Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   100 Tan Abfrage Commerzbank Windows Vista Home Premium 32 Bit, IE 9.0.16 (https://www.trojaner-board.de/135110-100-tan-abfrage-commerzbank-windows-vista-home-premium-32-bit-ie-9-0-16-a.html)

bjc51 17.05.2013 15:06
100 Tan Abfrage Commerzbank Windows Vista Home Premium 32 Bit, IE 9.0.16
 
Habe das gleiche große Problem. Der techn. Support der Commerzbank hat meinen Zugang gesperrt und empfiehlt dringend die HD zu formatieren. Anders ließe sich der Trojaner nicht vollendst beseitigen.

Ich bin nur vorübergehend in Deutschland und habe viele installierte Programme, die ich dringend brauche, gar nicht auf Datenträger dabei, um diese neu zu installieren.

Bitte dringend und freundliche Hilfe, wie ich ohne Formatierung das Problem gelöst bekomme.

Ein Antvira Scan läuft gerade.

Problem mit der 100 TAN Abfrage hatte ich übrigens bisher nur beim IE. Über Google Chrome kam ich ohne Schwierigkeit ins Online-Banking der Commerzbank.

Habe auch die Mail mit Anhang gefunden, die wohl diesen Trojaner bei mir eingenistet hat.

smeenk 17.05.2013 15:17
Hi bjc51

Ich bin Smeenk und ich werde versuchen Dir zu helfen :)


Systemscan mit ZOEK

Bitte lade die zoek.exe von hier: http://hijackthis.nl/smeenk/
  • Bitte deaktiviere während des Scans alle Virenscanner, da sie das Ergebnis beeinflussen.
  • Starte die Zoek.exe mit einem Doppelklick (nur Windows XP-Benutzer).
  • Windows Vista/7 Benutzer starten das Tool bitte per Rechtsklick auf das Icon und wählen "Als Administrator starten".
  • Kopiere untenstehende Code in das Textfeld:
    Code:
    emptyclsid;
    chromelook;
    autoclean;
    startupall;
    filesrcm;
    firefoxlook;
  • Nun klicke auf "Run script" und warte geduldig, bis der Scan durchgelaufen ist.
  • Wenn das Tool fertig ist, wird sich Notepad mit dem Logfile öffnen (ggfs. erst nach einem Neustart).
    Nachträglich kannst Du den Bericht unter c:\zoek-results.log einsehen.
  • Poste mir das Log File zoek-results.log


Downloade dir bitte TDSSKiller TDSSKiller.exe und speichere diese Datei auf dem Desktop
  • Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
  • Drücke Start Scan
  • Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
    TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
    Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt
Poste den Inhalt bitte in jedem Fall hier in deinen Thread.



Bitte alles nach Möglichkeit hier in CODE-Tags posten: [code] Dein Log hier [/code]

bjc51 17.05.2013 17:48
Hallo Smeenk, danke schon mal für Deine Mühe. Der Antivira-Scan läuft noch über 7 Stunden und bisher wurden 4 Viren gefunden. Ich habe Angst den abzubrechen, zumal ich keine aktuelle Datensicherung habe. Diese werde ich sofort nach dem Scan durchführen und dann nach Deinen Vorgabe vorgehen. Das wird dann wohl erst morgen sein. LG Bodo

smeenk 17.05.2013 17:51
Keine Problem, nimm Dir Zeit :)

bjc51 17.05.2013 19:20
Hallo Smeenk, dieser Trojaner wurde ganz gezielt an mich verschickt. Gibt es eine Chance den tatsächlichen Absender über die nachfolgenden Mail-Eigenschaften heraus zu finden?

X-Envelope-From: <gwantegar@yahoo.de>
X-Envelope-To: <bodo@cieslar.de>
X-Delivery-Time: 1368457379
X-UID: 24195
Return-Path: <gwantegar@yahoo.de>
X-RZG-MI-VALUES: bm=0 mafl=1 sh=0 du=0 sp=2,1 vv=1 nf=0
X-Strato-MessageType: email
X-RZG-CLASS-ID: mi
Received: from nm16.bullet.mail.ird.yahoo.com ([77.238.189.69])
by mailin.rzone.de (jorabe mi98) (RZmta 31.27 OK)
with ESMTP id q07d19p4DF2Hg5 for <bodo@cieslar.de>;
Mon, 13 May 2013 17:02:59 +0200 (CEST)
Received: from [77.238.189.56] by nm16.bullet.mail.ird.yahoo.com with NNFMP; 13 May 2013 15:02:59 -0000
Received: from [46.228.39.117] by tm9.bullet.mail.ird.yahoo.com with NNFMP; 13 May 2013 15:02:59 -0000
Received: from [127.0.0.1] by smtp154.mail.ir2.yahoo.com with NNFMP; 13 May 2013 15:02:58 -0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.de; s=s1024; t=1368457378; bh=qrgwMXKbe/jiazeN+VS75rO683RTXP2npYkZxkXVbPQ=; h=X-Yahoo-Newman-Id:Message-ID:X-Yahoo-Newman-Property:X-YMail-OSG:X-Yahoo-SMTP:X-Rocket-Received:From:To:Subject:Date:MIME-Version:X-Mailer:X-Priority:Content-Type; b=RFMdxlslINEqdjGg4Wlk22HoNTsScxZ8R/wDrteOaUsjA6mW/S9UkB+HP6Rmxxqib2+S2C3amvYzARQ/8z5biV4zzPwdEFBpwXIm7ec2N7DoKEiEDYty7oOQcqErVJVq8m7WD3M/inxDf8ZI2nfJfkTuLmpLMmvVB9IUqLyoKoQ=
X-Yahoo-Newman-Id: 941029.52962.bm@smtp154.mail.ir2.yahoo.com
Message-ID: <941029.52962.bm@smtp154.mail.ir2.yahoo.com>
X-Yahoo-Newman-Property: ymail-3
X-YMail-OSG: ON7B2wMVM1mgDOo6gW1mnW888mIvK24W97hMKE2d0Ab9ZW1
D8Taz0mRerevUdlqGcA7upMlqL.vrHfoR5TCJW9dmXaL9kldfjeYfueg7iwY
50nJKrDJI7Ly1kVjPKs16f3lougJ2pTVOlf6w9FktGvThY79E1p1g7LJ9GJ7
nNviuPnTJRqVJwbZITAmnoyhCQU5l3LuOEBP8v6y3BajL.WrMIggoyuPzW1O
LyNQAYue1t_uR0F3cgM8AKmO6bZxPBz5M4NjRR5eoqRVIxpI3UffJbPKh9.O
CdP.TiraoeumwCss5pLmC1PWzn8cdCJyJHh6i6UEnMflr1pFvwJ1CMnHhX7N
MHbTf3ybsPYSI_E5HR6WJmv1Nhbesp7e.WoxbwGS8CCZR11ly4RhC5d.3X_z
aRTtn0zg6l_AaTc1MAa4c4b5FIIm8KFNLXIg.erdDv0cMwM6CbYiN7y1O4ao
KnuvtTgti9qI.txPzDzAbv8VZnZCaH95.6sAj7VmmXGIrWCIq07ZgDWrf_IB
gCAUv1wbQztSvVyQbK.r2h457C5PJkmMUFQ--
X-Yahoo-SMTP: 38bxmlaswBC65S4vGunriALIOLJJmg--
X-Rocket-Received: from TERMSERVER (gwantegar@217.255.14.67 with )
by smtp154.mail.ir2.yahoo.com with SMTP; 13 May 2013 15:02:58 +0000 UTC
From: "Rechnungwww.drucker-guenstiger.de" <gwantegar@yahoo.de>
To: "Bodo Cieslar" <bodo@cieslar.de>
Subject: =?utf-8?q?Zahlungserinnerung f=C3=BCr Bodo Cieslar Nummer: 21199539?=
Date: Mon, 13 May 2013 15:03:21 GMT
MIME-Version: 1.0
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-Priority: 3
Content-Type: multipart/mixed; boundary="=-XC75A912F5"

smeenk 17.05.2013 22:46
Ich bin mir nicht sicher ob das moeglich ist.
Es kann sein dass diese Mail von eine deiner Bekannten kommt der auch mit dieselbe Infektion verseucht ist :(

bjc51 18.05.2013 09:35
Ganz offensichtlich von einem Bekannten, aber gewiß kein Freund. Der anhängende zip-file wurde extra umbenannt mit meinem Namen plus Forderungsschreiben. Ich werde bei yahoo mal anfragen, ob man mir die IP-Nr. nennen kann, worunter diese Email-Adresse dort angelegt wurde bzw. die Email versandt worden ist.

Ansonsten läuft der Avira-Scan schon ewig lange, wohl weil ich die Suchkriterien verfeinert habe. Jetzt nach über 23 Stunden sind gerade mal erst 41 % erledigt, aber schon 149 Funde gemeldet plus 24 Verdächtige und 87 Warnungen. Hoffentlich läuft der Rechner noch hinterher, wenn alles bereinigt ist.

smeenk 18.05.2013 11:36
Unglaublich warum so eine Scan so lange dauern muss :(


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:23 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129