Deutsche Bank 28-TAN-Tableau-Abfrage nach Login

cosinus · 15.11.2010, 21:30

Norton deinstalliert? Probier es mit GMER auch nochmal im abgesicherten Modus von Windows.

Luhh · 18.11.2010, 14:20

Unglaublich, GMER scheint im x-ten Anlauf (abgesicherter Modus, Norton deinstalliert) tatsächlich durchgelaufen zu sein

Anbei das Logfile:

Code:

ATTFilter

GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2010-11-18 14:05:52
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-17 ST3250824AS rev.3.AAE
Running: 6e31ju8l.exe; Driver: C:\DOKUME~1\***\LOKALE~1\Temp\pwtdapow.sys


---- Disk sectors - GMER 1.0.15 ----

Disk  \Device\Harddisk0\DR0  sector 01: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 02: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 03: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 04: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 05: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 06: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 07: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 08: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 09: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 10: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 11: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 12: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 13: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 14: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 15: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 16: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 17: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 18: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 19: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 20: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 21: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 22: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 23: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 24: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 25: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 26: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 27: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 28: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 29: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 30: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 31: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 32: rootkit-like behavior; copy of MBR
Disk  \Device\Harddisk0\DR0  sector 33: rootkit-like behavior; copy of MBR
Disk  \Device\Harddisk0\DR0  sector 34: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 35: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 36: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 37: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 38: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 39: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 40: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 41: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 42: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 43: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 44: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 45: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 46: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 47: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 48: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 49: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 50: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 51: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 52: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 53: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 54: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 55: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 56: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 57: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 58: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 59: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 60: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 61: copy of MBR
Disk  \Device\Harddisk0\DR0  sector 62: rootkit-like behavior; copy of MBR
Disk  \Device\Harddisk0\DR0  sector 63: rootkit-like behavior; copy of MBR

---- EOF - GMER 1.0.15 ----

cosinus · 18.11.2010, 19:18

Also die Einträge von GMER deuten noch auf einen MBR-Rootkit hin, obwohl wir den mittels Wiederherstellungskonsole gefixt haben. Normalerweise wird der allererste Sektor als "sector 00" bezeichnet, dass der nicht befallen ist also von GMER bemängelt wird, könnte ein Hinweis auf ein erfolgreiches Fixen des MBR sein. Aber sicher bin ich mir da leider nicht.

Könnten wir mal mittels einer Linux-Live-CD die betroffenen Sektoren auslesen lassen? Traust Du Dir das zu?

So schwierig ist der Befehl auch nicht...

Ist der Rechner noch auffällig auch was die Performance angeht im normalen Modus?

Luhh · 18.11.2010, 19:26

Zitat:

Könnten wir mal mittels einer Linux-Live-CD die betroffenen Sektoren auslesen lassen? Traust Du Dir das zu?

Einen Plan von der Sache habe ich nicht. Aber wenn Du mir genau sagst, was ich machen muss ...

Zitat:

Ist der Rechner noch auffällig auch was die Performance angeht im normalen Modus?

Funktionieren tut alles, aber es geht weiterhin alles deutlich langsamer als vor der Bereinigung. Fühlt sich an wie verstopft.

Luhh · 19.11.2010, 18:53

Linux-Live-CD: Was hätte ich zu tun? Müssen wir dazu parallel online sein?

cosinus · 19.11.2010, 19:12

Ich befürchte mit Linux und em was ich zuerst vor hatte, wird das etwas zu heikel

machen wir erstmal das:

Von GMER gibt es ein spezielles Tool um den MBR (Master Boot Record) zu prüfen, der MBR wird zB auch vom Sinowal manipuliert.

Die MBR.exe sollte aus der Konsole ausgeführt werden, also zB so: Die mbr.exe liegt direkt auf C:, dann öffnest Du über Start, Ausführen cmd.exe (schwarze Konsole öffnet sich) und dort tippst Du ein:

c:\mbr.exe -f

Und bestätigst mit Enter. Die Logdatei vom MBR-Tool findest Du im gleichen Pfad, von der die mbr.exe ausgeführt wurde, im obigen Beispiel c:\mbr.log - das bitte öffnen und den Inhalt hier posten.

Luhh · 19.11.2010, 19:25

Zitat:

Ich befürchte mit Linux und em was ich zuerst vor hatte, wird das etwas zu heikel

Einverstanden! Der PC ist lahm, aber es läuft alles. Insofern bin ich auch dafür, auf mögliche Killerkeulen zu verzichten.

Wenn Dir irgendwann nix mehr zu meinem PC einfällt, gib einfach Bescheid. Du hast mir auch so schon extrem geholfen!

Code:

ATTFilter

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net
Windows 5.1.2600 Disk: ST3250824AS rev.3.AAE -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-17 

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

cosinus · 19.11.2010, 20:30

So...der MBR ist auf jeden Fall ok.
Lässt sich im Taskmanager nachvollziehen warum das System so langsam ist? Was sagt die CPU- und Speicherauslastung?

Luhh · 21.11.2010, 18:15

Systemleistung nach dem Hochfahren (nur Firefox als Anwendung offen):

CPU-Auslastung schwankt zwischen 1 und 5% (Wenn ich Norton installiert habe, ist die CPU-Auslastung deutlich höher, so um 10 bis 20%)
Auslagerungsdatei 364 MB
Handles 8641
Threads 414
Prozesse 42
Physikalischer Speicher 1.046.956 (insgesamt) 522.808 (verfügbar) 309.184 (Systemcache)
Zugesicherter Speicher 373.096 (insgesamt) 2.519.524 (Grenzwert) 639.816 (Maximalwert)
Kernel-Speicher 58.452 (insgesamt) 47.792 (Ausgelagert) 10.596 (Nicht ausgelagert)

Hier die Liste aller angezeigten Prozesse im Task-Manager:

Prozess / Benutzername (*** = privater Nutzer) / Speicherauslastung (in Tsd. K)
-------------------------------------------------------------------
firefox *** 130
RTHDCPL *** 21
explorer *** 20
PCMService *** 13
CmUCREye *** 4
CNYHKey *** 14
MdionLCM *** 5
mHotkey *** 5
plugin-container *** 14
taskmgr *** 5
acrotray *** 3
wmpnscfg *** 4
RaUI *** 6
wscntfy *** 2
scvhost LOKALER DIENST 7
svchost LOKALER DIENST 4
alg LOKALER DIENST 4
svchost NETZWERKDIENST 4
svchost NETZWERKDIENST 4
wmpnetwk NETZWERKDIENST 8
Leerlaufprozess SYSTEM 0
System SYSTEM 0
watchdog SYSTEM 4
smss SYSTEM 0
CLSched SYSTEM 6
csrss SYSTEM 4
winlogon SYSTEM 2
services SYSTEM 4
lsass SYSTEM 7
svchost SYSTEM 5
svchost SYSTEM 31
spoolsv SYSTEM 6
X10nets SYSTEM 5
CLCapSvc SYSTEM 12
CLMLServer SYSTEM 9
dptimersvc SYSTEM 3
svchost SYSTEM 4
LSSrvc SYSTEM 2
mdm SYSTEM 3
nvsvc32 SYSTEM 4
RichVideo SYSTEM 3
wmiprvse SYSTEM 5

Was ich nicht verstehe: Windows-Sicherheitscenter meldet, dass ein Virenschutzprogramm aktiv und auf dem neuesten Stand ist. Ich habe aber derzeit gar keines (wissentlich) installiert. Kann da noch irgend etwas im Hintergrund laufen?

Luhh

cosinus · 21.11.2010, 18:52

Wahrscheinlich wurde im Sicherheitscenter der Virenscanner nicht sauber abgemeldet.
Die Werte sind aber soweit IMHO ok. Das hast du schon beachtet und umgesetzt? => http://www.trojaner-board.de/71631-p...samer-tun.html

15.11.2010, 21:30	#31
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Deutsche Bank 28-TAN-Tableau-Abfrage nach Login Norton deinstalliert? Probier es mit GMER auch nochmal im abgesicherten Modus von Windows. __________________ Logfiles bitte immer in CODE-Tags posten

19.11.2010, 20:30	#38
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Deutsche Bank 28-TAN-Tableau-Abfrage nach Login So...der MBR ist auf jeden Fall ok. Lässt sich im Taskmanager nachvollziehen warum das System so langsam ist? Was sagt die CPU- und Speicherauslastung? __________________ Logfiles bitte immer in CODE-Tags posten

21.11.2010, 18:52	#40
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Deutsche Bank 28-TAN-Tableau-Abfrage nach Login Wahrscheinlich wurde im Sicherheitscenter der Virenscanner nicht sauber abgemeldet. Die Werte sind aber soweit IMHO ok. Das hast du schon beachtet und umgesetzt? => http://www.trojaner-board.de/71631-p...samer-tun.html __________________ Logfiles bitte immer in CODE-Tags posten

Deutsche Bank 28-TAN-Tableau-Abfrage nach Login

Plagegeister aller Art und deren Bekämpfung: Deutsche Bank 28-TAN-Tableau-Abfrage nach Login