|
Bank-Webseite fragt 10 TAN-Nummern ab Hallo, ich weiss jetzt nicht mehr, wie ich meinen Rechner sauber kriegen soll. Nachdem (!) ich mich bei meiner Online-Bank eingeloggt habe, werde ich aufgefordert, 10 TAN-Nummern einzugeben. Ich werde also von der angeblich sicheren Bank-Seite weggelotst, und gleichzeitig ist bereits mein Kennwort geklaut ! Ich habe Antivir permanent laufen, außerdem habe ich den Computer mit Kaspersky und Ad Aware durchsucht - ohne Erfolg. Am besten wäre natürlich, den Rechner platt zu machen. Aber dann steh ich nackig da, weil meine Sicherheitskopie von Windows (nach der ersten Inbetriebnahme des Rechners) irgendwie kaputt gegangen ist. Was ratet Ihr mir. Ich habe mal HijackThis laufen lassen, in der Hoffnung alles richtig gemacht zu haben (Ist das erste mal, dass ich mich mit sowas rumschlage). Ach ja, meine Bank nennt den Trojaner intern "tentan", weil zehn Tans abgefragt werden. HijakThis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:57:10, on 06.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\bgsvcgen.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\System32\snmp.exe C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Apoint2K\Apoint.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\system32\ICO.EXE C:\Programme\Sony\VAIO Power Management\SPMgr.exe C:\Programme\Sony\ISB Utility\ISBMgr.exe C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\Programme\Apoint2K\Apntex.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\{231F68F4-70E4-41A6-BEDA-7E7934169B54}\MXOALDR.EXE C:\Programme\Maxtor\OneTouch\utils\Onetouch.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\FinePixViewer\QuickDCF2.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://smb-support.vaio-link.com/eSupport/PortalJSP/Portal.jsp O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\Sony\VAIO Power Management\SPMgr.exe O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\Sony\ISB Utility\ISBMgr.exe O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [MXOBG] C:\Dokumente und Einstellungen\Juergen\Lokale Einstellungen\Temp\{231F68F4-70E4-41A6-BEDA-7E7934169B54}\MXOALDR.EXE O4 - HKLM\..\Run: [MaxtorOneTouch] C:\Programme\Maxtor\OneTouch\utils\Onetouch.exe O4 - HKLM\..\Run: [MsgCenterExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe" -osboot O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe O4 - HKLM\..\Run: [OutpostFeedBack] C:\PROGRA~1\Agnitum\OUTPOS~1.0\feedback.exe /dump:os_startup O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Exif Launcher 2.lnk = ? O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\PROGRA~1\Agnitum\OUTPOS~1.0\Plugins\BrowserBar\ie_bar.dll (file missing) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {B85537E9-2D9C-400A-BC92-B04F4D9FF17D} (Silverwire Image Uploader Control) - http://picasa.htmlupload.com/upload/JavaActiveX/ImageUploader4.cab O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe -- End of file - 9037 bytes |
Code: C:\Dokumente und Einstellungen\Juergen\Lokale Einstellungen\Temp\{231F68F4-70E4-41A6-BEDA-7E7934169B54}\MXOALDR.EXE |
Danke für das Hilfsangebot. Ich poste hier mal das Ergebnis, bin allerdings unsicher, weil die Länge der Deckard-Texte den Rahmen dieses Forums sprengt. Habe ich alles richtig gemacht ? Virustotal hat bei der von Dir ausgewählten Datei nichts gefunden. Ich habe Malwarebytes laufen lassen. Hier das Ergebnis: Ich habe alles gelöscht. Code: Malwarebytes' Anti-Malware 1.24 |
DEckard sagt im Main.txt: Code: Deckard's System Scanner v20071014.68 |
Der Extra.txt lautet Teil 1 wegen der Längenbegrenzung im Forum): Code: CPU 0: Intel(R) Pentium(R) M processor 1.86GHz |
Teil 2 Extra.txt: Code: Sicherheitsupdate für Step by Step Interactive Training (KB898458) --> "C:\WINDOWS\$NtUninstallKB898458$\spuninst\spuninst.exe"Jürgen |
Nein, die Logfiles dürften so okay sein. Ich schau sie mir mal an. |
diesen 10 TAN Trojaner hatte ich auch. Kann man mit der freien Version von DrWeb http://freedrweb.com/?lng=de finden und desinfizieren. Infos dazu unter http://info.drweb.com/show/3301/en http://209.85.135.104/search?q=cache:W8EzX-xJOw0J:www.vb-worms-wonnegau.de/homepage/tops/wieder_phishing_.html+Tan+freedrweb&hl=de&ct=clnk&cd=1&gl=de http://www.vobadreieich.de/page.cfm?id=1386& Antivir und Sophos finden den Trojaner übrigens nicht... Sauklaue |
Schön - aber Free-Dr.Web findet den 10 TAN Trojaner nicht und kann ihn auch nicht entfernen. Das Tool ist in meinen Augen auch nicht das gelbe vom Ei - meckert/ viele Standard-Programme u.a. vm-ware an bzw. entfernt diese sogar :-( .... Einige Banken beschreiben eine Lösung im "10TAN-Trojaner.pdf" - das ist nett aber bringt nix u. wer will schon seinen Rechner neu aufsetzen .... Beim bei uns betroffenen Rechner kamen wir auch nicht weiter und gingen zweigleisig vor: 1) das Thema zum gekauften Virensoftwareanbieter GDATA eskaliert da die aktuelle Version 2008 auch nix fand und mittlerweilen eine Lösung erhalten (wenn es auch sehr zäh ging. Die Anfragen dauerten, 14 Tage kein Feedback .... - prof. Support sieht anders aus) Diese ist in der eben erschienen GDATA Internet Security Version 2009 enthalten - hier ist u. a. ein Rootkit-Scanner drin. b) Suche nach Anhaltspunkten bzw. anderen Tools. http://www.prevx.com/freescan.asp prevx csi findet das Teil als Banking Info Stealer die wollen aber zur Entfernung Kohle sehen ... Wie wird man das Ding nun los - und zwar ohne Neuinstallation? a) GDATA 2009 installieren b) aktuelle Patternfiles laden c) alle IE / Firefox Temp-Internet-files, Caches, Passworter, offline inhalte,.... löschen d) GDATA Boot-CD erstellen und e) damit offline die Kiste scannen (Online findet nicht alles!) f) falls der offline scan abbricht - meist bei Favoriten, diese Dateien / URL´s merken den Rechner neustarten, unter \Dokumente und Einstellungen\%USERNAME%\Favoriten diese URL´s Löschen oder am besten gleich alle zurück zu e) bis der offline scan durchläuft. g) geschafft jetzt läuft der Rechner wieder einwandfrei, schnell beim Surfen, ... :Boogie: => übrigens: Norten Internet Security 2008, AntiVir, Avast, McAffee erkennen das Ding auch noch nicht. Stand 18.09.2008 |
Ich gehe mit 99,9%iger Sicherheit davon aus, das Gdata die derzeit aktuelle Version eures "10 Tan Trojaners" auch nicht findet, das ist aber normal..... |
Recht hast du, G Data erkennt Silentbanker nicht. Bislang nur Avira und ein paar Andere, wenn mich nicht alles täuscht. Edit: Wie man in einem PC-Welt Artikel schön lesen kann: Code: [...]Zum Repertoire von Trojan.Silentbanker gehören auch Umleitungen auf andere Server durch DNS-Manipulation.[...] |
Ich bin mir auch nicht sicher, das Avira die aktuellste Version erkennt. Seit dem letzten Engineupdate haelt die .gen zwar noch(zumindest bis gestern), aber da die Silentbanker Jungs mehrmals taeglich ihren Banker anpassen, kann es auch da schon zu spaet sein. Link zum Pcwelt Artikel: http://www.pcwelt.de/start/sicherhei..._aller_stille/ |
Ich weiß noch, wie ich tagelang wegen diesen CPX-Dateien im Dunkeln getappt bin und nicht wusste, was das verdammte Zeug sein könnte. :headbang: |
Danke für die Info - und was schlägt ihr als Lösung vor das Ding wirklich los zu werden ??? neu aufsetzen ist nicht drin - das gleich mal vorne weg. die Jungs von GDATA, Symantec ,... interessiert das Treibern des Trojan.Silentbanker wohl nicht :( |
Zitat:
Zitat:
Bzw. ist er sehr unauffällig, was wohl den Namen erklärt. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:13 Uhr. |
Copyright ©2000-2025, Trojaner-Board