|
Log-Analyse und Auswertung: Trojaner fragt nach TAN´s beim Online-BankingWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
30.12.2010, 21:13 | #1 |
| Trojaner fragt nach TAN´s beim Online-Banking Hallo Zusammen, ich habe folgendes Problem beim Online-Banking. Habe mich auf mein Konto mit den Zugangsdaten angemeldet, danach kam eine Sicherheitsabfrage mit der Aufforderung 20 Tan´s einzugeben. Dies habe ich natürlich nicht gemacht. Man hatte auch keine Möglichkeit eine andere Funktion im Konto zu nutzen. Einfach Programm geschlossen, dann bei der Bank angerufen und Online-Banking sperren lassen. Danach habe ich meinen PC mit AntiVir, Ad-Aware, Spybot und CCleaner durchsuchen lassen, leider ohne Erfolg!!! Meine Frau war gestern bei Ihrer Bank Online unterwegs und sie hatte das selbe Problem. Abfrage aus Sicherheitsgründen und Aufforderung 20 Tan´s einzugeben. Durch einen guten Freund bin ich auf Euer Board gestossen und habe meinen Rechner mit Malwarebytes durchsuchen lassen, mit folgenden Fund: siehe Anhang. Kann mir jemand helfen??? |
30.12.2010, 21:17 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner fragt nach TAN´s beim Online-Banking Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle davon posten. Du findest diese im Reiter Logdateien in Malwarebytes.
__________________
__________________ |
30.12.2010, 21:24 | #3 | |
| Trojaner fragt nach TAN´s beim Online-BankingZitat:
Hallo Arne, die Reiter z.B. Quarantäne, Logdatein ect. konnte ich nach der Suche nicht anklicken. Gruß snake30 |
30.12.2010, 21:38 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner fragt nach TAN´s beim Online-Banking MBAM beenden, neu starten, Reiter Logdateien anklicken. Ist da mehr als ein Log drin?
__________________ Logfiles bitte immer in CODE-Tags posten |
30.12.2010, 21:40 | #5 | |
| Trojaner fragt nach TAN´s beim Online-BankingZitat:
snake30 |
30.12.2010, 21:46 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner fragt nach TAN´s beim Online-Banking Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
__________________ --> Trojaner fragt nach TAN´s beim Online-Banking |
30.12.2010, 22:00 | #7 |
| Trojaner fragt nach TAN´s beim Online-Banking Hier kommt die Auswertung: snake30 |
30.12.2010, 22:31 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner fragt nach TAN´s beim Online-Banking Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL O32 - AutoRun File - [2006.09.18 22:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ] O33 - MountPoints2\{0291bd1d-f8c3-11df-b8e1-001e68587075}\Shell\AutoRun\command - "" = E:\.\atze_player.exe -- File not found [2010.12.26 14:12:51 | 000,000,000 | ---D | C] -- C:\Users\Besitzer\AppData\Local\mcicrtUI @Alternate Data Stream - 72 bytes -> C:\Windows:A5634E209DD64D75 @Alternate Data Stream - 506 bytes -> C:\Users\Besitzer\Documents\Bewerbung.eml:OECustomProperty @Alternate Data Stream - 111 bytes -> C:\ProgramData\TEMP:24051EFF :Commands [purity] [resethosts] [emptytemp] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ Logfiles bitte immer in CODE-Tags posten |
30.12.2010, 23:11 | #9 |
| Trojaner fragt nach TAN´s beim Online-Banking Wie gewünscht. Habe noch diese Auswertung: All processes killed ========== OTL ========== C:\autoexec.bat moved successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0291bd1d-f8c3-11df-b8e1-001e68587075}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0291bd1d-f8c3-11df-b8e1-001e68587075}\ not found. File E:\.\atze_player.exe not found. C:\Users\Besitzer\AppData\Local\mcicrtUI folder moved successfully. ADS C:\Windows:A5634E209DD64D75 deleted successfully. ADS C:\Users\Besitzer\Documents\Bewerbung.eml:OECustomProperty deleted successfully. ADS C:\ProgramData\TEMP:24051EFF deleted successfully. ========== COMMANDS ========== C:\Windows\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Besitzer ->Temp folder emptied: 235938 bytes ->Temporary Internet Files folder emptied: 37361 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 49191740 bytes ->Google Chrome cache emptied: 0 bytes ->Flash cache emptied: 456 bytes User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 26592 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 47,00 mb OTL by OldTimer - Version 3.2.18.2 log created on 12302010_230312 Files\Folders moved on Reboot... Registry entries deleted on Reboot... Gruß snake30 |
30.12.2010, 23:13 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner fragt nach TAN´s beim Online-Banking Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
30.12.2010, 23:23 | #11 | |
| Trojaner fragt nach TAN´s beim Online-BankingZitat:
Der Link Cofi.exe funktioniert nicht!!! |
30.12.2010, 23:33 | #12 |
| Trojaner fragt nach TAN´s beim Online-Banking Hallo Cosinus, die Link´s gehen leider nicht. snake30 |
31.12.2010, 00:38 | #13 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner fragt nach TAN´s beim Online-Banking Scheint gerade down zu sein. Probiers bitte morgen oder wann auch immer wenn die wieder Zeit hast nochmal.
__________________ Logfiles bitte immer in CODE-Tags posten |
31.12.2010, 11:59 | #14 |
| Trojaner fragt nach TAN´s beim Online-Banking [QUOTE=snake30;604789]Wie gewünscht. Habe noch diese Auswertung: All processes killed ========== OTL ========== C:\autoexec.bat moved successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0291bd1d-f8c3-11df-b8e1-001e68587075}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0291bd1d-f8c3-11df-b8e1-001e68587075}\ not found. File E:\.\atze_player.exe not found. C:\Users\Besitzer\AppData\Local\mcicrtUI folder moved successfully. ADS C:\Windows:A5634E209DD64D75 deleted successfully. ADS C:\Users\Besitzer\Documents\Bewerbung.eml:OECustomProperty deleted successfully. ADS C:\ProgramData\TEMP:24051EFF deleted successfully. ========== COMMANDS ========== C:\Windows\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Besitzer ->Temp folder emptied: 235938 bytes ->Temporary Internet Files folder emptied: 37361 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 49191740 bytes ->Google Chrome cache emptied: 0 bytes ->Flash cache emptied: 456 bytes User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 26592 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 47,00 mb OTL by OldTimer - Version 3.2.18.2 log created on 12302010_230312 Files\Folders moved on Reboot... Registry entries deleted on Reboot... Combofix Logfile: Code:
ATTFilter ComboFix 10-12-30.03 - Besitzer 31.12.2010 11:46:06.1.2 - x86 Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.49.1031.18.2046.1115 [GMT 1:00] ausgeführt von:: c:\users\Besitzer\Downloads\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job . ((((((((((((((((((((((( Dateien erstellt von 2010-11-28 bis 2010-12-31 )))))))))))))))))))))))))))))) . 2010-12-31 10:52 . 2010-12-31 10:52 -------- d-----w- c:\users\Besitzer\AppData\Local\temp 2010-12-30 22:03 . 2010-12-30 22:03 -------- d-----w- C:\_OTL 2010-12-30 18:18 . 2010-12-30 18:18 -------- d-----w- c:\users\Besitzer\AppData\Roaming\Malwarebytes 2010-12-30 18:18 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-12-30 18:18 . 2010-12-30 18:18 -------- d-----w- c:\programdata\Malwarebytes 2010-12-30 18:18 . 2010-12-30 19:35 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2010-12-30 18:18 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-12-30 15:46 . 2010-11-10 04:33 6273872 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{0AFBF6B2-71B9-492D-AF8D-3961F943FC76}\mpengine.dll 2010-12-27 16:09 . 2010-12-27 18:58 -------- d-----w- c:\users\Besitzer\AppData\Roaming\FRITZ! 2010-12-27 16:09 . 2010-12-27 16:09 -------- d-----w- c:\users\Besitzer\AppData\Local\FRITZ! 2010-12-27 15:53 . 2010-12-27 15:53 -------- d-----w- c:\program files\FRITZ!DSL 2010-12-27 15:53 . 2010-12-27 15:53 -------- d-----w- c:\program files\Common Files\AVM 2010-12-27 15:52 . 2010-12-27 15:52 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard 2010-12-23 17:17 . 2010-12-23 17:17 1222408 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll 2010-12-16 22:57 . 2010-12-16 22:57 31088 ----a-w- c:\windows\system32\drivers\ElbyCDIO.sys 2010-12-09 19:48 . 2010-12-09 19:48 -------- d-----w- c:\programdata\162F1 2010-12-04 12:37 . 2010-12-04 12:42 -------- d-----w- c:\users\Besitzer\AppData\Local\iMesh 2010-12-04 12:37 . 2010-12-04 12:37 -------- dc----w- c:\programdata\{B9BE2C46-D925-49FD-864D-3FD70D9C0ED7} 2010-12-04 12:36 . 2010-12-04 12:36 -------- d-----w- c:\programdata\iMesh 2010-12-04 12:36 . 2010-12-04 12:36 -------- d-----w- c:\program files\iMesh Applications 2010-12-04 12:27 . 2010-12-04 12:27 -------- d-----w- c:\users\Besitzer\AppData\Local\PackageAware 2010-12-01 19:06 . 2010-12-01 19:06 108104 ----a-w- c:\windows\system32\drivers\AnyDVD.sys . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-11-25 18:29 . 2010-11-25 18:29 89256 ----a-w- c:\windows\system32\ElbyCDIO.dll 2010-10-19 09:41 . 2009-11-07 18:06 222080 ------w- c:\windows\system32\MpSigStub.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-09-08 1232896] "Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2008-08-21 443968] "SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480] "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2006-11-02 125440] "AnyDVD"="c:\program files\SlySoft\AnyDVD\AnyDVDtray.exe" [2010-12-17 4763256] "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-09-14 102400] "NvSvc"="c:\windows\system32\nvsvc.dll" [2007-09-19 86016] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-09-19 8497696] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-09-19 81920] "UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2007-09-13 222504] "QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-05-12 202032] "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdSync.exe" [2006-11-02 215552] "Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2010-03-08 524632] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696] "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040] c:\users\Besitzer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ DSL-Manager.lnk - c:\program files\DSL-Manager\DslMgr.exe [2010-9-8 1085440] OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-1-21 393216] c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\ Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360] c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ DSL-Manager.lnk - c:\program files\DSL-Manager\DslMgr.exe [2010-9-8 1085440] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux"=wdmaud.drv [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2009-12-24 135664] R3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;c:\windows\system32\Drivers\dsltestSp5.sys [2007-09-12 26816] S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [2009-05-18 64160] S2 IGDCTRL;AVM IGD CTRL Service;c:\program files\FRITZ!DSL\IGDCTRL.EXE [2009-07-28 73528] S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2010-03-08 1029456] S3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2008-04-03 193840] S3 TDslMgrService;DSL-Manager;c:\program files\DSL-Manager\DslMgrSvc.exe [2008-10-23 307200] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] WindowsMobile REG_MULTI_SZ wcescomm rapimgr LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr . Inhalt des "geplante Tasks" Ordners 2010-12-30 c:\windows\Tasks\Ad-Aware Update (Weekly).job - c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 16:44] 2010-12-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files\Google\Update\GoogleUpdate.exe [2009-12-24 16:12] 2010-12-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files\Google\Update\GoogleUpdate.exe [2009-12-24 16:12] 2010-12-31 c:\windows\Tasks\User_Feed_Synchronization-{89D9B6F5-99DD-4CAD-801F-87BD526C2199}.job - c:\windows\system32\msfeedssync.exe [2006-11-02 09:45] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://search.imesh.com/ uDefault_Search_URL = hxxp://www.google.com/ie uSearchAssistant = hxxp://www.google.com/ie uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 FF - ProfilePath - c:\users\Besitzer\AppData\Roaming\Mozilla\Firefox\Profiles\2h4li149.default\ FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} FF - Ext: Java Console: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b} . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKCU-Run-rasMouseUsb - c:\users\Besitzer\AppData\Local\mcicrtUI\rasMouseUsb.dll HKU-Default-Run-FRITZ!protect - FwebProt.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-12-31 11:52 Windows 6.0.6000 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . Zeit der Fertigstellung: 2010-12-31 11:54:55 ComboFix-quarantined-files.txt 2010-12-31 10:54 Vor Suchlauf: 8 Verzeichnis(se), 160.555.462.656 Bytes frei Nach Suchlauf: 11 Verzeichnis(se), 160.483.209.216 Bytes frei - - End Of File - - 25D20A1F9A5189B6426F611C6B6832A5 ------------ Habe die TXT.Datei von ComboFix dazugefügt. |
31.12.2010, 12:11 | #15 |
| Trojaner fragt nach TAN´s beim Online-Banking Hallo cosinus, habe mit CCleaner den Rechner wie beschrieben überprüfen lassen. Er hat eine Menge gefunden, konnte alle Dateien erfolgreich löschen. ComboFix hatte ich im Vorfeld das System durchsucht, siehe Auswertung oben. Muss ich jetzt noch weitere Schritte veranlassen ggf. noch mal mit Malewarebytes durchsuchen??? Gruß snake30 |
Themen zu Trojaner fragt nach TAN´s beim Online-Banking |
ad-aware, angemeldet, antivir, aus sicherheitsgründen, board, ccleaner, e-banking, einfach, folge, folgendes, freund, fund, funktion, geschlossen, guten, hallo zusammen, konto, malwarebytes, online-banking, problem, programm, rechner, sicherheitsgründe, sicherheitsgründen, sperren, spybot, trojaner, unterwegs, zusammen |