|
Plagegeister aller Art und deren Bekämpfung: Deutsche Bank 28-TAN-Tableau-Abfrage nach LoginWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
18.11.2010, 14:20 | #32 |
| Deutsche Bank 28-TAN-Tableau-Abfrage nach Login Unglaublich, GMER scheint im x-ten Anlauf (abgesicherter Modus, Norton deinstalliert) tatsächlich durchgelaufen zu sein
__________________Anbei das Logfile: Code:
ATTFilter GMER 1.0.15.15530 - hxxp://www.gmer.net Rootkit scan 2010-11-18 14:05:52 Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-17 ST3250824AS rev.3.AAE Running: 6e31ju8l.exe; Driver: C:\DOKUME~1\***\LOKALE~1\Temp\pwtdapow.sys ---- Disk sectors - GMER 1.0.15 ---- Disk \Device\Harddisk0\DR0 sector 01: copy of MBR Disk \Device\Harddisk0\DR0 sector 02: copy of MBR Disk \Device\Harddisk0\DR0 sector 03: copy of MBR Disk \Device\Harddisk0\DR0 sector 04: copy of MBR Disk \Device\Harddisk0\DR0 sector 05: copy of MBR Disk \Device\Harddisk0\DR0 sector 06: copy of MBR Disk \Device\Harddisk0\DR0 sector 07: copy of MBR Disk \Device\Harddisk0\DR0 sector 08: copy of MBR Disk \Device\Harddisk0\DR0 sector 09: copy of MBR Disk \Device\Harddisk0\DR0 sector 10: copy of MBR Disk \Device\Harddisk0\DR0 sector 11: copy of MBR Disk \Device\Harddisk0\DR0 sector 12: copy of MBR Disk \Device\Harddisk0\DR0 sector 13: copy of MBR Disk \Device\Harddisk0\DR0 sector 14: copy of MBR Disk \Device\Harddisk0\DR0 sector 15: copy of MBR Disk \Device\Harddisk0\DR0 sector 16: copy of MBR Disk \Device\Harddisk0\DR0 sector 17: copy of MBR Disk \Device\Harddisk0\DR0 sector 18: copy of MBR Disk \Device\Harddisk0\DR0 sector 19: copy of MBR Disk \Device\Harddisk0\DR0 sector 20: copy of MBR Disk \Device\Harddisk0\DR0 sector 21: copy of MBR Disk \Device\Harddisk0\DR0 sector 22: copy of MBR Disk \Device\Harddisk0\DR0 sector 23: copy of MBR Disk \Device\Harddisk0\DR0 sector 24: copy of MBR Disk \Device\Harddisk0\DR0 sector 25: copy of MBR Disk \Device\Harddisk0\DR0 sector 26: copy of MBR Disk \Device\Harddisk0\DR0 sector 27: copy of MBR Disk \Device\Harddisk0\DR0 sector 28: copy of MBR Disk \Device\Harddisk0\DR0 sector 29: copy of MBR Disk \Device\Harddisk0\DR0 sector 30: copy of MBR Disk \Device\Harddisk0\DR0 sector 31: copy of MBR Disk \Device\Harddisk0\DR0 sector 32: rootkit-like behavior; copy of MBR Disk \Device\Harddisk0\DR0 sector 33: rootkit-like behavior; copy of MBR Disk \Device\Harddisk0\DR0 sector 34: copy of MBR Disk \Device\Harddisk0\DR0 sector 35: copy of MBR Disk \Device\Harddisk0\DR0 sector 36: copy of MBR Disk \Device\Harddisk0\DR0 sector 37: copy of MBR Disk \Device\Harddisk0\DR0 sector 38: copy of MBR Disk \Device\Harddisk0\DR0 sector 39: copy of MBR Disk \Device\Harddisk0\DR0 sector 40: copy of MBR Disk \Device\Harddisk0\DR0 sector 41: copy of MBR Disk \Device\Harddisk0\DR0 sector 42: copy of MBR Disk \Device\Harddisk0\DR0 sector 43: copy of MBR Disk \Device\Harddisk0\DR0 sector 44: copy of MBR Disk \Device\Harddisk0\DR0 sector 45: copy of MBR Disk \Device\Harddisk0\DR0 sector 46: copy of MBR Disk \Device\Harddisk0\DR0 sector 47: copy of MBR Disk \Device\Harddisk0\DR0 sector 48: copy of MBR Disk \Device\Harddisk0\DR0 sector 49: copy of MBR Disk \Device\Harddisk0\DR0 sector 50: copy of MBR Disk \Device\Harddisk0\DR0 sector 51: copy of MBR Disk \Device\Harddisk0\DR0 sector 52: copy of MBR Disk \Device\Harddisk0\DR0 sector 53: copy of MBR Disk \Device\Harddisk0\DR0 sector 54: copy of MBR Disk \Device\Harddisk0\DR0 sector 55: copy of MBR Disk \Device\Harddisk0\DR0 sector 56: copy of MBR Disk \Device\Harddisk0\DR0 sector 57: copy of MBR Disk \Device\Harddisk0\DR0 sector 58: copy of MBR Disk \Device\Harddisk0\DR0 sector 59: copy of MBR Disk \Device\Harddisk0\DR0 sector 60: copy of MBR Disk \Device\Harddisk0\DR0 sector 61: copy of MBR Disk \Device\Harddisk0\DR0 sector 62: rootkit-like behavior; copy of MBR Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR ---- EOF - GMER 1.0.15 ---- |
18.11.2010, 19:18 | #33 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Deutsche Bank 28-TAN-Tableau-Abfrage nach Login Also die Einträge von GMER deuten noch auf einen MBR-Rootkit hin, obwohl wir den mittels Wiederherstellungskonsole gefixt haben. Normalerweise wird der allererste Sektor als "sector 00" bezeichnet, dass der nicht befallen ist also von GMER bemängelt wird, könnte ein Hinweis auf ein erfolgreiches Fixen des MBR sein. Aber sicher bin ich mir da leider nicht.
__________________Könnten wir mal mittels einer Linux-Live-CD die betroffenen Sektoren auslesen lassen? Traust Du Dir das zu? So schwierig ist der Befehl auch nicht... Ist der Rechner noch auffällig auch was die Performance angeht im normalen Modus?
__________________ |
18.11.2010, 19:26 | #34 | ||
| Deutsche Bank 28-TAN-Tableau-Abfrage nach LoginZitat:
Zitat:
|
19.11.2010, 18:53 | #35 |
| Deutsche Bank 28-TAN-Tableau-Abfrage nach Login Linux-Live-CD: Was hätte ich zu tun? Müssen wir dazu parallel online sein? |
19.11.2010, 19:12 | #36 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Deutsche Bank 28-TAN-Tableau-Abfrage nach Login Ich befürchte mit Linux und em was ich zuerst vor hatte, wird das etwas zu heikel machen wir erstmal das: Von GMER gibt es ein spezielles Tool um den MBR (Master Boot Record) zu prüfen, der MBR wird zB auch vom Sinowal manipuliert. Die MBR.exe sollte aus der Konsole ausgeführt werden, also zB so: Die mbr.exe liegt direkt auf C:, dann öffnest Du über Start, Ausführen cmd.exe (schwarze Konsole öffnet sich) und dort tippst Du ein: c:\mbr.exe -f Und bestätigst mit Enter. Die Logdatei vom MBR-Tool findest Du im gleichen Pfad, von der die mbr.exe ausgeführt wurde, im obigen Beispiel c:\mbr.log - das bitte öffnen und den Inhalt hier posten.
__________________ --> Deutsche Bank 28-TAN-Tableau-Abfrage nach Login |
19.11.2010, 19:25 | #37 | |
| Deutsche Bank 28-TAN-Tableau-Abfrage nach LoginZitat:
Wenn Dir irgendwann nix mehr zu meinem PC einfällt, gib einfach Bescheid. Du hast mir auch so schon extrem geholfen! Code:
ATTFilter Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net Windows 5.1.2600 Disk: ST3250824AS rev.3.AAE -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-17 device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK |
19.11.2010, 20:30 | #38 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Deutsche Bank 28-TAN-Tableau-Abfrage nach Login So...der MBR ist auf jeden Fall ok. Lässt sich im Taskmanager nachvollziehen warum das System so langsam ist? Was sagt die CPU- und Speicherauslastung?
__________________ Logfiles bitte immer in CODE-Tags posten |
21.11.2010, 18:15 | #39 |
| Deutsche Bank 28-TAN-Tableau-Abfrage nach Login Systemleistung nach dem Hochfahren (nur Firefox als Anwendung offen): CPU-Auslastung schwankt zwischen 1 und 5% (Wenn ich Norton installiert habe, ist die CPU-Auslastung deutlich höher, so um 10 bis 20%) Auslagerungsdatei 364 MB Handles 8641 Threads 414 Prozesse 42 Physikalischer Speicher 1.046.956 (insgesamt) 522.808 (verfügbar) 309.184 (Systemcache) Zugesicherter Speicher 373.096 (insgesamt) 2.519.524 (Grenzwert) 639.816 (Maximalwert) Kernel-Speicher 58.452 (insgesamt) 47.792 (Ausgelagert) 10.596 (Nicht ausgelagert) Hier die Liste aller angezeigten Prozesse im Task-Manager: Prozess / Benutzername (*** = privater Nutzer) / Speicherauslastung (in Tsd. K) ------------------------------------------------------------------- firefox *** 130 RTHDCPL *** 21 explorer *** 20 PCMService *** 13 CmUCREye *** 4 CNYHKey *** 14 MdionLCM *** 5 mHotkey *** 5 plugin-container *** 14 taskmgr *** 5 acrotray *** 3 wmpnscfg *** 4 RaUI *** 6 wscntfy *** 2 scvhost LOKALER DIENST 7 svchost LOKALER DIENST 4 alg LOKALER DIENST 4 svchost NETZWERKDIENST 4 svchost NETZWERKDIENST 4 wmpnetwk NETZWERKDIENST 8 Leerlaufprozess SYSTEM 0 System SYSTEM 0 watchdog SYSTEM 4 smss SYSTEM 0 CLSched SYSTEM 6 csrss SYSTEM 4 winlogon SYSTEM 2 services SYSTEM 4 lsass SYSTEM 7 svchost SYSTEM 5 svchost SYSTEM 31 spoolsv SYSTEM 6 X10nets SYSTEM 5 CLCapSvc SYSTEM 12 CLMLServer SYSTEM 9 dptimersvc SYSTEM 3 svchost SYSTEM 4 LSSrvc SYSTEM 2 mdm SYSTEM 3 nvsvc32 SYSTEM 4 RichVideo SYSTEM 3 wmiprvse SYSTEM 5 Was ich nicht verstehe: Windows-Sicherheitscenter meldet, dass ein Virenschutzprogramm aktiv und auf dem neuesten Stand ist. Ich habe aber derzeit gar keines (wissentlich) installiert. Kann da noch irgend etwas im Hintergrund laufen? Luhh |
21.11.2010, 18:52 | #40 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Deutsche Bank 28-TAN-Tableau-Abfrage nach Login Wahrscheinlich wurde im Sicherheitscenter der Virenscanner nicht sauber abgemeldet. Die Werte sind aber soweit IMHO ok. Das hast du schon beachtet und umgesetzt? => http://www.trojaner-board.de/71631-p...samer-tun.html
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Deutsche Bank 28-TAN-Tableau-Abfrage nach Login |
0x00000001, acroiehelpe.dll, adblock, alternate, appconf32.exe, bonjour, browser, components, desktop, deutsche bank, e-banking, error, firefox, firefox.exe, flash player, format, free download, google, helper, home, hängen, install.exe, installation, intrusion prevention, location, logfile, mozilla, msvcp90.dll, nach login, oldtimer, otl logfile, otl scan, otl.exe, plug-in, problem, realtek, registry, rundll, saver, scan, searchplugins, security, shell32.dll, skype.exe, software, stolen.data, symantec, system, system restore, trojan.zbotr.gen, usb, windows internet, wireless lan, wiso, xmldm |