Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Deutsche Bank 100 Tans :(

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.10.2010, 17:09   #1
sasa85
 
Deutsche Bank 100 Tans :( - Standard

Deutsche Bank 100 Tans :(



Hallo Leute ich wollte mich onlien bei der deutschen bank einloggen da wurde von mir erlangt das ich 100 Tans eingebe... hab ich natürlich nicht gemacht

nun hab ich cofi.exe laufen lassen da hat sich dann ein blaues fenster geöffnet
#1
#2
usw
irgendwann stand da ahaka.exe wird gelöscht.

hab die ahaka.exe aber immernoch im CCleaner autostart drin.
ich deaktiviere es immer wieder und lösche es aber es trtet nach wenigen sekunden immer wieder auf

HIER MAL MEIN LOG


ComboFix 10-10-26.04 - Sasa 27.10.2010 17:54:13.1.2 - x86
Microsoft Windows 7 Ultimate 6.1.7600.0.1252.49.1031.18.3071.2312 [GMT 2:00]
ausgeführt von:: c:\users\Sasa\Desktop\cofi.exe.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\Sasa\AppData\Roaming\Ynemmi
c:\users\Sasa\AppData\Roaming\Ynemmi\ahaka.exe

.
((((((((((((((((((((((( Dateien erstellt von 2010-09-27 bis 2010-10-27 ))))))))))))))))))))))))))))))
.

2010-10-27 15:58 . 2010-10-27 15:58 -------- d-----w- c:\users\Sasa\AppData\Local\temp
2010-10-27 15:58 . 2010-10-27 15:58 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-10-27 12:53 . 2010-10-27 15:41 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2010-10-27 12:53 . 2010-10-27 15:40 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-10-23 15:02 . 2010-10-23 15:02 -------- d-----w- c:\users\Gast
2010-10-19 13:52 . 2010-10-19 13:52 -------- d-----w- c:\program files\Babylon
2010-10-19 11:35 . 2010-10-19 11:35 -------- d-----w- c:\program files\Common Files\Java
2010-10-18 15:50 . 2010-10-18 15:50 -------- d-----w- c:\users\Sasa\AppData\Roaming\OpenOffice.org
2010-10-18 15:46 . 2010-10-18 15:46 -------- d-----w- c:\program files\JRE
2010-10-18 15:46 . 2010-10-18 15:46 -------- d-----w- c:\program files\OpenOffice.org 3
2010-10-18 15:46 . 2010-09-15 02:50 472808 ----a-w- c:\windows\system32\deployJava1.dll
2010-10-18 15:45 . 2010-10-19 11:25 -------- d-----w- c:\program files\Java
2010-10-12 02:33 . 2010-09-16 08:24 6084944 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{C5B92BE9-6B48-40C1-9030-8CBA6B244EA2}\mpengine.dll
2010-10-11 13:10 . 2010-10-20 08:38 841912 ----a-w- c:\windows\system32\drivers\ESLWireACD.sys
2010-10-09 14:46 . 2010-10-09 14:46 -------- d-----w- c:\program files\Common Files\Adobe
2010-10-09 14:04 . 2010-10-09 14:04 -------- d-----w- c:\program files\UltraISO
2010-10-09 14:04 . 2010-10-09 14:04 -------- d-----w- c:\program files\Common Files\EZB Systems
2010-10-05 18:11 . 2010-10-26 20:47 -------- d-----w- c:\users\Sasa\AppData\Roaming\Veogn
2010-09-30 13:01 . 2010-09-30 13:01 -------- d-----w- c:\programdata\KONAMI

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-12 12:10 . 2010-08-28 19:15 24504 ----a-w- c:\windows\system32\drivers\ESLvnic.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKLM\~\startupfolder\C:^Users^Sasa^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Logitech . Produktregistrierung.lnk]
path=c:\users\Sasa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Logitech . Produktregistrierung.lnk
backup=c:\windows\pss\Logitech . Produktregistrierung.lnk.Startup
backupExtension=.Startup

[HKLM\~\startupfolder\C:^Users^Sasa^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.2.lnk]
path=c:\users\Sasa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk
backup=c:\windows\pss\OpenOffice.org 3.2.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 21:07 932288 ----a-r- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 02:47 35760 ----a-w- d:\program files\Adobe Reader\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AppleSyncNotifier]
2010-02-17 18:37 177472 ----a-w- c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ESL Wire]
2010-10-20 08:25 7677440 ----a-w- c:\program files\EslWire\wire.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
2010-08-22 11:02 133432 ----a-w- c:\program files\ICQ7.2\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
2009-10-14 12:36 2793304 ----a-w- c:\program files\Logitech\Logitech WebCam Software\LWS.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-11-10 22:08 417792 ----a-w- c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 09:44 248552 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"{CBDDC3FA-E3AD-367F-E812-3E549C2C384C}"=c:\users\Sasa\AppData\Roaming\Ynemmi\ahaka.exe

R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-03-08 135664]
R2 prio_svc;Prio Service;c:\program files\Prio\prio_svc.exe [2010-07-28 5120]
R3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\DRIVERS\ewusbdev.sys [x]
R3 Netaapl;Apple Mobile Device Ethernet Service;c:\windows\system32\DRIVERS\netaapl.sys [2009-08-28 17408]
R3 pnetmdm;PdaNet Modem;c:\windows\system32\DRIVERS\pnetmdm.sys [2006-09-28 9472]
R3 TeamViewer5;TeamViewer 5;c:\program files\TeamViewer\Version5\TeamViewer_Service.exe [2010-02-11 172328]
S1 prio;prio;c:\windows\System32\drivers\prio.sys [2010-07-28 51408]
S1 PStrip;PStrip;c:\windows\system32\drivers\pstrip.sys [2007-07-15 27992]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-02-24 135336]
S2 ESLWireAC;ESLWireAC;c:\windows\system32\drivers\ESLWireACD.sys [2010-10-20 841912]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2010-07-09 248936]
S3 ESLvnic1;ESLvnic Virtual Network 32 Bit;c:\windows\system32\DRIVERS\ESLvnic.sys [2010-08-12 24504]
S3 RTL8167;Realtek 8167 NT-Treiber;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]

.
Inhalt des "geplante Tasks" Ordners

2010-10-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-08 14:07]

2010-10-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-08 14:07]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
uInternet Settings,ProxyOverride = *.local
IE: Free YouTube to Mp3 Converter - c:\users\Sasa\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm
FF - ProfilePath - c:\users\Sasa\AppData\Roaming\Mozilla\Firefox\Profiles\uqlvynfq.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.6&q=
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.39\npGoogleOneClick8.dll
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\NVIDIA Corporation\3D Vision\npnv3dv.dll
FF - plugin: c:\program files\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll
FF - plugin: c:\users\Sasa\AppData\Roaming\Mozilla\Firefox\Profiles\uqlvynfq.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: d:\program files\Adobe Reader\Reader\browser\nppdf32.dll
FF - plugin: d:\program files\DivX\DivX Player\npDivxPlayerPlugin.dll
FF - plugin: d:\program files\DivX\DivX Plus Web Player\npdivx32.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true); // Traditional
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true); // Simplified
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-{CBDDC3FA-E3AD-367F-E812-3E549C2C384C} - c:\users\Sasa\AppData\Roaming\Ynemmi\ahaka.exe
MSConfigStartUp-CanonMyPrinter - c:\program files\Canon\MyPrinter\BJMyPrt.exe
MSConfigStartUp-FlashPlayerUpdate - c:\windows\system32\Macromed\Flash\FlashUtil10h_Plugin.exe
MSConfigStartUp-iTunesHelper - d:\program files\iTunes\iTunesHelper.exe
MSConfigStartUp-{B73A7B42-27FF-B249-621C-A4D629A128E0} - c:\users\Sasa\AppData\Roaming\Ziixax\eqas.exe


.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(584)
c:\program files\Prio\prio.dll
.
Zeit der Fertigstellung: 2010-10-27 18:00:59
ComboFix-quarantined-files.txt 2010-10-27 16:00

Vor Suchlauf: 5 Verzeichnis(se), 23.140.298.752 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 23.058.173.952 Bytes frei

- - End Of File - - 8D1FAAF82505198F467B8A7BC8BAB79E




Vielen dank im vorraus

mfg sascha

Alt 27.10.2010, 17:13   #2
sasa85
 
Deutsche Bank 100 Tans :( - Standard

Deutsche Bank 100 Tans :(



war jetzt gerade nochmal bei der deutschen bank online.
Jetzt möchte er keine tans mehr sehen, doch im CCleaner steht unter Autostart immernoch die ahaka.exe die angeblich gelöscht wurde
__________________


Antwort

Themen zu Deutsche Bank 100 Tans :(
32 bit, antivir, avg, avgnt, avira, blaues fenster, converter, dateien, defender, desktop, deutsche bank, einloggen, firefox, google, google earth, icq, mozilla, mp3, nvidia, programdata, prozesse, realtek, richtlinie, secure, sekunden, service.exe, software, start menu, system, updates, webcam, windows, windows 7 ultimate, winlogon.exe



Ähnliche Themen: Deutsche Bank 100 Tans :(


  1. Deutsche Bank Trojaner fordert 20 TANs an
    Plagegeister aller Art und deren Bekämpfung - 14.12.2014 (9)
  2. Deutsche Bank Trojaner 100 Tan
    Log-Analyse und Auswertung - 12.04.2013 (7)
  3. Deutsche Bank Virus
    Plagegeister aller Art und deren Bekämpfung - 08.03.2012 (5)
  4. Deutsche Bank Tan Trojaner
    Plagegeister aller Art und deren Bekämpfung - 07.07.2011 (3)
  5. 100 Tan Trojaner Deutsche Bank
    Plagegeister aller Art und deren Bekämpfung - 08.06.2011 (15)
  6. Deutsche Bank 100 TAN Trojaner - Was nun?
    Plagegeister aller Art und deren Bekämpfung - 29.05.2011 (34)
  7. Bank Tans wurden abgefragt
    Plagegeister aller Art und deren Bekämpfung - 28.02.2011 (15)
  8. 20 TANs von Deutsche Bank OnlineBanking gefordert
    Plagegeister aller Art und deren Bekämpfung - 10.02.2011 (27)
  9. Deutsche Bank 30 tan trojaner
    Plagegeister aller Art und deren Bekämpfung - 08.01.2011 (22)
  10. Deutsche-Bank Tan-Wurm
    Plagegeister aller Art und deren Bekämpfung - 28.12.2010 (12)
  11. Deutsche Bank und 20 TANS.....
    Plagegeister aller Art und deren Bekämpfung - 01.11.2010 (7)
  12. Trojaner Deutsche Bank
    Plagegeister aller Art und deren Bekämpfung - 27.10.2010 (34)
  13. Deutsche Bank Trojaner
    Plagegeister aller Art und deren Bekämpfung - 22.10.2010 (43)
  14. deutsche bank 30 tan trojaner
    Plagegeister aller Art und deren Bekämpfung - 12.10.2010 (6)
  15. Deutsche Bank Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 22.09.2010 (13)
  16. 20 Tan Trojaner Deutsche Bank
    Plagegeister aller Art und deren Bekämpfung - 08.09.2010 (1)
  17. Trojaner? Deutsche Bank will 30 Tans
    Plagegeister aller Art und deren Bekämpfung - 09.08.2010 (10)

Zum Thema Deutsche Bank 100 Tans :( - Hallo Leute ich wollte mich onlien bei der deutschen bank einloggen da wurde von mir erlangt das ich 100 Tans eingebe... hab ich natürlich nicht gemacht nun hab ich cofi.exe - Deutsche Bank 100 Tans :(...
Archiv
Du betrachtest: Deutsche Bank 100 Tans :( auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.