Trojaner eingefangen!
 

Hallo,

ich wollte gestern mich in mein Online-Banking bei meiner Bank einloggen. Leider wurde mir der Zugriff verweigert und ich wurde aufgefordert 50 TANs einzugeben. Das habe ich natürlich nicht gemacht.
Ich habe daraufhin Malware-Bytes und Combo-Fix verwendet.
Auf mein online-banking konnte ich jetzt wieder zugreifen. Die Frage, die sich bei mir stellt ist, ob der Trojaner wirklich beseitigt ist?
Anbei die Log-Datei von Combofix und das Log-File vom Rootkitbuster von heute morgen.

Danke für die Hilfe...

Warum führst Du auf eigene Faust Combofix auf? Das sollst Du erst auf Anweisung hin ausführen - so steht es jedenfalls überall hier dick und fett, unübersehbar! :balla:

Wo ist das Log von Malwarebytes?

Das mit Combatfix habe ich erst später gelesen...!
Anbei das log-File von gestern und heute.

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

hi Arne,

so hier die Log-Datei nach dem Scan bei Malware und OTL.

Hast du denn eigentlich schon etwas entdeckt?

Hier ist das zweite Log-File von OTL...

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

So habe ich ausgeführt.

Anbei das Log-File.

Was war das für ein Trojaner?

All processes killed
========== OTL ==========
C:\Windows\08B785C138934154B53BF5D341D0AAAA.TMP folder moved successfully.
C:\Users\Bonnstar007\AppData\Local\prvlcl.dat moved successfully.
File C:\Users\Bonnstar007\AppData\Local\prvlcl.dat not found.
ADS C:\ProgramData\TEMP:0B4227B4 deleted successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Bonnstar007
->Temp folder emptied: 2006192 bytes
->Temporary Internet Files folder emptied: 296987 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 58706736 bytes
->Flash cache emptied: 3550 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public
->Temp folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 709456 bytes
%systemroot%\System32 .tmp files removed: 1619120 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 561094 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 61,00 mb


OTL by OldTimer - Version 3.2.18.1 log created on 12292010_195607

Files\Folders moved on Reboot...
File move failed. C:\Windows\temp\_avast5_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,

habe alles gemacht.

Kannst du mir sagen, ob ich noch einen Trojaner habe? Und was war das für einer?

Welche Viren-Software empfielst du?

Bei der Firewall reicht doch die von Win7?

Danke
Jan

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur einige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hallo Arne,

alles gemacht...!

Kannst du mir sagen, was das Problem war?

Hier das Log von Gmer:

GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit quick scan 2010-12-29 21:58:58
Windows 6.1.7600 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T1L0-7 ST3500830AS rev.3.AAD
Running: d3q9q7ni.exe; Driver: C:\Users\BONNST~1\AppData\Local\Temp\kwliafod.sys


Anbei das Log MBRCheck

---- System - GMER 1.0.15 ----

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateProcessEx [0x8DC5169E]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateSection [0x8DC514C2]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwLoadDriver [0x8DC515FC]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) NtCreateSection
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObMakeTemporaryObject

---- Devices - GMER 1.0.15 ----

Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-2 84E7A1F8
Device \Driver\atapi \Device\Ide\IdePort0 84E7A1F8
Device \Driver\atapi \Device\Ide\IdePort1 84E7A1F8
Device \Driver\atapi \Device\Ide\IdePort2 84E7A1F8
Device \Driver\atapi \Device\Ide\IdePort3 84E7A1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-7 84E7A1F8
Device \Driver\aap901f4 \Device\Scsi\aap901f41Port4Path0Target0Lun0 86248500
Device \Driver\aap901f4 \Device\Scsi\aap901f41 86248500
Device \FileSystem\Ntfs \Ntfs 84E7C1F8

AttachedDevice \Driver\tdx \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice \Driver\tdx \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)

---- EOF - GMER 1.0.15 ----

Hier das Log von Osam:

OSAM Logfile:
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hey Arne,

der Scan ist noch nicht abgeschlossen.

Was weisst du über Adware Shopping Report und Tr.Agent/Gen-OnlineGames[Wilao]

Hier das Log von SuperAntiSpyware:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 12/29/2010 at 11:00 PM

Application Version : 4.47.1000

Core Rules Database Version : 6096
Trace Rules Database Version: 3908

Scan type : Complete Scan
Total Scan Time : 00:30:52

Memory items scanned : 1002
Memory threats detected : 0
Registry items scanned : 9802
Registry threats detected : 15
File items scanned : 32816
File threats detected : 1

Adware.Zango/ShoppingReport
HKCR\Interface\{618AAD04-921F-44C2-BE38-C0818AF69861}
HKCR\Interface\{618AAD04-921F-44C2-BE38-C0818AF69861}\ProxyStubClsid
HKCR\Interface\{618AAD04-921F-44C2-BE38-C0818AF69861}\ProxyStubClsid32
HKCR\Interface\{618AAD04-921F-44C2-BE38-C0818AF69861}\TypeLib
HKCR\Interface\{618AAD04-921F-44C2-BE38-C0818AF69861}\TypeLib#Version
HKCR\Interface\{B5D2ED96-62F9-4C2C-956D-E425B1F67337}
HKCR\Interface\{B5D2ED96-62F9-4C2C-956D-E425B1F67337}\ProxyStubClsid
HKCR\Interface\{B5D2ED96-62F9-4C2C-956D-E425B1F67337}\ProxyStubClsid32
HKCR\Interface\{B5D2ED96-62F9-4C2C-956D-E425B1F67337}\TypeLib
HKCR\Interface\{B5D2ED96-62F9-4C2C-956D-E425B1F67337}\TypeLib#Version
HKCR\Interface\{D3A412E8-1E4B-47D2-9B12-F88291F5AFBB}
HKCR\Interface\{D3A412E8-1E4B-47D2-9B12-F88291F5AFBB}\ProxyStubClsid
HKCR\Interface\{D3A412E8-1E4B-47D2-9B12-F88291F5AFBB}\ProxyStubClsid32
HKCR\Interface\{D3A412E8-1E4B-47D2-9B12-F88291F5AFBB}\TypeLib
HKCR\Interface\{D3A412E8-1E4B-47D2-9B12-F88291F5AFBB}\TypeLib#Version

Trojan.Agent/Gen-OnlineGames[Wilao]
C:\$WINDOWS.~Q\DATA\WINDOWS\SETUP\SCRIPTS\START.EXE

Cookies und ein Überrest. Harmlos.
Alles paletti jetzt?

Habe die jetzt gelöscht. Lasse jetzt noch einmal Malware-Bytes laufen...

Was war das denn bitte???????

So hier die Logs von Malware Byte...

Hallo Arne,

heute morgen habe ich noch einmal einen Scan durchgeführt.

Anbei die Logs:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5421

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

30.12.2010 08:30:24
mbam-log-2010-12-30 (08-30-24).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 295632
Laufzeit: 42 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Welche Programme kann ich wieder löschen?

Im Grunde alle :)

Danke für deine Hilfe...

Kannst du mir sagen, was es für ein Befall war und wie schwer?

Gruß

Jan

Den üblichen Ad-/Spyware-Dreck...
Ist nun wieder alles ok oder noch was offen?

Ne, alles ok.

Danke noch einmal...l

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.