Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Befall mit Trojan.PWS.Gen / 20-TAN-Trojaner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 23.09.2010, 18:00   #1
frankiefigs
 
Befall mit Trojan.PWS.Gen / 20-TAN-Trojaner - Standard

Befall mit Trojan.PWS.Gen / 20-TAN-Trojaner



Juten Tach liebe Community,

nachdem ich mich lange Jahre schadlos gehalten habe, hat es mich jetzt doch erwischt: Gestern trat bei mir der 20-TAN-Trojaner (Sparkasse) auf,d.h. beim Einloggen ins Onlinebanking werde ich aufgefordert mal eben 20 TAN einzugeben. Den Postings hier im Forum nach zu urteilen liege ich damit z.Zt. voll im Trend! BitDefender 2010, mit dem ich in den letzten Jahren immer sehr zufrieden war, findet NIX bei tiefgehender Systemprüfung.
Wie auch immer, gemäß Anleitung im Board hab ich

(1) mit MBAM gescannt und siehe da: Trojan.PWS.Gen -> mbam-log-1.txt
(2) Bedrohungen gelöscht und anschließend neu gescannt -> mbam-log-2.txt
(3) Scan mit OTL -> OTL.txt/Extras.txt

Nach dem Löschen der infizierten Files tritt die TAN-Abfrage auch nicht mehr auf. Was gibt es jetzt noch zu tun? Danke für Eure Hilfe!
Angehängte Dateien
Dateityp: txt mbam-log-1.txt (1,1 KB, 243x aufgerufen)
Dateityp: txt mbam-log-2.txt (1,1 KB, 192x aufgerufen)
Dateityp: txt OTL.Txt (78,9 KB, 226x aufgerufen)
Dateityp: txt Extras.Txt (42,9 KB, 290x aufgerufen)

Alt 23.09.2010, 19:09   #2
Chris4You
 
Befall mit Trojan.PWS.Gen / 20-TAN-Trojaner - Standard

Befall mit Trojan.PWS.Gen / 20-TAN-Trojaner



Hi,

Aufräumen und ev. tiefer bohren...
Komme aber erst morgen dazu...

Das ist er (gewesen):
36 - AppCertDlls: NetPetup - (C:\Windows\system32\iscsywiz.dll) - C:\Windows\System32\iscsywiz.dll File not found

chris
__________________

__________________

Alt 24.09.2010, 07:53   #3
Chris4You
 
Befall mit Trojan.PWS.Gen / 20-TAN-Trojaner - Standard

Befall mit Trojan.PWS.Gen / 20-TAN-Trojaner



Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\Windows\System32\acddaeccadea_z.dll
C:\Windows\System32\bacddaeb_r.dll
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Fix für OTL:
  • Doppelklick auf die OTL.exe, um das Programm auszuführen.
  • Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
  • Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code:
ATTFilter
:OTL
DRV - (UIUSys) -- C:\Windows\System32\DRIVERS\UIUSYS.SYS File not found
DRV - (NwlnkFwd) -- C:\Windows\System32\DRIVERS\nwlnkfwd.sys File not found
DRV - (NwlnkFlt) -- C:\Windows\System32\DRIVERS\nwlnkflt.sys File not found
DRV - (IpInIp) -- C:\Windows\System32\DRIVERS\ipinip.sys File not found
DRV - (blbdrive) -- C:\Windows\System32\drivers\blbdrive.sys File not found
O33 - MountPoints2\{070fb55b-6ee1-11de-9312-001a803ebc35}\Shell - "" = AutoRun
O33 - MountPoints2\{070fb55b-6ee1-11de-9312-001a803ebc35}\Shell\AutoRun\command - "" = H:\LaunchU3.exe -- File not found
O33 - MountPoints2\{8f82317c-d263-11dd-af0f-001a803ebc35}\Shell\AutoRun\command - "" = H:\Menu.exe -- File not found
O33 - MountPoints2\{d2dfe610-d5ac-11dc-b675-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{d2dfe610-d5ac-11dc-b675-806e6f6e6963}\Shell\AutoRun\command - "" = F:\autorun.exe -- File not found
O33 - MountPoints2\{e4da564b-7928-11de-a6b9-001a803ebc35}\Shell\AutoRun\command - "" = H:\Launcher.exe -- File not found
O33 - MountPoints2\G\Shell\AutoRun\command - "" = G:\Autorun\Autorun.exe -- File not found
O36 - AppCertDlls: NetPetup - (C:\Windows\system32\iscsywiz.dll) - C:\Windows\System32\iscsywiz.dll File not found
@Alternate Data Stream - 98 bytes -> C:\ProgramData\TEMP:551E1CB4
@Alternate Data Stream - 134 bytes -> C:\ProgramData\TEMP:38849DE5
@Alternate Data Stream - 129 bytes -> C:\ProgramData\TEMP:74699137
@Alternate Data Stream - 124 bytes -> C:\ProgramData\TEMP:B3D74A13
@Alternate Data Stream - 124 bytes -> C:\ProgramData\TEMP:273A8657
@Alternate Data Stream - 122 bytes -> C:\ProgramData\TEMP:7DFDF9DF
@Alternate Data Stream - 122 bytes -> C:\ProgramData\TEMP:27AD48A5
@Alternate Data Stream - 120 bytes -> C:\ProgramData\TEMP:A23D24E7
@Alternate Data Stream - 119 bytes -> C:\ProgramData\TEMP:9AB338B9
@Alternate Data Stream - 118 bytes -> C:\ProgramData\TEMP:EB603FE4
@Alternate Data Stream - 114 bytes -> C:\ProgramData\TEMP:5EBA4934
@Alternate Data Stream - 111 bytes -> C:\ProgramData\TEMP:8FBE0E9C
@Alternate Data Stream - 111 bytes -> C:\ProgramData\TEMP:1941675B
@Alternate Data Stream - 109 bytes -> C:\ProgramData\TEMP:7091055F
@Alternate Data Stream - 105 bytes -> C:\ProgramData\TEMP:8EEE3BBB
@Alternate Data Stream - 102 bytes -> C:\ProgramData\TEMP:B14B4A95
@Alternate Data Stream - 101 bytes -> C:\ProgramData\TEMP:37CE0F2E

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
"DisableMonitoring" = dword:0x00

:Commands
[emptytemp]
[Reboot]
         
  • Den roten Run Fixes! Button anklicken.
  • Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.
  • Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:
  • %systemroot%\_OTL

Cureit:
http://www.trojaner-board.de/59299-a...eb-cureit.html
Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log.
Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn.
Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet.

chris
__________________
__________________

Alt 25.09.2010, 14:15   #4
frankiefigs
 
Befall mit Trojan.PWS.Gen / 20-TAN-Trojaner - Standard

Befall mit Trojan.PWS.Gen / 20-TAN-Trojaner



Hi Chris,

alle Prüfungen sind ohne Befund. System scheint sauber zu sein. Danke für die Unterstützung.

Virustotalscan acddaeccadea_z.dll
Code:
ATTFilter
File name:acddaeccadea_z.dll
Submission date:2010-09-24 16:53:27 (UTC)
Current status:queued (#3) queued (#3) analysing finished
Result:0/ 43 (0.0%)

Additional information
Show all
MD5   : 2aab95d72043eb5f0743b2f813b31869
SHA1  : 1bed2a9e7b3dfa05cfb7fdc05077ca923a4c2511
SHA256: 8e77828f61e89b76f9c9619be7eab90a9f6a4802d76e356a345df7e1490a8dd7
ssdeep: 3:gbTiR8WhFa:gyR8WhFa
File size : 23 bytes
First seen: 2010-09-24 16:53:27
Last seen : 2010-09-24 16:53:27
TrID:
Unknown!
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
         
Virustotalscan bacddaeb_r.dll
Code:
ATTFilter
File name:bacddaeb_r.dll
Submission date:2010-09-24 17:03:20 (UTC)
Current status:queued (#1) queued (#1) analysing finished
Result:0/ 43 (0.0%)

Additional information
Show all
MD5   : 85d5902866ea0041884360a0bd58b57e
SHA1  : 316bac5d418594f27f4213f759f7c973539b0008
SHA256: 3d1446c36aacaca414a5037f2e377ea804bc661de61890b2b97645c962e1d6ab
ssdeep: 3:S1g+S1WFcn:S1Vcmc
File size : 23 bytes
First seen: 2009-03-05 00:00:06
Last seen : 2010-09-24 17:03:20
TrID:
Unknown!
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
         
OTL
Code:
ATTFilter
All processes killed
========== OTL ==========
Service UIUSys stopped successfully!
Service UIUSys deleted successfully!
File  C:\Windows\System32\DRIVERS\UIUSYS.SYS File not found not found.
Service NwlnkFwd stopped successfully!
Service NwlnkFwd deleted successfully!
File  C:\Windows\System32\DRIVERS\nwlnkfwd.sys File not found not found.
Service NwlnkFlt stopped successfully!
Service NwlnkFlt deleted successfully!
File  C:\Windows\System32\DRIVERS\nwlnkflt.sys File not found not found.
Service IpInIp stopped successfully!
Service IpInIp deleted successfully!
File  C:\Windows\System32\DRIVERS\ipinip.sys File not found not found.
Service blbdrive stopped successfully!
Service blbdrive deleted successfully!
File  C:\Windows\System32\drivers\blbdrive.sys File not found not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{070fb55b-6ee1-11de-9312-001a803ebc35}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{070fb55b-6ee1-11de-9312-001a803ebc35}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{070fb55b-6ee1-11de-9312-001a803ebc35}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{070fb55b-6ee1-11de-9312-001a803ebc35}\ not found.
File H:\LaunchU3.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8f82317c-d263-11dd-af0f-001a803ebc35}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8f82317c-d263-11dd-af0f-001a803ebc35}\ not found.
File H:\Menu.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d2dfe610-d5ac-11dc-b675-806e6f6e6963}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d2dfe610-d5ac-11dc-b675-806e6f6e6963}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d2dfe610-d5ac-11dc-b675-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d2dfe610-d5ac-11dc-b675-806e6f6e6963}\ not found.
File F:\autorun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e4da564b-7928-11de-a6b9-001a803ebc35}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e4da564b-7928-11de-a6b9-001a803ebc35}\ not found.
File H:\Launcher.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G\ deleted successfully.
File G:\Autorun\Autorun.exe not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\NetPetup:C:\Windows\system32\iscsywiz.dll deleted successfully.
ADS C:\ProgramData\TEMP:551E1CB4 deleted successfully.
ADS C:\ProgramData\TEMP:38849DE5 deleted successfully.
ADS C:\ProgramData\TEMP:74699137 deleted successfully.
ADS C:\ProgramData\TEMP:B3D74A13 deleted successfully.
ADS C:\ProgramData\TEMP:273A8657 deleted successfully.
ADS C:\ProgramData\TEMP:7DFDF9DF deleted successfully.
ADS C:\ProgramData\TEMP:27AD48A5 deleted successfully.
ADS C:\ProgramData\TEMP:A23D24E7 deleted successfully.
ADS C:\ProgramData\TEMP:9AB338B9 deleted successfully.
ADS C:\ProgramData\TEMP:EB603FE4 deleted successfully.
ADS C:\ProgramData\TEMP:5EBA4934 deleted successfully.
ADS C:\ProgramData\TEMP:8FBE0E9C deleted successfully.
ADS C:\ProgramData\TEMP:1941675B deleted successfully.
ADS C:\ProgramData\TEMP:7091055F deleted successfully.
ADS C:\ProgramData\TEMP:8EEE3BBB deleted successfully.
ADS C:\ProgramData\TEMP:B14B4A95 deleted successfully.
ADS C:\ProgramData\TEMP:37CE0F2E deleted successfully.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\\"DisableMonitoring" | dword:0x00 /E : value set successfully!
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 116 bytes
 
User: Default User
 
User: XXX
->Temp folder emptied: 92275 bytes
->Temporary Internet Files folder emptied: 779850 bytes
->Java cache emptied: 4171899 bytes
->FireFox cache emptied: 63842275 bytes
->Flash cache emptied: 6779 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 14 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 66,00 mb
 
 
OTL by OldTimer - Version 3.2.14.1 log created on 09242010_191754

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
         
CureIt
Code:
ATTFilter
Scanstatistiken
-----------------------------------------------------------------------------
Gescannt: 322732
Infiziert: 0
Modifikationen: 0
Verdächtig: 0
Adware: 0
Dialer: 0
Scherzprogramme: 0
Riskware: 0
Hacktools: 0
Desinfiziert: 0
Gelöscht: 0
Umbenannt: 0
Verschoben: 0
Ignoriert: 0
Geschwindigkeit:: 248 Kb/s
Dauer:: 3:27:01
-----------------------------------------------------------------------------
         

Alt 25.09.2010, 21:24   #5
Chris4You
 
Befall mit Trojan.PWS.Gen / 20-TAN-Trojaner - Standard

Befall mit Trojan.PWS.Gen / 20-TAN-Trojaner



Hi,

sieht ok aus...
Läuft der Rechner?

chris

__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 26.09.2010, 12:43   #6
frankiefigs
 
Befall mit Trojan.PWS.Gen / 20-TAN-Trojaner - Standard

Befall mit Trojan.PWS.Gen / 20-TAN-Trojaner



Moin,

Rechner läuft ohne Auffälligkeiten. Hab nochmal mit CCleaner aufgewischt und alle PW geändert.


Antwort

Themen zu Befall mit Trojan.PWS.Gen / 20-TAN-Trojaner
20 tan, anleitung, befall, bitdefender, board, danke für eure hilfe!, defender, ebanking, einloggen, erwischt, files, forum, gelöscht, gescannt, hilfe!, infizierte, jahre, lange, löschen, mbam, neu, nicht mehr, onlinebanking, schließe, sparkasse, trend, voll



Ähnliche Themen: Befall mit Trojan.PWS.Gen / 20-TAN-Trojaner


  1. Trojan:DOS/Alureon.E Befall
    Plagegeister aller Art und deren Bekämpfung - 09.09.2013 (11)
  2. Backdoor.Trojan Befall: dxgiau.exe
    Log-Analyse und Auswertung - 02.07.2013 (10)
  3. Rechner bereinigen nach Trojaner befall (IPH.Trojan.Zbot.Rke)
    Log-Analyse und Auswertung - 03.04.2013 (20)
  4. Rezidivierender GVU Trojaner oder neuer Befall von Trojan.Ransom.ANC ...?
    Plagegeister aller Art und deren Bekämpfung - 13.12.2012 (41)
  5. Trojaner Befall C:\uninstall.exe (Trojan.Agent) und weitere
    Plagegeister aller Art und deren Bekämpfung - 04.08.2012 (1)
  6. Virenfund Trojan.Generic.7552386 und Trojan.Sirefef.FY nach GVU-Befall
    Log-Analyse und Auswertung - 03.08.2012 (15)
  7. Win 7 64 bit trojaner befall Trojan.Apppatch olinb.exe rootkit.0Acces 800000cb.@
    Plagegeister aller Art und deren Bekämpfung - 26.07.2012 (10)
  8. Rootkit.0Access, Trojan.Sirefef, Trojan.Small Befall
    Plagegeister aller Art und deren Bekämpfung - 15.07.2012 (3)
  9. Trojaner-Befall durch Trojan:Win64/Sirefef.k .d .e
    Log-Analyse und Auswertung - 03.01.2012 (1)
  10. Log-Analyse nach Trojaner/Malware befall (Malware.Trace / Trojan.BHO)
    Log-Analyse und Auswertung - 26.09.2011 (16)
  11. Trojaner Befall: TR/Dldr.PELTPOX.A [trojan]
    Plagegeister aller Art und deren Bekämpfung - 28.05.2011 (19)
  12. Befall mit trojan.hiloti & co. C:\WINDOWS\msmcfy.dll (Trojan.Hiloti)
    Plagegeister aller Art und deren Bekämpfung - 09.12.2010 (16)
  13. Trojan Downloader Befall
    Plagegeister aller Art und deren Bekämpfung - 16.05.2010 (6)
  14. Befall mit 'TR/Trash.Gen' [trojan]
    Log-Analyse und Auswertung - 12.05.2010 (32)
  15. Trojan-Dropper, Trojaner-Befall allg.
    Plagegeister aller Art und deren Bekämpfung - 26.07.2009 (10)
  16. Trojan.DNSChanger befall
    Plagegeister aller Art und deren Bekämpfung - 06.04.2009 (40)
  17. Befall von Virtumonde, Trojan.Dropper/Gen und Trojan.DNSChanger-Codec
    Plagegeister aller Art und deren Bekämpfung - 28.10.2008 (23)

Zum Thema Befall mit Trojan.PWS.Gen / 20-TAN-Trojaner - Juten Tach liebe Community, nachdem ich mich lange Jahre schadlos gehalten habe, hat es mich jetzt doch erwischt: Gestern trat bei mir der 20-TAN-Trojaner (Sparkasse) auf,d.h. beim Einloggen ins Onlinebanking - Befall mit Trojan.PWS.Gen / 20-TAN-Trojaner...
Archiv
Du betrachtest: Befall mit Trojan.PWS.Gen / 20-TAN-Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.