Verdacht auf Viren (Phishing / Online-Banking)
 

Hallo,

mein Online-Banking Zugang wurde gesperrt. Kurz darauf erhielt ich ein Schreiben von meiner Bank, in dem folgendes stand:

"...wir haben Ihre Online-Banking-Freischaltung aus Sicherheitsgründen gesperrt. Unser Rechenzentrum ... hat vor kurzem ... einen Server identifiziert, der von Betrügern für Angriffe auf Online-Banking Kunden deutscher Kreditinstitute missbraucht wurde (sogenanntes "Phishing"). Der Server wurde abgschaltet und die dort gefundenen Daten analysiert. Auf dem Server wurde die Kontonummer *** gefunden. Ihr PC ist mit größter Wahrscheinlichkeit durch einen Computervirus verseucht."

Mein Antiviren-Programm, Avira AntiVir Personal, konnte jedoch keinen Virus finden.

Zudem ist mein Laptop seit einiger Zeit sehr langsamer geworden.
Ich hoffe es kann mir hier geholfen werden!

Mein hijackthis-Logfile:

Hab mal noch Malwarebytes' Anti-Malware durchlaufen lassen, mit folgendem Ergebnis:

Hier noch mein SUPERAntiSpyware Scan Log. Ich hoffe, dass mir jemand was dazu schreiben kann, da ich Laie bin und alleine mit den Logs nichts anfangen kann. Vielen Dank für eure Hilfe!

:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab.

Poste bitte alle Logfiles in Code-Tags.
Klicke antworten --> #
danach [code]text[/code]
So sollte das dann hier aussehen nach dem antworten:

schritt 1

Windows-Explorer öffnen (Windows-Taste + E) und unter => Extras => Ordneroptionen => im Reiter "Ansicht"

• Dateien und Ordner: Erweiterungen bei bekannten Dateitypen ausblenden deaktivieren
• Dateien und Ordner: Geschützte Systemdateien ausblenden (empfohlen) deaktivieren
• Dateien und Ordner: Inhalte von Systemordnern anzeigen aktivieren (bei Vista nicht vorhanden)
• Versteckte Dateien und Ordner: alle Dateien und Ordner anzeigen aktivieren

schritt 2

• Lade Random's System Information Tool (RSIT) herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt

schritt 3

• alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?
  Unbedingt auf "No" klicken.
• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in Deine Antwort hier ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Hier die beiden RSIT Scan-Ergebnisse:

Achtung... das passte nicht in einen Post! Im nächsten gehts weiter!

Fortsetzung vom info.txt logfile!!!

Hier das zweite log.txt:

Fortsetzung im nächsten Post!!

Fortsetzung log.txt:

Vielen vielen Dank schonmal im Voraus!!

Gmer fehlt mir noch :)
Bitte nachreichen.

Hier kommt Gmer:

ESET-Log:

schritt 1

Deinstalliere bitte deine aktuelle Version von Adobe Reader
Start--> Systemsteuerung--> Software--> Adobe Reader
und lade dir die neue Version von Hier herunter
Als alternative würde ich dir den schlankeren Foxit Reader empfehlen :)


schritt 2

Java aktualisieren

Deine Javaversion ist veraltet. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, muss Java aktualisiert werden und alte Versionen müssen vom System entfernt werden, da die alten Versionen ein Sicherheitsrisiko darstellen. Lade JavaRa von prm753 herunter und entpacke es auf den Desktop. JavaRA ist geeignet für Windows 9x, 2k, XP und Vista (mit deaktivierter Benuterkontensteuerung).

• Schließe alle Browserfenster.
• Doppelklicke die JavaRa.exe, um das Programm zu starten.
• Die Sprache auswählen, nimm Englisch und klicke "Select".
• Klicke auf Additional Task, mache Haken bei Remove Useless JRE Files und [b]Remove Sun Download Manager[b].
• Klicke auf Go und jeweils auf Ok und schließe das Fenster "Additional Tasks" wieder.
• Klicke auf Remove Older Versions, um alte Java-Versionen, die auf dem Rechner installiert sind, zu entfernen.
• Klicke auf Yes wenn es verlangt wird. Wenn JavaRa fertig, erscheint eine Notiz, dass ein Logfile erstellt wurde, klicke OK.
• Das Logfile wird im Editor geöffnet, bitte speichern und später hier posten.
• Kontrolliere in Systemsteuerung => Programme, ob noch Java-Versionen vorhanden sind und deinstalliere diese.
• Rechner neu starten.

Downloade nun Java (Java Runtime Environment (JRE) 6 Update 17) von http://www.trojaner-board.de/105213-java-update-einstellungen.html]SUN[/url] und installiere es. Vor dem Download musst Du die Lizenzbedingungen akzeptieren, indem Du "Accept License Agreement" aktivierst. Erweiterte Optionen anhaken, Sponsoren-Programm (Toolbar oder ähnliches) ggfs. abwählen.


schritt 3

Deinstalliere bitte
Bonjour
BearShare



schritt 4

RSIT erneut das System scannen lassen

• Schließe alle Fenster und Programme inkl. Browser.
• Lösche C:\rsit\info.txt manuell.
• Start => ausführen (bei Vista: im Feld "Suche starten")
• "%userprofile%\desktop\rsit.exe" /info (reinkopieren),
  damit die alten Logdateien von RSIT überschrieben werden.
• Bitte poste den Inhalt folgender Logs hier in den Thread:
  C:\rsit\log.txt und C:\rsit\info.txt (<= wird minimiert in der Taskleiste dargestellt).

Macht der Rechner noch Probleme?

Hab bei der Java-Deinstallation (aus schritt 2) Probleme:

Wenn ich Java (TM) 6 Update 7 über die Systemsteuerung bzw. Programmliste entfernen will, erscheint folgende Meldung:

"Interner Fehler 2753. RegUtils"

gefolgt von einer weiteren Meldung:

"Schwerwiegender Fehler bei der Installation"


Was kann/soll ich tun? Hab jetzt die neue Java noch nicht drauf und schritt 3 und 4 auch noch nicht ausgeführt!


Dann noch eine Frage zu der Softwareauflistung, die man über die Systemsteuerung aufruft. Bei mir erscheinen oben einige Programme, das geht bis D... (die sid ja alphabetisch geordnet) und danach erscheinen schwarze und weiße Rechtecke und ich muss ewig nach unten scrollen, bis es dann mit den Programmen ab Buchstabe F... weitergeht. Ich hoffe du verstehst was ich meine.

Das macht eigentlich alles JavaRa.
Damit Probleme?

Mhh... ich habs dann einfach nochmal probiert! Schau mal was du aus dem Logfile ersehen kannst.

Sieht eigentlich gut aus. Poste mal ne RSIT

Fortsetzung von info.txt

Fortsetzung von log.txt

schritt 1

Registry Einträge ändern, löschen oder erstellen

Start--> ausführen--> notepad (reinschreiben)--> ok

Kopiere nun bitte folgenden Text aus der Code-Box in das leere Textdokument

• Speichere es nun unter regfix.reg
• achte darauf, dass bei Datei-Typ "Alle Dateien" angegeben ist
• nun sollte http://image.hijackthis.eu/upload/regfix_kl.jpg auf Deinem Desktop erscheinen
• Mache nun einen Doppelklick auf die Datei regfix.reg
• Bestätige mit Ja, dann drücke OK
• Starte den Rechner neu auf

Hier findest Du eine bebilderte Anleitung


schritt 2

RSIT erneut das System scannen lassen

• Schließe alle Fenster und Programme inkl. Browser.
• Lösche C:\rsit\info.txt manuell.
• Start => ausführen (bei Vista: im Feld "Suche starten")
• "%userprofile%\desktop\rsit.exe" /info (reinkopieren),
  damit die alten Logdateien von RSIT überschrieben werden.
• Bitte poste den Inhalt folgender Logs hier in den Thread:
  C:\rsit\log.txt und C:\rsit\info.txt (<= wird minimiert in der Taskleiste dargestellt).

log.txt reicht mir
Berichte wie der Rechner läuft.

Der Rechner läuft stabil, braucht aber nach dem Hochfahren bzw. Neustart sehr lange bis er arbeitsfähig ist.

Eine kurze Frage am Rande... Wenn ich bei GMX einen Email-Anhang runterladen will, funktioniert das seit einiger Zeit nicht mehr. Da wo sonst der zu speichernde Dateiname steht, steht "derefer" und ich kann die Datei nicht auf dem Rechner speichern. Woran liegt das?

Teil 2 vom log.txt:

Muss ich mir ansehen.

Noch ne kleinigkeit.

Dateien mit OTM verschieben

Falls noch nicht vorhanden, lade Dir OTM von OldTimer herunter.

• Speichere das Programm auf Deinem Desktop.
• Sollte Dein Anti-Virus-Programm "Alarm" schlagen, bitte ignorieren und/oder OTM auf die Liste der Ausnahmen setzen.
• Doppelklick auf die OTM.exe, um das Programm auszuführen.
• Vista-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
• Einen Haken setzen bei "Unregister Dll's and Ocx's"
• Kopiere den Inhalt der folgenden Codebox komplett in die OTM-Box mit dem gelben Titel
  (Paste Instructions for Items to be Moved)
  
  Code:

  ---

  :processes
explorer.exe
:reg
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Programme\uTorrent\uTorrent.exe"=-
"C:\Programme\BearShare\BearShare.exe"=-
:commands
[purity]
[resethosts]
[emptytemp]
[start explorer]
[Reboot]

  ---

• Den roten Moveit! Button anklicken.
• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren oder
• den Inhalt der Datei C:\_OTM\MovedFiles\<datum_nr.>.log kopieren
  und das Ergebnis in Deine nächste Antwort posten.
• Die Dateien und/oder Ordner werden nach C:\_OTM\MovedFiles\ verschoben.
• Schließe OTM

Sollte eine Datei oder ein Ordner nicht verschoben werden können, wirst Du eventuell aufgefordert, den PC neuzustarten damit der Prozess abgeschlossen werden kann. Sollte dies der Fall sein, bestätige das mit Ja.

Poste mir die Logfile

Ich musste neustarten und dann erschien folgendes:

Neustart dauert lange?
Vl das System schon älter.

Aber das sehen wir uns dann noch an.

Bitte installiere einmal Java Update 17 (link in der JavaRa Anleitung)
Danach lösche mal den Cache der Browser und eventuell mal bei gmx aufräumen.

Danach noch folgendes.

Kontrolle, ob Master Boot Record in Ordnung ist (MBR-Rootkit)

• Downloade die MBR.exe von Gmer und
• speichere es auf Deinem Desktop.
• Mache einen Doppelklick auf das Programm, um es zu starten.
• Wenn Dein Antiviren-Programm anschlägt, bitte ignorieren bzw. die Aktion zulassen.
• Nun wirst Du ein Logfile auf Deinem Desktop namens mbr.log finden.
• Poste mir den Inhalt dieser Logdatei hier in den Thread.

Bitte poste in Deiner nächsten Antwort
Log von mbr.exe

Java Update 17 hatte ich schon installiert!

Hier das mbr.log:

Und wie siehts mit GMX aus ?

Was meinst du mit "aufräumen" bei Gmx? Alte Mails löschen?

genau das meinte ich

Da tut sich nichts. Das ist immer noch so, wenn ich "Ziel speichern unter" auswähle erscheint im nächsten Fenster bei Dateiname "derefer.htm" und bei Dateityp HTML-Dokument, d.h. ich kann die eigentliche Datei nicht speichern.

Mir ist jetzt noch aufgefallen, dass in dem Fenster wo das Diskettensymbol mit der Download -Anweisung steht unten links im Browser so ein gelbes Dreieck mit Ausrufezeichen und "Fertig, es sind Fehler auf der Seite aufgetreten" steht. Rechts davon befindet sich ein Auge mit Verbotsschild und wenn ich drauf Doppelklicke erscheint ein "Datenschutzbericht", mit einer Auflistung in der geblockte Cookies aufgeführt werden.

Ich hab kein gmx. kannst DU mir davon einmal einen screenshot posten ?

Hier kommen die Screenshots!

Ist das mit beiden Browsern so ?

Nein mit Firefox funktioniert das. Aber der stürzt dafür an anderer Stelle manchmal ab. Deshalb benutze ich meist den IE.

Ich werde mal meine Kollegen fragen, vl hat jemand damit schon Erfahrung. :)

Okay, vielen Dank. Was kann ich sonst noch tun?

Versuch bitte einmal im Drop-Down Menu (erster Screen) das Format von Datei-Typ in HTML Format zu ändern und abszuspeichern.

Berichte bitte ob das geklappt hat.

Ich kann bei Dateityp nur wählen zwischen "HTML-Dokument" und "Alle Dateien".

joa meinte ich auch :D

Aber dadurch bekomme ich die Datei auch nicht runtergeladen... den eigentlichen Dateinamen siehst du in dem Download-Fenster (erster Screen) hinter 0%, wo RG...usw. steht.

Aber wenn wir das nicht hinbekommen, ist nicht so tragisch. Notfalls kann ich die Dateianhänge ja mit Firefox runterladen.

Kann ich denn sonst noch irgendwie überflüssiges Zeug vom Rechner schmeißen, und ihn "entschlanken", schneller machen??

Wie sieht es mit den Sicherheitseinstellungen im IE aus?
Cookies erlaubt?

Lass bitte einmal CCleaner laufen.

Bei meinen Einstllungen steht unter Sicherheitsstufe fürs Internet "Mittelhoch" und bei Datenschutz "Niedrig".

CCleaner schon gelaufen und keine Veränderung :confused:

CCleaner hab ich durchlaufen lassen. Der hat einiges runtergeschmissen und Fehler in der Registry erkannnt. Aber der Rechner braucht immer noch lange nach dem Hochfahren.
Allerdings laufen bei mir jetzt SuperAntispyware und AntiVir Personal parallel. Kann ich da eins runterschmeißen? Außerdem hab ich die Sygate Personal Firewall laufen. Was würdest du mir empfehlen (Firewall und Virenschutz)?

SASW kannst wieder deinstallieren.

Mir gehts aber nicht darum, ob dein Rechner schnell ist oder nicht, ich will das gmx problem geklärt haben

Und absicherung Sygate Avira hab ich auch. reicht

Das GMX-Problem besteht (leider) nach wie vor.

Deinstalliere einmal den IE8 und installiere ihn neu
IE 8

Hab ich gemacht... das Problem besteh immernoch :confused:

Sorry, hatte Dich nicht in den Abos.
Bitte nicht scheu sein, sondern einfach mal ne PN schicken :)

Kannst Du Dir bitte einmal die Sicherheitseinstellungen für
gmx.net
gmxattachments.net/

(in Internetoptionen zu finden)

Was soll ich mit den Sicherheitseinstellungen machen und wie finde ich das genau?

Ich hab noch mal den Fehlerbericht auf der Seite, wo man die attachments runterläd kopiert, der sieht so aus:

Im IE --> Reiter Extras --> Internetoptionen --> Sicherheit --> Eingeschränkte Sites.

Schau mal ob da iwas mit gmx vorkommt.
Wenn ja, auf entfernen.

Sonst unten auf "Alle Zonen auf Standardstufe zurückstellen"

Rechner neu starten. Berichte