Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: 20 TAN Trojaner Sparkasse

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.10.2010, 13:31   #1
Jan1234
 
20 TAN Trojaner Sparkasse - Standard

20 TAN Trojaner Sparkasse



Hallo zusammen,

leider plage auch ich mich mit dem zur Zeit kursierenden 20 TAN-Trojaner rum.
Beim Starten des Internet-Banking öffnet sich ein aufgesetztes Fenster, in dem nach der Eingabe von 20 TANs gefragt wird, auf das dahinter liegende Banking kann ich nicht zugreifen.

Mein Passwort für das Online-Banking habe ich sofort von einem sicheren Laptop aus geändert, ebenso für alle in der letzten Zeiten besuchten Seiten (eBay etc.).

HijackThis (zuerst), Malwarebytes und OTL (danach) habe ich bereits laufen lassen, die Logs befinden sich im Anhang.

Die "unsicheren" Datei bei HijackThis habe ich gefixt.

Den Computernamen, den Benutzernamen und die Namen von 2 Excel-Dateien habe ich in den Dateien durch XXXXXX ersetzt.

Ich hoffe, dass Ihr mir bei meinem Problem weiterhelfen könnt.

Danke schon einmal im Voraus und viele Grüße.
Angehängte Dateien
Dateityp: txt hijackthis2-log.txt (13,9 KB, 199x aufgerufen)
Dateityp: txt hijackthis-log.txt (11,8 KB, 197x aufgerufen)
Dateityp: txt mbam-log-2010-10-25 (14-21-31).txt (1,6 KB, 177x aufgerufen)
Dateityp: txt mbam-log-2010-10-26 (11-57-17).txt (1,1 KB, 189x aufgerufen)
Dateityp: txt OTL.Txt (79,9 KB, 219x aufgerufen)
Dateityp: txt Extras.Txt (47,5 KB, 265x aufgerufen)

Alt 26.10.2010, 13:44   #2
Chris4You
 
20 TAN Trojaner Sparkasse - Standard

20 TAN Trojaner Sparkasse



Hi,

zuerst bitte SOFORT alle Passwörter von einem sauberen Rechner aus ändern, die werden mit abgezogen...

Rest folgt...

So, da ist Dein Banker (habe mich nur mal auf ihn konzentriert):
O36 - AppCertDlls: calcstat - (C:\WINDOWS\system32\caclantz.dll) - C:\WINDOWS\system32\caclantz.dll ()


Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\WINDOWS\system32\caclantz.dll
         
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

und bitte:

Datei hochladen:
http://www.trojaner-board.de/54791-a...ner-board.html
Folge den Anweisungen dort und lade die Datei:
Code:
ATTFilter
C:\WINDOWS\system32\caclantz.dll
         
hoch.

Bereinigung folgt dann gleich...

chris
__________________

__________________

Alt 26.10.2010, 13:49   #3
Jan1234
 
20 TAN Trojaner Sparkasse - Standard

20 TAN Trojaner Sparkasse



Hi Chris,

das habe ich direkt erledigt, nachdem ich den Fehler im Online-Banking entdeckt habe.
Danke für Deine Hilfe!

VLG, Jan
__________________

Alt 26.10.2010, 13:57   #4
Chris4You
 
20 TAN Trojaner Sparkasse - Standard

20 TAN Trojaner Sparkasse



Hi,

wenn das Datum/Uhrzeit stimmt, dann hast Du den
2010.10.22 01:54:03
untergeschoben bekommen.... Noch eine Idee was Du da gemacht hast?

Fix für OTL:
  • Doppelklick auf die OTL.exe, um das Programm auszuführen.
  • Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
  • Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code:
ATTFilter
:OTL
O36 - AppCertDlls: calcstat - (C:\WINDOWS\system32\caclantz.dll) - C:\WINDOWS\system32\caclantz.dll ()
MOD - C:\Dokumente und Einstellungen\XXXXXX\Lokale Einstellungen\Temp\IadHide5.dll (BackWeb)
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.)

:Commands
[emptytemp]
[purity]
[EMPTYFLASH]
[Reboot]
         
  • Den roten Run Fixes! Button anklicken.
  • Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.
  • Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:
  • %systemroot%\_OTL

Dr.Web:
http://www.trojaner-board.de/59299-a...eb-cureit.html
Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log.
Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn.
Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet.

TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Nach dem Start erscheint ein Fenster, dort dann "Start Scan".
Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 26.10.2010, 14:21   #5
Jan1234
 
20 TAN Trojaner Sparkasse - Standard

20 TAN Trojaner Sparkasse



Meine Datei befindet sich bei VirusTotal noch in der Warteschlange.
Das Ergebnis poste ich gleich.
Danke für Deine klaren und gut verständlichen Anweisungen, das hilft mir sehr.

P.S.: Was ich zu der Zeit gemacht habe, weiß ich leider nicht mehr.


Alt 26.10.2010, 14:29   #6
Chris4You
 
20 TAN Trojaner Sparkasse - Standard

20 TAN Trojaner Sparkasse



Hi,

schade, die Quelle würde uns schon stark hier interessieren....

chris
__________________
--> 20 TAN Trojaner Sparkasse

Alt 26.10.2010, 14:48   #7
Jan1234
 
20 TAN Trojaner Sparkasse - Standard

20 TAN Trojaner Sparkasse



Die Datei befindet sich immer noch (gleich 1 Stunde) in der Warteschlange bei VirusTotal. Gibt es eine Möglichkeit, den Prozess zu beschleunigen oder muss ich jetzt einfach erst mal abwarten?

Alt 26.10.2010, 14:52   #8
Chris4You
 
20 TAN Trojaner Sparkasse - Standard

20 TAN Trojaner Sparkasse



Hi,

solange, das gibt es nicht! Drücke mal Browser aktualisieren oder lade sie gleich bei uns hoch, dann mach ich das...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 26.10.2010, 14:57   #9
Jan1234
 
20 TAN Trojaner Sparkasse - Standard

20 TAN Trojaner Sparkasse



Ich wundere mich auch, es wird folgendes angezeigt:

File name: caclantz.dll
Submission date: 2010-10-26 12:57:18 (UTC)
Current status:queued (#1384)

Dazu direkt darunter ein "Laufband".

Das Aktualisieren hat leider nichts geholfen, dann lade ich sie gleich bei Euch hoch.

Update:
Die Datei ist erfolgreich bei Euch hochgeladen worden.

Alt 26.10.2010, 15:18   #10
Chris4You
 
20 TAN Trojaner Sparkasse - Standard

20 TAN Trojaner Sparkasse



Hi,

ja, ist Malware, die Erkennungsrate ist immer noch erschreckend 5 Scanner von 19 finden das Teil ,, Arrrrgggh, wieso leite ich die Samples bloss immer weiter??? Ich gebe allerdings zu, das Teil ist leicht verändert...

Wie beschrieben vorgehen, Dr. Web gehört zu den Scannern die das Teil erkennen und beseitigen... (aber das machen wir eh schon mit OTL, er wird es aber im Backup von OTL finden und "abtöten")...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 26.10.2010, 15:23   #11
Jan1234
 
20 TAN Trojaner Sparkasse - Standard

20 TAN Trojaner Sparkasse



F-Secure läuft bei mir immer, das hat es nicht gefunden.

Ich mache jetzt, wie beschrieben, mit OTL weiter.

Alt 26.10.2010, 15:42   #12
Jan1234
 
20 TAN Trojaner Sparkasse - Standard

20 TAN Trojaner Sparkasse



OTL ist durchgelaufen, obwohl ich vergessen hatte, in der MOD-Zeile die XXXXXX wieder durch meinen Benutzernamen zu ersetzen... Mein Fehler!

Das Ergebnis findest Du in der anhängenden Textdatei.
(Den Benutzernamen habe ich wieder durch XXXXXX ersetzt, nächstes Mal denke ich mit!)
Angehängte Dateien
Dateityp: txt 10262010_162505.txt (8,9 KB, 174x aufgerufen)

Alt 26.10.2010, 19:09   #13
Chris4You
 
20 TAN Trojaner Sparkasse - Standard

20 TAN Trojaner Sparkasse



Hi,

der Banker wurde von OTL "erwischt", prüfe mal ob die 20 Tan-Eingabe noch kommt...

Dann bitte wie beschrieben mit Dr. Web fortfahren!

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 26.10.2010, 19:16   #14
Jan1234
 
20 TAN Trojaner Sparkasse - Standard

20 TAN Trojaner Sparkasse



Hi Chris!

Der Banker wurde bestens erwischt, ich kann mich wieder normal im Online-Banking anmelden, ohne dass die 20-TAN-Matrix erscheint.
Ich danke Dir jetzt schon mal sehr für Deine bisherige Hilfe.
Jetzt fahre ich fort im Plan und führe Dr. Web aus.

Viele Grüße,
Jan

Alt 26.10.2010, 19:41   #15
Jan1234
 
20 TAN Trojaner Sparkasse - Standard

20 TAN Trojaner Sparkasse



Hi Chris!

Ich habe ein kleines Problem mit Dr. Web. Nachdem sich der abgesicherte Modus "über den Desktop gelegt" hat, geht es nicht mehr weiter. Das liegt meiner Meinung nach daran, dass Dr. Web nicht auf das Internet zugreifen kann, weil ich diesen Zugriff erst über die Anwendungssteuerung meines F-Secure erlauben müsste. An dieses Fenster komme ich aber nicht heran.
Darf/soll/muss ich die Anwendungssteuerung im F-Secure solange deaktivieren, wie Dr. Web läuft?

Viele Grüße,
Jan

Antwort

Themen zu 20 TAN Trojaner Sparkasse
20 tan, 20 tans, e-banking, malwarebytes, online-banking, problem, sparkasse, tan, trojaner



Ähnliche Themen: 20 TAN Trojaner Sparkasse


  1. Trojaner Sparkasse
    Plagegeister aller Art und deren Bekämpfung - 13.11.2014 (11)
  2. Sparkasse Trojaner
    Plagegeister aller Art und deren Bekämpfung - 27.09.2014 (5)
  3. Trojaner von Sparkasse
    Log-Analyse und Auswertung - 24.10.2012 (15)
  4. Trojaner Sparkasse
    Plagegeister aller Art und deren Bekämpfung - 25.09.2012 (6)
  5. Sparkasse Trojaner?
    Log-Analyse und Auswertung - 11.07.2012 (3)
  6. Sparkasse Trojaner TAN
    Log-Analyse und Auswertung - 16.03.2012 (4)
  7. Sparkasse TAN Trojaner - Sparkasse Allgäu - Abfrage von 25 TAN
    Plagegeister aller Art und deren Bekämpfung - 27.11.2011 (45)
  8. Sparkasse TAN Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 21.06.2011 (15)
  9. Sparkasse TAN Trojaner
    Plagegeister aller Art und deren Bekämpfung - 11.06.2011 (13)
  10. Sparkasse 20 TAN Trojaner
    Plagegeister aller Art und deren Bekämpfung - 20.02.2011 (12)
  11. 20 Tan Trojaner Sparkasse
    Plagegeister aller Art und deren Bekämpfung - 02.02.2011 (3)
  12. Sparkasse 40 TAN Trojaner
    Plagegeister aller Art und deren Bekämpfung - 24.11.2010 (13)
  13. 20 Tan Trojaner Sparkasse usw.
    Plagegeister aller Art und deren Bekämpfung - 27.10.2010 (1)
  14. Trojaner Sparkasse
    Plagegeister aller Art und deren Bekämpfung - 26.10.2010 (1)
  15. 20 TAN Trojaner Sparkasse
    Plagegeister aller Art und deren Bekämpfung - 19.10.2010 (19)
  16. 20 Tan Trojaner - Sparkasse
    Plagegeister aller Art und deren Bekämpfung - 14.10.2010 (31)
  17. Trojaner/ 40 Tans Sparkasse
    Plagegeister aller Art und deren Bekämpfung - 11.08.2010 (22)

Zum Thema 20 TAN Trojaner Sparkasse - Hallo zusammen, leider plage auch ich mich mit dem zur Zeit kursierenden 20 TAN-Trojaner rum. Beim Starten des Internet-Banking öffnet sich ein aufgesetztes Fenster, in dem nach der Eingabe von - 20 TAN Trojaner Sparkasse...
Archiv
Du betrachtest: 20 TAN Trojaner Sparkasse auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.