Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: 20Tans onlinebanking Abfrage (Mainzer Volksbank), Trojaner los werden!!!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 04.09.2010, 20:23   #1
anemone
 
20Tans onlinebanking Abfrage (Mainzer Volksbank), Trojaner los werden!!! - Standard

20Tans onlinebanking Abfrage (Mainzer Volksbank), Trojaner los werden!!!



Hallo

ich bin neu hier und bin froh, dass ich mein Problem bei Euch vorstellen darf.


Ich habe einen Trojaner(?) der mich ausspionieren will. Wenn ich onlinbanking machen will, öffnet sich nach dem Einloggen eine angebliche Bankseite und es werden 20 TAN-Nummern zwecks zusätzlicher Autorisierung angefordert.

-Avira AntiVir - Personal Edition wurde (und wird täglich!) "geupdated" und fand nichts!

Bin euern Anweisungen gefolgt und hab die Programme ausgeführt:

-erunt
-defogger
-Malwarebytes-Anti-Malware
-OTL

Gmer konnte ich nicht ausführen, Programm stürzte 2 Mal ab

-------------------------------------------------------

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4542

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

04.09.2010 18:30:34
mbam-log-2010-09-04 (18-30-34).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 138675
Laufzeit: 6 Minute(n), 16 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\cleansweep.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\cleansweep.exe\config.bin (Trojan.Agent) -> Quarantined and deleted successfully.

------------------------------------------------------------------

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 18:40 on 04/09/2010 (Ulla)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
Unable to read sptd.sys
SPTD -> Disabled (Service running -> reboot required)


-=E.O.F=-

------------------------------------------------------------


Wäre schön wenn ich das Problem mit eurer Hilfe beseitigen könnte.

Vielen Dank im voraus.
Angehängte Dateien
Dateityp: txt Extras.Txt (56,9 KB, 244x aufgerufen)

Alt 05.09.2010, 17:06   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
20Tans onlinebanking Abfrage (Mainzer Volksbank), Trojaner los werden!!! - Standard

20Tans onlinebanking Abfrage (Mainzer Volksbank), Trojaner los werden!!!



Hast Du mehrere Logs von malwarebytes? Wenn ja bitte alle posten.
__________________

__________________

Alt 05.09.2010, 17:50   #3
anemone
 
20Tans onlinebanking Abfrage (Mainzer Volksbank), Trojaner los werden!!! - Standard

20Tans onlinebanking Abfrage (Mainzer Volksbank), Trojaner los werden!!!



Hallo Arne,

vielen Dank für eine Antwort auf mein Problem.

Ich bin den Anweisungen hier gefolgt und alle logs die ich machen sollte, oder konnte (siehe gmer, was nicht ging) habe ich oben gepostet.

Ich hab viel zu viel Respekt vor den ganzen Progs, als dass ich irgendwas ohne Anleitung machen würde.

Gruß

Anemone
__________________

Alt 05.09.2010, 18:21   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
20Tans onlinebanking Abfrage (Mainzer Volksbank), Trojaner los werden!!! - Standard

20Tans onlinebanking Abfrage (Mainzer Volksbank), Trojaner los werden!!!



Ich wollte auch nur wissen, ob Du Malwarebytes mehr als 1x durchlaufen hast. Wenn ja, will ich von jedem Durchgang das Log sehen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 05.09.2010, 19:28   #5
anemone
 
20Tans onlinebanking Abfrage (Mainzer Volksbank), Trojaner los werden!!! - Standard

20Tans onlinebanking Abfrage (Mainzer Volksbank), Trojaner los werden!!!



Hallo Arne,

ich hab Malwarebytes nur einmal durchlaufen lassen.

Anemone


Alt 05.09.2010, 19:53   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
20Tans onlinebanking Abfrage (Mainzer Volksbank), Trojaner los werden!!! - Standard

20Tans onlinebanking Abfrage (Mainzer Volksbank), Trojaner los werden!!!



Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!
__________________
--> 20Tans onlinebanking Abfrage (Mainzer Volksbank), Trojaner los werden!!!

Alt 06.09.2010, 06:48   #7
anemone
 
20Tans onlinebanking Abfrage (Mainzer Volksbank), Trojaner los werden!!! - Standard

20Tans onlinebanking Abfrage (Mainzer Volksbank), Trojaner los werden!!!



Guten Morgen,

Vollscan gemacht.
Hier das log:

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4552

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

06.09.2010 00:56:38
mbam-log-2010-09-06 (00-56-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 526148
Laufzeit: 2 Stunde(n), 22 Minute(n), 0 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Gruß
Anemone

Alt 06.09.2010, 09:45   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
20Tans onlinebanking Abfrage (Mainzer Volksbank), Trojaner los werden!!! - Standard

20Tans onlinebanking Abfrage (Mainzer Volksbank), Trojaner los werden!!!



Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:
ATTFilter
:OTL
MOD - [2010.09.03 22:14:25 | 000,046,080 | -H-- | M] () -- C:\Windows\System32\autodt32.dll
O4 - HKLM..\Run: [himem.exe] C:\Windows\skksd32.exe File not found
O4 - HKLM..\Run: [SoundMnEx32] C:\Windows\skksd32.exe File not found
O4 - HKCU..\Run: []  File not found
O20 - AppInit_DLLs: (diagisr.dll) -  File not found
O33 - MountPoints2\{643d90ab-94b2-11df-a72e-0019db5d3ab1}\Shell - "" = AutoRun
O33 - MountPoints2\{643d90ab-94b2-11df-a72e-0019db5d3ab1}\Shell\AutoRun\command - "" = K:\ICM_ML.exe -- File not found
O33 - MountPoints2\{78b5d288-76f7-11de-8f07-0019db5d3ab1}\Shell - "" = AutoRun
O33 - MountPoints2\{78b5d288-76f7-11de-8f07-0019db5d3ab1}\Shell\AutoRun\command - "" = J:\autorun.exe -- File not found
O36 - AppCertDlls: contvr32 - (C:\Windows\system32\autodt32.dll) - C:\Windows\System32\autodt32.dll ()
:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 06.09.2010, 14:40   #9
anemone
 
20Tans onlinebanking Abfrage (Mainzer Volksbank), Trojaner los werden!!! - Standard

20Tans onlinebanking Abfrage (Mainzer Volksbank), Trojaner los werden!!!



Hallo,

ich habe wie angegeben das script in das untere Fenster von OTL kopiert. Da ich meinen Benutzernamen nicht unkenntlich gamacht habe, habe ich im script nichts verändert. ich wußte auch gar nicht, was mit das „Ausgesternte“ gemeint ist.
Danach auf „Fix“ geklickt.
Es kam dann eine Fehlermeldung: OTL.exe Kein Datenträger
Darunter im Fenster stand: Es befindet sich kein Datenträger im Laufwerk. Legen Sie einen Datenträger in das Laufwerk \Device\Harddisk3\DR3 ein

Da ich nicht wußte, was ich machen sollte habe ich drei Mal auf „ abbrechen“ gedrückt und nachdem nichts passierte zwei Mal auf „weiter“ Daraufhin lief das Programm weiter durch, forderte einen Neustart und es erschien dann folgender Text:

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\himem.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\SoundMnEx32 deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_Dlls:diagisr.dll deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{643d90ab-94b2-11df-a72e-0019db5d3ab1}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{643d90ab-94b2-11df-a72e-0019db5d3ab1}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{643d90ab-94b2-11df-a72e-0019db5d3ab1}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{643d90ab-94b2-11df-a72e-0019db5d3ab1}\ not found.
File K:\ICM_ML.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{78b5d288-76f7-11de-8f07-0019db5d3ab1}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{78b5d288-76f7-11de-8f07-0019db5d3ab1}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{78b5d288-76f7-11de-8f07-0019db5d3ab1}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{78b5d288-76f7-11de-8f07-0019db5d3ab1}\ not found.
File J:\autorun.exe not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\contvr32:C:\Windows\system32\autodt32.dll deleted successfully.
C:\Windows\System32\autodt32.dll moved successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

User: Ulla
->Temp folder emptied: 68686480 bytes
->Temporary Internet Files folder emptied: 6888226 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 456 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 2532 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 72,00 mb


OTL by OldTimer - Version 3.2.11.0 log created on 09062010_152342

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...


Ich möchte mich nochmal für Deine Unterstützung bedanken.

Gruß
Ulla

Alt 06.09.2010, 15:25   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
20Tans onlinebanking Abfrage (Mainzer Volksbank), Trojaner los werden!!! - Standard

20Tans onlinebanking Abfrage (Mainzer Volksbank), Trojaner los werden!!!



Ich brauch den Quarantäneordner von OTL. Bitte folgendes machen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf da nicht rummurksen!
2.) Ordner C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 06.09.2010, 16:17   #11
anemone
 
20Tans onlinebanking Abfrage (Mainzer Volksbank), Trojaner los werden!!! - Standard

20Tans onlinebanking Abfrage (Mainzer Volksbank), Trojaner los werden!!!



OTL befindet sich in Euerm Ordner MFTools auf dem Desktop In diesem Ordner ist die exe und eine Textdatei. Wo ist der Quarantäneordner? Und wann soll ich den Virenscanner deaktivieren? Während des zippens? Während des scans gestern hatte ich ihn nicht deaktiviert.

Danke im Voraus.

Gruß
Anemone

Alt 06.09.2010, 16:27   #12
anemone
 
20Tans onlinebanking Abfrage (Mainzer Volksbank), Trojaner los werden!!! - Standard

20Tans onlinebanking Abfrage (Mainzer Volksbank), Trojaner los werden!!!



Doppelt
sorry!

Geändert von anemone (06.09.2010 um 16:28 Uhr) Grund: aus Versehen doppelt

Alt 06.09.2010, 18:08   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
20Tans onlinebanking Abfrage (Mainzer Volksbank), Trojaner los werden!!! - Standard

20Tans onlinebanking Abfrage (Mainzer Volksbank), Trojaner los werden!!!



Nun lies doch einfach meine Anweisungen! Es ist doch klip und klar beschrieben, welchen Ordner zippen sollst und wann Du den Virenscanner zu deaktivieren hast!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 06.09.2010, 18:54   #14
anemone
 
20Tans onlinebanking Abfrage (Mainzer Volksbank), Trojaner los werden!!! - Standard

20Tans onlinebanking Abfrage (Mainzer Volksbank), Trojaner los werden!!!



Tut mir leid, wenn ich Dir dämlich vorkomme, aber mir ist nicht klar, welchen Ordner Du meinst.
Das Textdokument?

Gruß
Anemone

Alt 06.09.2010, 19:45   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
20Tans onlinebanking Abfrage (Mainzer Volksbank), Trojaner los werden!!! - Standard

20Tans onlinebanking Abfrage (Mainzer Volksbank), Trojaner los werden!!!



Der Ordner heißt: C:\_OTL
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu 20Tans onlinebanking Abfrage (Mainzer Volksbank), Trojaner los werden!!!
antivir, ausspionieren, autostart, beseitigen, bösartige, dateien, ebanking, edition, einloggen, explorer, minute, neu, nichts, onlinebanking, personal, problem, programme, reboot, required, schön, service, tan-nummer, tans, trojan.agent, trojaner, täglich, version, volksbank, öffnet



Ähnliche Themen: 20Tans onlinebanking Abfrage (Mainzer Volksbank), Trojaner los werden!!!


  1. Nach Onlinebanking 9000 Euro abgebucht. Volksbank
    Plagegeister aller Art und deren Bekämpfung - 28.05.2014 (5)
  2. Onlinebanking-Trojaner Zeus2 / ZBot obwohl KEIN Onlinebanking genutzt wird
    Plagegeister aller Art und deren Bekämpfung - 21.05.2013 (4)
  3. Trojan.Agent.IET / IPH.Trojan.Zbot.Rke / 100er Tan Abfrage OnlineBanking Deutsche Bank
    Log-Analyse und Auswertung - 27.03.2013 (10)
  4. Trojaner: TAN-Abfrage beim Targobank-Onlinebanking
    Log-Analyse und Auswertung - 31.05.2012 (21)
  5. Sparkassen Onlinebanking-Virus (TAN-Nummer-Abfrage) und weiterer Systemcheck
    Log-Analyse und Auswertung - 18.10.2011 (55)
  6. Volksbank Onlinebanking will TANs von mir haben...
    Plagegeister aller Art und deren Bekämpfung - 09.08.2011 (3)
  7. Trojaner will 20Tans ausspionieren Online Banking, Log Datei als Anhang
    Log-Analyse und Auswertung - 01.04.2011 (9)
  8. Trojaner OnlineBanking Volksbank 20 TANs
    Plagegeister aller Art und deren Bekämpfung - 18.02.2011 (21)
  9. 20 tan abfrage bei volksbank online banking - virus
    Plagegeister aller Art und deren Bekämpfung - 04.02.2011 (3)
  10. Trojaner? Sparkasse Onlinebanking 20 TAN Abfrage
    Plagegeister aller Art und deren Bekämpfung - 25.01.2011 (17)
  11. OnlineBanking Trojaner "20TAN Abfrage" und mehr
    Plagegeister aller Art und deren Bekämpfung - 10.01.2011 (11)
  12. Phishing Volksbank 20TANs
    Plagegeister aller Art und deren Bekämpfung - 02.11.2010 (5)
  13. 20Tans onlinebanking Abfrage (Volksbank) - Wie werde ich den Trojaner los?
    Plagegeister aller Art und deren Bekämpfung - 17.09.2010 (11)
  14. 20 tans werden abgefragt onlinebanking => rootkit?
    Plagegeister aller Art und deren Bekämpfung - 13.09.2010 (23)
  15. 30 Tans onlinebanking abfrage (postbank), trojaner entfernen
    Plagegeister aller Art und deren Bekämpfung - 08.09.2010 (5)
  16. 40Tans onlinebanking abfrage(postbank), trojaner entfernen
    Plagegeister aller Art und deren Bekämpfung - 17.08.2010 (29)
  17. Sparkasse Onlinebanking (TAN Abfrage)
    Plagegeister aller Art und deren Bekämpfung - 02.08.2010 (1)

Zum Thema 20Tans onlinebanking Abfrage (Mainzer Volksbank), Trojaner los werden!!! - Hallo ich bin neu hier und bin froh, dass ich mein Problem bei Euch vorstellen darf. Ich habe einen Trojaner(?) der mich ausspionieren will. Wenn ich onlinbanking machen will, öffnet - 20Tans onlinebanking Abfrage (Mainzer Volksbank), Trojaner los werden!!!...
Archiv
Du betrachtest: 20Tans onlinebanking Abfrage (Mainzer Volksbank), Trojaner los werden!!! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.