Guten Abend Community,

soeben habe ich bestätigt bekommen, dass ein Trojanerangriff auf eines meiner Konten erfolgte, es daher von der Bank gesperrt wurde. Heute mittag hatte ich bereits ein Thema auf Trojaner-board eröffnet, darin sind Malwarebyte-Scan-Ergebnisse und Avira-Report enthalten, aber da wusste ich nichts von Trojanern und der Kontosperrung, daher setze ich noch eine weitere Anfrage ein.

Auf Hinweis des Bankmitarbeiters habe ich nochmals Malwarebytes-Anti-Malware scannen lassen, dabei wurde nichts weiteres gefunden, dafür hat Avira Neues ausmachen können.

Wenn ich jetzt Trojaner-Board-Seiten lese oder was beliebiges im Netz per Opera lese, geht auf einmal Google in einem neuen Reiter auf. Kurz vor Google-Öffnung war etwas mit „Christian“ zu lesen – das hatte ich bisher noch nicht. Auch kann man kurzzeitig bei der ständigen Umleitung auf Ask.com oder gomeo.net während Google-Suche die darunter liegende Adresse oder was auch immer es ist sehen.

Ich weiß absolut nicht, wie ich mich verhalten soll. Ich habe noch weitere Konten, die ich mit Online-Banking bearbeite, soll ich diese nun alle sperren lassen? Dann käme ich an kein Geld mehr oder kann man normal abheben? Auch bin ich darauf angewiesen, jeden Tag mehrfach die Konten nach Geldeingang zu checken, da ich auf verschiedenen Handels-Plattformen arbeite. Ich solle zur Zeit keine dieser Seiten aufrufen, meine Existenz hängt jedoch davon ab. Ich weiß nicht, woran ich sehe, ob noch Gefahren vorhanden sind.
Muss ich die Festplatte löschen? Ich habe gar keine Software zur Verfügung, allmählich kommt echte Verzweiflung auf.

Vielleicht kann mir ja doch noch jemand behilflich sein – vielen Dank.

Hier ein aktueller Avira-Report:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 20. Oktober 2010 18:27

Es wird nach 2953301 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : CHANGEME

Versionsinformationen:
BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 19.11.2009 14:39:18
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 08:34:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 08:05:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 07:11:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 14:39:17
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 15:04:34
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:49:21
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 16:21:24
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 20:45:18
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 22:36:17
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 09:11:10
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 17:29:17
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 19:45:53
VBASE009.VDF : 7.10.11.134 2048 Bytes 13.09.2010 19:45:53
VBASE010.VDF : 7.10.11.135 2048 Bytes 13.09.2010 19:45:53
VBASE011.VDF : 7.10.11.136 2048 Bytes 13.09.2010 19:45:53
VBASE012.VDF : 7.10.11.137 2048 Bytes 13.09.2010 19:45:53
VBASE013.VDF : 7.10.11.165 172032 Bytes 15.09.2010 19:43:46
VBASE014.VDF : 7.10.11.202 144384 Bytes 18.09.2010 19:43:49
VBASE015.VDF : 7.10.11.231 129024 Bytes 21.09.2010 19:43:51
VBASE016.VDF : 7.10.12.4 126464 Bytes 23.09.2010 20:20:51
VBASE017.VDF : 7.10.12.38 146944 Bytes 27.09.2010 11:08:23
VBASE018.VDF : 7.10.12.64 133120 Bytes 29.09.2010 15:28:31
VBASE019.VDF : 7.10.12.99 134144 Bytes 01.10.2010 17:46:37
VBASE020.VDF : 7.10.12.122 131584 Bytes 05.10.2010 17:46:39
VBASE021.VDF : 7.10.12.148 119296 Bytes 07.10.2010 17:46:42
VBASE022.VDF : 7.10.12.175 142848 Bytes 11.10.2010 18:34:52
VBASE023.VDF : 7.10.12.198 131584 Bytes 13.10.2010 18:34:53
VBASE024.VDF : 7.10.12.216 133120 Bytes 14.10.2010 18:34:55
VBASE025.VDF : 7.10.12.238 137728 Bytes 18.10.2010 18:34:58
VBASE026.VDF : 7.10.12.239 2048 Bytes 18.10.2010 18:34:58
VBASE027.VDF : 7.10.12.240 2048 Bytes 18.10.2010 18:34:58
VBASE028.VDF : 7.10.12.241 2048 Bytes 18.10.2010 18:34:58
VBASE029.VDF : 7.10.12.242 2048 Bytes 18.10.2010 18:34:58
VBASE030.VDF : 7.10.12.243 2048 Bytes 18.10.2010 18:34:58
VBASE031.VDF : 7.10.12.252 128000 Bytes 19.10.2010 18:34:59
Engineversion : 8.2.4.82
AEVDF.DLL : 8.1.2.1 106868 Bytes 29.07.2010 18:20:47
AESCRIPT.DLL : 8.1.3.45 1368443 Bytes 17.09.2010 19:44:05
AESCN.DLL : 8.1.6.1 127347 Bytes 12.05.2010 19:57:48
AESBX.DLL : 8.1.3.1 254324 Bytes 23.04.2010 19:47:23
AERDL.DLL : 8.1.9.2 635252 Bytes 21.09.2010 19:43:52
AEPACK.DLL : 8.2.3.11 471416 Bytes 11.10.2010 18:35:03
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 22.07.2010 17:18:05
AEHEUR.DLL : 8.1.2.35 2961784 Bytes 15.10.2010 18:34:58
AEHELP.DLL : 8.1.14.0 246134 Bytes 11.10.2010 18:34:54
AEGEN.DLL : 8.1.3.23 401779 Bytes 01.10.2010 15:41:45
AEEMU.DLL : 8.1.2.0 393588 Bytes 23.04.2010 19:47:21
AECORE.DLL : 8.1.17.0 196982 Bytes 24.09.2010 20:20:51
AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 19:47:21
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 05:17:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 18.10.2009 16:03:13
AVREP.DLL : 8.0.0.7 159784 Bytes 18.02.2010 17:22:32
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 11:55:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 11:35:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 07:07:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 11:33:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 04:51:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 12:11:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 12:05:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 19.11.2009 14:39:17

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Mittwoch, 20. Oktober 2010 18:27

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '66614' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhAutoRun.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACDaemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '36' Prozesse mit '36' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '53' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\62\3e5023fe-7b0247f0
[0] Archivtyp: ZIP
--> a0ee3d65141.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.EX
--> a4cb9b1a8a5.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.EY
--> a66d578f084.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.EZ
--> aa79d1019d8.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.FB
--> ab16db71cdc.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.FH
--> ab5601d4848.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.FI
--> ae28546890f.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.FJ
--> af439f03798.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.FK
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\7\4b969c7-61a38702
[0] Archivtyp: ZIP
--> JavaUpdateManager.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.AJ.4
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\62\3e5023fe-7b0247f0
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cf422bf.qua' verschoben!
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\7\4b969c7-61a38702
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cf822bd.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 20. Oktober 2010 19:09
Benötigte Zeit: 31:41 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

7437 Verzeichnisse wurden überprüft
373284 Dateien wurden geprüft
9 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
373272 Dateien ohne Befall
3518 Archive wurden durchsucht
3 Warnungen
4 Hinweise
66614 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten

meinen Beitrag gelöscht, da das Thema bearbeitet wurde...
ansonsten Tipps von mir:
Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus
- Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, aber auch die PIN für das Online-Banking) sofort ändern (► am besten von einem anderen, nicht-infizierten Rechner aus! ) oder/und sperren lassen, da ein Angreifer die Passwörter z.B. verwenden kann, um erneut in das abgesicherte System einzudringen oder mit der Identität des Nutzers Transaktionen im Internet auszuführen

Hi,

ändere sofort von einem sauberen Rechner aus deine Internetpasswörter (Ebay, Amazon etc.). Die werden mit "gefischt"...

-Doppelpost-

Folge den Anweisungen von Coverflow, äh nein den von markusg...

chris&out
Ps: ) wow, ein dreifachpost hatte ich bisher noch nie ;o)

hehe
das nennt man service am kunden

Hallo markusg

ich habe seit 20 Uhr mehrfach versucht, eine Antwort abzusetzen. Leider hat mich keiner der Server gelassen. Mozilla, Explorer und Opera haben sofort bei Betätigung des Antworten-Buttons dicht gemacht - immer schön nachdem ich die Mail fertig hatte. Mozilla und Opera haben mich dann nicht mehr auf diese Website hier gelassen und bei Explorer brauchte ich nur das Wort Trojaner eingeben, da wurde ich bereits umgeleitet.

Nun erst mal besten Dank für die schnelle Meldung heute abend, ich hatte so flott gar nicht damit gerechnet. Ich habe die Anweisungen genau befolgt und nun sind die beiden Reports auf dem infizierten Rechner. Ich hatte zum Glück noch eine (alte Möhre) im Umzugskarton. Er ist nicht der schnellste und mit Windows2000professionell belegt, aber dadurch habe ich jetzt die wichtigsten Passwörter beim Onlinebanking etc. ändern können. Muss ich auch die Passwörter für meine E-Mail-Adresseb ändern? Die OTL-Reports habe ich zunächst in einem Schreibprogramm gespeichert, sie sind also verfügbar. Nun weiß ich nicht: Kann ich mir selbst eine Mail (beispielsweise mit diesen Reports) vom infizierten Rechner auf den anderen schicken und in Opera öffnen oder kann da etwas unfreundliches "mitkommen"? Sollte ich überhaupt auf diesem Rechner hier Opera öffnen? Dieser alte Rechner hier war über 1 Jahr nicht in Betrieb, natürlich weiß ich auch hier nicht genau, ob nicht irgendwas virenmäßiges drauf ist, aber ich hatte zuvor nie Schwierigkeiten, superselten mal einen Fund per Avira.

Freundliche Grüße
DB

hallo chris4you,

danke für den hinweis, ich habe noch gestern abend alle passwörter geändert, habe einen alten rechner drangesteckt, das ging erst mal. darf ich von dem infizierten rechner auf den sauberen e-mails schicken und in opera öffnen oder ist es gefährlich, ich weiß sonst nicht wie ich die reports an trojaner-board markusg senden soll, da der infizierte rechner keine e-mail auf keinem browser an trojaner-board zulässt.
und was meintest du mit dem dreifachpost - das habe ich nicht kapiert.
sonst auf jeden fall erst mal besten dank für die hilfe!

freundliche grüße
db

Hi,

nun, drei Helfer haben gleichzeitig gepostet,das ist der "dreifachpost" gewesen ;o)...

Email sollte ungefährlich sein, solange keine Grafiken eingebettet sind und keine Anhänge geöffnet werden...

Alles weitere wir Dir markusg sagen, Ihm "gehört" der Thread....

Auf jeden Fall brauche wir die Logs...

Du kannst sie auch hier hochladen:
http://www.file-upload.net/, hochladen und den Link hier posten und den
Löschlink als "PrivateMail" an markusg...
Das sollte auch vom infizierten Rechner aus gehen!

chris

Hallo Chris,

sorry, aber ich weiß jetzt nicht mehr weiter. Seit vorgestern warte ich auf die Weiterführung des Threads, aber markusg ist nicht mehr online gewesen. Bis gestern hatte ich noch einen weiteren Rechner zu Verfügung, dieser hat sich heute beim Hochfahren mit "Das ACPI-BIOS in diesem System ist nicht vollständig mit ACPI- Spezifikation konform. Sie können beim Hersteller ein aktualisiertes BIOS anforden oder die Website hxxp://www.hardware-update.com....." verabschiedet, ich komme dort mit keiner Taste weiter, nichtmal das BIOS lässt sich noch aktivieren, alles scheint tot.
Mache ich hier beim posten was verkehrt? Meine Fragen erscheinen ja als Antworten. Hast Du vielleicht eine Idee wie ich mich verhalten soll bzw. was ich jetzt tun kann, ich will ja hier niemandem auf den Schlips treten oderdränglen. Die Nichtfunktionalität der Rechner gefährdet derzeit unsere Existenz.
Freundliche Grüße
die Danie

Hi,

entweder
http://www.trojaner-board.de/72623-e...thread-42.html
oder markus direkt per pm "ansprechen"...

Versuche irgendwie die Logs hochzuladen und den Link zu posten...

Ich denke markus wird sich bald melden, wenn nicht komme nochmal auf mich zu...

chris

mein computer war kaputt es tut mir wirklich leid!
teile die logs mal auf und dann gehts bestimmt.