Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Volksbank-Tan-Trojaner: Wie entfernen? (https://www.trojaner-board.de/91982-volksbank-tan-trojaner-entfernen.html)

harrywepper 18.10.2010 20:15
Volksbank-Tan-Trojaner: Wie entfernen?
 
Hallo,

heute habe ich Online-Banking betreiben wollen. Leider ging das nicht mehr. Es erscheint direkt nach Eingabe der Kto.nr. die Aufforderung, 20 TANs einzutippen. Sollte mir eigentlich egal sein, da ich Online TANs bekomme. Nur komme ich ja so nicht weiter und irgendwas scheint ja nicht zu stimmen.

Noch was, was vllt interessant sein könnte: Seit Freitag hab ich Probleme mit dem(selben?) Trojaner:

Erst meldete er mir, ich müsse den PC runterfahren und alles nicht gespeicherte wäre weg! Das war der erste Kontakt!

Dann war es 2 Tage lang so, dass ich nach jedem Programmende diese Aufforderung bekam, dass mit XXX.exe etwas nicht stimmt und ob Microsoft benachrichtigt werden solle. Diese Sache ist aber seit gestern weg. Jetzt hab ich den TAN Trojaner.

Mal sehen, was morgen passiert....

So meine Frage: Ist da noch was zu retten? Wenn ja, wie?

Ich hab Anti-Virus laufen lassen. Der findet nichts mehr.

Ebenso hab ich Anti-Male-Ware laufen lassen. 3 Funde: und zwar diese hier:

E:\Dokumente und Einstellungen\***\Anwendungsdaten\Helper\bin\liveu.exe (Trojan.Agent) -> No action taken.
Den hab ich dann mal gelöscht (ich hoffe, das war nicht schlimm.)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\helper (Trojan.Agent) -> No action taken.

Was jetzt?

Vielen Dank schon mal für eure Hilfe!!!!!

Chris4You 19.10.2010 07:07
Hi,

Achtung: Sofort von einem sauberen Rechner aus alle Passwörter (Ebay, Amazon, ...) ändern!

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)
  • Poste die Logfiles hier in den Thread

chris

harrywepper 20.10.2010 08:16
Hier die aktuelle Log Datei von Maleware: (Die OTL folgt in Kürze!)

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4888

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

20.10.2010 07:59:17
mbam-log-2010-10-20 (07-59-17).txt

Art des Suchlaufs: Vollständiger Suchlauf (E:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 224579
Laufzeit: 34 Minute(n), 58 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

harrywepper 20.10.2010 08:27
Hier die beiden OTL Dateien im Anhang:

Vielen Dank schon mal für deine Mühe!

Gruß

Thomas

Chris4You 20.10.2010 09:37
Hi,

got him!

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
E:\WINDOWS\system32\mspaedit.dll
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Lade die Datei (E:\WINDOWS\system32\mspaedit.dll) unbedingt bei uns hoch, sie wird wohl nicht erkannt und ist naher als "neue Malware" zu betrachten!
Datei hochladen:
http://www.trojaner-board.de/54791-a...ner-board.html
Folge den Anweisungen dort und lade die Datei:
Code:
E:\WINDOWS\system32\mspaedit.dll
hoch.


Fix für OTL:
  • Doppelklick auf die OTL.exe, um das Programm auszuführen.
  • Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
  • Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"
http://oldtimer.geekstogo.com/OTL/OTL_Main_Tutorial.gif
Code:

:OTL
SRV - (HidServ) -- E:\WINDOWS\System32\hidserv.dll File not found
SRV - (AppMgmt) -- E:\WINDOWS\System32\appmgmts.dll File not found
IE - HKCU\..\URLSearchHook: {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - E:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL (Ask.com)
[2010.10.18 22:01:19 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\lyfykzru.default\extensions\toolbar@ask.com
O2 - BHO: (Ask Search Assistant BHO) - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - E:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL (Ask.com)
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - E:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O2 - BHO: (Ask Toolbar BHO) - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - E:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL (Ask.com)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - E:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - E:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL (Ask.com)
O3 - HKCU\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - E:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O4 - HKCU..\Run: [Helper] E:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Helper\bin\liveu.exe File not found
O4 - HKCU..\Run: [Krncom] E:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Adobe\Update\natgdi.exe File not found
O36 - AppCertDlls: browview - (E:\WINDOWS\system32\mspaedit.dll) - E:\WINDOWS\system32\mspaedit.dll ()
[2010.10.16 23:48:32 | 000,000,000 | ---D | C] -- E:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\AskToolbar
@Alternate Data Stream - 1273 bytes -> E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:MybLCaL3RjurNFEge
@Alternate Data Stream - 1113 bytes -> E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:Tvx1LfP34Wj7T4WUsim
@Alternate Data Stream - 102 bytes -> E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:CB0AACC9

:Commands
[emptytemp]
[EMPTYFLASH]
[purity]
[CREATERESTOREPOINT]
[Reboot]
  • Den roten Run Fixes! Button anklicken.
  • Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.
  • Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:
  • %systemroot%\_OTL

TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Nach dem Start erscheint ein Fenster, dort dann "Start Scan".
Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

chris

harrywepper 20.10.2010 14:57
Volksbank-Tan-Trojaner: Wie entfernen?
 
Im Anhang die Word Datei, was Virustotal herausgefunden hat. Ich hoffe, so war es richtig!

Sorry, das war zu früh!!!!

Hi Chris,

hoffe, dass ich das richtig gemacht habe. Ich hab dir die Logs angehängt. Allerdings ist nach OTL ein Neustart losgegangen und dann erst wurde das Log erstellt. Ist das normal?

Die TDSS Datei kommt gleich!

Hier der Log vom TDSS!

Wird jetzt alles wieder gut? :crazy:

Chris4You 20.10.2010 18:41
Hi,

das Log von Virustotal.com ist leider nicht brauchbar...

Cureit:
http://www.trojaner-board.de/59299-a...eb-cureit.html
Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log.
Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn.
Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet.

chris

harrywepper 20.10.2010 19:44
Hi Chris,

na das scheint ja alles nicht so einfach zu sein!

Hoffe, dass ich das mit Cureit wenigstens hinbekommen hab. Hat tatsächlich was gefunden, in einer Datei, die ich mir am Freitag runtergeladen hatte.

Dann hoffe ich mal, dass es der ist, nach dem wir suchen und dass der sich auch vertreiben lässt!

Nette Grüße

Thomas

Chris4You 20.10.2010 20:12
Hi,

Du kannst jetzt mal die Bankpage probieren, es sollte jetzt wieder ohne Tanabfrage funktionieren...

Abschließend:
Das Tool neigt zu Fehlalarmen und kann in der freien Version auch nichts löschen, ist aber sonst recht gut... (und läuft auch auf 64Bit-Plattformen)
Prevx 3.0 for Home and Family
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...

chris

harrywepper 20.10.2010 20:41
Hallo Chris,

es scheint zu funktionieren! Ich war gerade auf der Bankseite und es gab keine Nachfrage mehr.

Nur bin ich mir nicht sicher, ob das was mit diesem Firefox-Scripts zu tun hat, die ich mir aufgrund der ganzen Sache runtergeladen hab. Ist dieses Tool überhaupt sinnvoll? Jedenfalls ganz schön nervig! Sonst schmeiß ich es wieder runter.

Nun denn, sollte das jetzt dank deiner Hilfe alles wieder in Ordnung sein, wäre ich dir natürlich sehr dankbar und würde mich gern in irgendeiner Weise erkenntlich zeigen. Ich weiß ja nicht, wie das in diesem Forum so möglich ist! Spende an irgendeine "Geschäfts", "Forum"- oder "Party"kasse oder ein Kasten Bier oder sonstiges.

Naja, dir wird sicherlich was einfallen.

Thomas

Chris4You 21.10.2010 06:29
Hi,

da das Teil (der Banker) auch über eine Remotekomponente verfügt, sollte man eigentlich nach einer Infektion Neuaufsetzen...

Für Spenden kannst Du Dich hier hin wenden:
http://www.trojaner-board.de/79994-s...ndenkonto.html

WEnn du im Firefox NoScript laufen lässt, kannst Du die Seiten die ungefährlich sind zulassen. Rechte Maustaste klicken auf das NoScript-Symbol unten im Firefoxfenster und dann "Alle Beschränkungen für diese Seite aufheben"...

chris


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:38 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28