Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: 20-TAN-Trojaner beseitigen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 20.10.2010, 09:43   #1
johnmaynard
 
20-TAN-Trojaner beseitigen - Standard

20-TAN-Trojaner beseitigen



Liebes Trojaner-Board-Team, ich bitte euch um Hilfe!

Offenbar habe ich mir den 20-TAN-Trojaner eingefangen.
Zunächst funktionierte vorgestern Google Chrome nicht mehr (nur noch mit dem „Trick“ –no-sandbox), was laut Foren schon ein Anzeichen ist. Gestern beim Online-Banking bei Sparkasse A kam dann eine „zusätzliche Authorisierung“ durch 20 TANs. Das Online-Konto habe ich gesperrt, wenn ich jetzt die Bank-Seiten besuche, erhalte ich nach dem Login keine TAN-Aufforderung mehr, sondern den Hinweis, dass der Zugang gesperrt wurde.
Nach einem Scan mit AntiVir und Malwarebytes und dem Löschen der Schädlingsfunde dachte ich, ich sei den Virus los. Aber beim Anmelden bei einer anderen Sparkasse B erschien wieder die 20-TAN-Maske.

Insofern 4 Fragen:

1) Wie werde ich den Schädling los?
2) Woher weiß ich, dass ich den Schädling garantiert los bin? Ist das Funktionieren von Google Chrome ein guter Indikator? (Die Bankkonten sind ja gesperrt, ich kann es dort nicht mehr testen, ohne den Zugang wieder freizuschalten).
3) Wie kann ich Daten sichern (es sind viele, die ich noch brauche)? Ist meine externe Festplatte auch unsicher?
4) Ist es bei diesem Trojaner wirklich nötig, alle Kennwörter zu ändern (Mail, FTP, etc.)?

Ich bin vorgegangen wie im Thread h**p://www.trojaner-board.de/91292-wie-mit-100-sicherheit-trojaner-loswerden.html beschrieben, aber das Ergebnis des OTL-Scans war nicht vergleichbar, daher habe ich den neuen Thread eröffnet.

OTL-Logs und 2 MBAM-Logs (vor und nach der Schädlingsbeseitigung) anbei.

Statistische Angaben:
• Lenovo/IBM
• Windows XP
• Computer hat einen Rescue&Recovery-Bereich auf einem versteckten Teil der Festplatte. Dort würde auch das Backup der Windows-Installation liegen. Ich hoffe, diesen Bereich muss ich nicht formatieren!
• Die OTL-Logs habe ich wie im o.g. Thread ausgeführt, allerdings – wie eigentlich für Vista/7 empfohlen – als Administrator, nicht unter der Nutzerkennung, unter der ich immer arbeite.

Bitte helft mir, dass ich endlich wieder arbeiten kann.

Alt 20.10.2010, 10:41   #2
Chris4You
 
20-TAN-Trojaner beseitigen - Standard

20-TAN-Trojaner beseitigen



Hi,

erstmal nur kurz:

Sofort alle Internetpasswörter (Ebay, Amazon etc.) von einem sauberen Rechner aus ändern. Es werden nicht nur TANs ausspioniert!

Work in progress... ;o)

chris
__________________

__________________

Geändert von Chris4You (20.10.2010 um 10:48 Uhr)

Alt 20.10.2010, 10:56   #3
Chris4You
 
20-TAN-Trojaner beseitigen - Standard

20-TAN-Trojaner beseitigen



Hi,

here we go...

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\WINDOWS\System32\notifyf2.dll
C:\WINDOWS\system32\cscruota.dll
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Datei hochladen:
http://www.trojaner-board.de/54791-a...ner-board.html
Folge den Anweisungen dort und lade die Datei:
Code:
ATTFilter
C:\WINDOWS\system32\cscruota.dll
         
hoch.


JAVA
Deine Javasoftware ist veraltet!
Download Java-Downloads für alle Betriebssysteme
Schliesse alle Programme auch Deinen Webbrowser
Über "Start -> Einstellungen -> Systemsteuerung -> Software
entferne alle älteren Versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus die neue Version!

Fix für OTL:
  • Doppelklick auf die OTL.exe, um das Programm auszuführen.
  • Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
  • Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code:
ATTFilter
:OTL
O20 - Winlogon\Notify\NavLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found
O36 - AppCertDlls: dvduqsvc - (C:\WINDOWS\system32\cscruota.dll) - C:\WINDOWS\system32\cscruota.dll ()
MsConfig - StartUpReg: a-squared Anti-Dialer - hkey= - key= - C:\Programme\a-squared Anti-Dialer\a2adguard.exe File not found

:reg
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
"DisableMonitoring" = dword:0x00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
"DisableMonitoring" = dword:0x00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
"DisableMonitoring" = dword:0x00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring" = dword:0x00
 

:Commands
[emptytemp]
[purity]
[EMPTYFLASH]
[Reboot]
         
  • Den roten Run Fixes! Button anklicken.
  • Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.
  • Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:
  • %systemroot%\_OTL

Was hast Du hier gemacht:
2010.10.18 08:54:45
Zu diesem Zeitpunkt erfolgt die Infektion!

Dr.Web:
http://www.trojaner-board.de/59299-a...eb-cureit.html
Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log.
Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn.
Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet.

chris
__________________
__________________

Alt 20.10.2010, 12:11   #4
johnmaynard
 
20-TAN-Trojaner beseitigen - Standard

20-TAN-Trojaner beseitigen



Erstmal herzlichen Dank für die schnelle Antwort!

Kennwörter sind geändert, über iPhone, das ist hoffentlich OK.
FTP-Zugänge sind wohl auch betroffen, schätze ich?

1) Ergebnis von Virustotal: s. Anhang. Die Notifyf2.dll war dort wohl schon bekannt, ich habe den Link zu dem bekannten Treffer eingegeben und das Ergebnis angehängt (PDF).

2) Ich hoffe, ich habe hier keinen Fehler gemacht. Ich wollte euch nicht mit Stückwerk belästigen, sondern alles in einem posten. Also habe ich alle Schritte wie empfohlen ausgeführt, inkl. OTL-Fix, und die Datei C:\WINDOWS\system32\cscruota.dll ist nun nicht mehr zu finden. "Umso besser" oder "gut gemeint und schlecht gemacht"?

3) Java ist upgedatet.

4) OTL-Log anbei (beim Fix wurde vermutlich die cscruota.dll gelöscht).

5) Was ich zu dem Zeitpunkt gemacht habe, kann ich nicht mehr sagen. Höchstwahrscheinlich war Google Chrome geöffnet (Standardbrowser). Ich habe ihn, weil er dann bald nicht mehr lief, aber mehrfach komplett gelöscht und wieder installiert, sodass der Cache und Verlauf gelöscht sind.

6) Vor Dr. Web warte ich noch auf dein Feedback - damit nicht noch einmal etwas ungewollt verschwindet.

Alt 20.10.2010, 13:22   #5
Chris4You
 
20-TAN-Trojaner beseitigen - Standard

20-TAN-Trojaner beseitigen



Hi,

die Datei befindet sich im Backupordner von OTL, daher bitte folgenden Ordner auf der Festplatte suchen, die Datei befindet sich in einem Unterverzeichnis (moved) C:\_OTL. Dann unbedingt wie beschrieben hochladen.

Nach dem Hochladen CureIT laufen lassen, der sollte sie finden und "endgültig" entsorgen...

Die Erkennungsrate ist misserabel (virustotal.com), daher werden wir die Datei an die Antivirenhersteller verschicken...

Dank&Gruß,
Chris

__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 20.10.2010, 13:42   #6
johnmaynard
 
20-TAN-Trojaner beseitigen - Standard

20-TAN-Trojaner beseitigen



Hi Chris,
habe die Datei gerade hochgeladen:
cscruota.dll

Ich führe gleich Dr. Web aus bzw. CureIT.

Ergebnis folgt gleich...

Alt 20.10.2010, 13:49   #7
Chris4You
 
20-TAN-Trojaner beseitigen - Standard

20-TAN-Trojaner beseitigen



Hi,

alter Optimist, Cureit brauch so seine Zeit (obwohl, die Festplatte ist eigentlich recht "klein")...
File ist unterwegs zu den AV-Herstellern... Thanxs...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Geändert von Chris4You (20.10.2010 um 13:55 Uhr)

Alt 20.10.2010, 14:04   #8
johnmaynard
 
20-TAN-Trojaner beseitigen - Standard

20-TAN-Trojaner beseitigen



Hi,
da hast du wohl Recht: es dauert noch...

Schonmal zwischendurch: bin echt froh, dass es euch gibt!

Kannst du mir noch Tipps geben zu diesen Fragen:
1) muss ich alle FTP Kennwörter ändern? (Dreamweaver, Filezilla)
2) Ist die externe Festplatte (letzte Sicherung gestern) eine Gefahr?

Alt 20.10.2010, 17:15   #9
johnmaynard
 
20-TAN-Trojaner beseitigen - Standard

20-TAN-Trojaner beseitigen



Dr Web fand keine Viren, aber:
"Die Hosts-Datei wurde modifiziert. Das Betriebssystem Windows verwendet die Hosts-Datei, um textuelle Hostnamen in IP-Adressen umzuwandeln. Modifizierungen der Hosts-Datei sind eventuell auf Malware zurückzuführen. Möchten Sie die Default-Hosts-Datei wiederherstellen? Eine Kopie der bestehenden Hosts-Datei wird im Dr. Web Quarantäneverzeichnis gespeichert. Ja/Nein"

Ich schätze: JA?

Alt 20.10.2010, 18:48   #10
Chris4You
 
20-TAN-Trojaner beseitigen - Standard

20-TAN-Trojaner beseitigen



Hi,

die Hostsdatei ist okay, wenn Du sie ersetzen lässt geht Dir der Eintrag:
O1 - Hosts: 127.0.01 activate.adobe.com
verloren.... Hmmm... das sieht nach einer nicht registrierten Adobe-Lizenz aus...

Was wurde gesichert, wenn das Betriebssystem mitgesichert wurde, dann ist Dein Banker mit drauf und wird beim Zurückspielen wieder quicklebendig, daher ev. eine neue Sicherung machen...

Die ftp-Pwd würde ich ebenfalls ändern, momentan ist uns bekannt, das Ebay mit gefischt wird.. ;o)

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 20.10.2010, 19:04   #11
johnmaynard
 
20-TAN-Trojaner beseitigen - Standard

20-TAN-Trojaner beseitigen



Hmm, als ich auf JA geklickt habe hat sich Dr. Web aufgehängt.

Ich lasse ihn besser nochmal scannen, oder?

Auf der externen Festplatte ist alles drauf, aber auch frühere Dateien. Kann ich nicht den Windows-Ordner dort löschen, im abgesicherten Modus? Den Ordner hatte ich "sicherheitshalber" auch gesichert, weil ich mit Format c gerechnet hatte, aber wenn das nicht nötig ist, brauche ich ihn ja nicht.

Alt 20.10.2010, 19:07   #12
johnmaynard
 
20-TAN-Trojaner beseitigen - Standard

20-TAN-Trojaner beseitigen



PS: Die Adobe-Lizenz ist original, aber nicht registriert.

Alt 20.10.2010, 19:29   #13
johnmaynard
 
20-TAN-Trojaner beseitigen - Standard

20-TAN-Trojaner beseitigen



So, Computer läuft, Adobe läuft, und sogar Chrome ließ sich wieder installieren (das ging ja seit dem Trojaner nicht mehr).
Ob das Banking auch klappt, poste ich hier, wenn ich den Account wieder aktiviert habe (dauert also noch etwas wegen "Snail-Mail"-Fax und so).

Wenn du noch kurz meinen USB-Festplatten-Vorschlag kommentieren würdest, hast du meinen Tag vollends gerettet!

Ganz herzlichen Dank nochmals!!! Auch fürs Weitergeben der Datei an die Anti-Viren-Software-Hersteller, so kann dieser Aufwand hoffentlich vielen erspart bleiben!

Alt 22.10.2010, 06:57   #14
Chris4You
 
20-TAN-Trojaner beseitigen - Standard

20-TAN-Trojaner beseitigen



Hi,

den Ordner kannst Du auch so löschen, nur keine Programme aus dem USB-Festplatten-Windowsordner ausführen.

Außerdem solltest Du ein "richtiges" Backup machen, ev. hiermit:
Paragon Backup & Recovery Free Edition - Das Produkt

Das Einfache kopieren von Systemordnern funktioniert normalerweise nicht, wenn Windows selbst läuft, das zurückspielen schon gleich gar nicht...
Das braucht man die Volumenschattenkopie, wie sie von Backupprogrammen genutzt wird...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 03.11.2010, 13:37   #15
johnmaynard
 
20-TAN-Trojaner beseitigen - Standard

20-TAN-Trojaner beseitigen



Es scheint alles wieder OK zu sein.

Herzlichen Dank nochmals!!!!

Antwort

Themen zu 20-TAN-Trojaner beseitigen
administrator, anmelden, antivir, brauche, daten sichern, e-banking, ergebnis, externe festplatte, festplatte, foren, formatieren, frage, ftp, gesperrt, google, google chrome, kennwörter, löschen, mail, malwarebytes, neue, nicht mehr, online-banking, scan, sparkasse, versteckte, virus, wörter, ändern



Ähnliche Themen: 20-TAN-Trojaner beseitigen


  1. BKA-Trojaner mit Systemwiederherstellung beseitigen?
    Plagegeister aller Art und deren Bekämpfung - 21.07.2013 (17)
  2. GVU Trojaner vollständig beseitigen (Win7)
    Plagegeister aller Art und deren Bekämpfung - 11.06.2013 (11)
  3. Bka Trojaner 2.11 Befall beseitigen ?
    Plagegeister aller Art und deren Bekämpfung - 14.03.2013 (21)
  4. Trojaner (Bundespolzei) restlos beseitigen
    Log-Analyse und Auswertung - 24.02.2013 (6)
  5. GVU Trojaner komplett beseitigen
    Log-Analyse und Auswertung - 31.12.2012 (16)
  6. GVU Trojaner komplett beseitigen
    Log-Analyse und Auswertung - 30.12.2012 (1)
  7. Polizeit Trojaner beseitigen?
    Log-Analyse und Auswertung - 05.11.2012 (5)
  8. Bundespolizei Trojaner - Wie beseitigen?
    Plagegeister aller Art und deren Bekämpfung - 07.10.2012 (13)
  9. (2x) Bundespolizei-Trojaner endgültig beseitigen
    Mülltonne - 04.09.2012 (1)
  10. BKA-Trojaner beseitigen
    Plagegeister aller Art und deren Bekämpfung - 10.08.2012 (11)
  11. S.M.A.R.T. HDD Trojaner - Wie genau beseitigen?
    Log-Analyse und Auswertung - 29.06.2012 (1)
  12. Windows Verschlüsselungs-Trojaner vom 21.06.12 beseitigen
    Plagegeister aller Art und deren Bekämpfung - 26.06.2012 (3)
  13. Trojaner beseitigen
    Log-Analyse und Auswertung - 02.01.2012 (6)
  14. BKA Trojaner - Wie beseitigen? (2)
    Plagegeister aller Art und deren Bekämpfung - 10.06.2011 (13)
  15. BKA Trojaner - Wie beseitigen?
    Plagegeister aller Art und deren Bekämpfung - 16.04.2011 (19)
  16. Trojaner aufspüren und ggf beseitigen
    Plagegeister aller Art und deren Bekämpfung - 18.08.2008 (1)
  17. Trojaner beseitigen
    Plagegeister aller Art und deren Bekämpfung - 25.01.2007 (1)

Zum Thema 20-TAN-Trojaner beseitigen - Liebes Trojaner-Board-Team, ich bitte euch um Hilfe! Offenbar habe ich mir den 20-TAN-Trojaner eingefangen. Zunächst funktionierte vorgestern Google Chrome nicht mehr (nur noch mit dem „Trick“ –no-sandbox), was laut Foren - 20-TAN-Trojaner beseitigen...
Archiv
Du betrachtest: 20-TAN-Trojaner beseitigen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.