Sparkasse)
    Plagegeister aller Art und deren Bekämpfung - 07.09.2012 (13)
  4. Trojaner TR/Dropper.Gen bzw. Trojan.SpyEyes.R bei Online-Banking Sparkasse
    Log-Analyse und Auswertung - 27.08.2011 (28)
  5. 2. Strang (alter PC): Trojaner TR/Dropper.Gen bzw. Trojan.SpyEyes.R bei Online-Banking Sparkasse
    Log-Analyse und Auswertung - 24.08.2011 (3)
  6. Sparkasse Online-Banking Probleme
    Log-Analyse und Auswertung - 19.05.2011 (44)
  7. Trojaner Sparkasse Banking Aufforderung 20 TANs
    Plagegeister aller Art und deren Bekämpfung - 09.01.2011 (13)
  8. Sparkasse Banking - Aufforderung 20 TANs
    Plagegeister aller Art und deren Bekämpfung - 03.01.2011 (8)
  9. Phishing Trojaner Sparkasse Online Banking
    Plagegeister aller Art und deren Bekämpfung - 30.12.2010 (57)
  10. 20 Tan eingeben Sparkasse Online Banking
    Plagegeister aller Art und deren Bekämpfung - 23.12.2010 (7)
  11. Banking Trojaner Sparkasse 20 Tans
    Plagegeister aller Art und deren Bekämpfung - 12.12.2010 (17)
  12. 20 tan bei Sparkasse online-Banking
    Plagegeister aller Art und deren Bekämpfung - 07.11.2010 (10)
  13. 20 TAN Trojaner Sparkasse Online Banking :( Was nun?
    Plagegeister aller Art und deren Bekämpfung - 05.11.2010 (32)
  14. Banking Trojaner Sparkasse - Entfernen oder System neu aufsetzen?
    Plagegeister aller Art und deren Bekämpfung - 25.09.2010 (7)
  15. Trojaner Online Banking Sparkasse, PC formatieren??
    Plagegeister aller Art und deren Bekämpfung - 12.09.2010 (44)
  16. Trojaner: Online Banking Sparkasse - 50 Tans eingeben
    Plagegeister aller Art und deren Bekämpfung - 26.08.2010 (10)
  17. Banking Trojaner Sparkasse/ Trojaner Delfsnif.DX.81
    Plagegeister aller Art und deren Bekämpfung - 18.08.2010 (13)

Zum Thema MBAM - Sparkasse meint Banking-Trojaner - Meine Sparkasse sagte mir, ich hätte einen Banking-Trojaner auf meinem Rechner. Meine Bankdaten sind wohl irgendwie im Ausland aufgetaucht. Jetzt arbeite ich die Anleitung ab, a) CCCleaner; b) Malware etc. - MBAM - Sparkasse meint Banking-Trojaner...
Archiv
Du betrachtest: MBAM - Sparkasse meint Banking-Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.