Keylogger/Trojaner mischte sich beim Online-Banking ein
 

Hallo,

Hier bittet no cat um Hilfe, die sich mit ihrem Computer nur wenig auskennt, deshalb schon vorab die Bitte um Nachsicht und um Geduld.
ich bin heute beim Online-Banking stutzig geworden, als plötzlich 10 Tans auf einmal abgefragt wurden. (Zugang hab ich sofort gesperrt)
Merkwürdig war, daß seit einer knappen Woche beim Herunterfahren die Meldung kam, es sollten die offenen Programme noch geschlossen werden, ich aber alles bereits geschlossen hatte.
Mein Avira hat nix mitbekommen beim Durchsuchen. Dann habe ich mir Kaspersky heruntergeladen, der ein Objekt gefunden hat:
Vom Benutzer hinzugefügt (1)
16.05.2011 20:08:05 Vom Benutzer hinzugefügt nicht definiert C:\Users\***\Desktop\malware.txt
:balla:
Ich freue mich, wenn ihr euch meines Problems annehmt.
Die benötigten Files sind im Anhang.

Bis dann!
No cat

Beim Onlinebanking sollte man sich die Frage stellen, ob man mit einer Neuinstallation nicht besser beraten wäre. Oder willst du unbedingt bereinigen?

Hallo Arne,
die vom Sicherheitsdienst meiner Bank haben auch eine Neuinstallation vorgeschlagen, aber deshalb wende ich mich ja an Trojaner Board.
Wollte wissen, ob und wie ich das auch bereinigen könnte.
Mein Problem:
Ich habe einen dell-Computer mit einer windows7 Lizens, aber ohne eine externe CD dazu. Es gibt eine Recovery Version. Nur, weiß ich nicht, ist dann mein Computer wirklich bereinigt? Wie kann ich meine Daten retten? Oder gibt es noch eine bessere Möglichkeit, das Betriebssystem wieder frei von Befall herzustellen?
Liebe Grüße!
No Cat

Natürlich kann man bereinigen, aber das ist immer mit einem Restrisiko verbunden.
Wenn du das eingehen willst, machen wir es.

Ok. Ich will`s versuchen mit dem Restrisiko.
Gruß. No cat

Ok. Öffne Malwarebytes und mach ein Update, danach einen neuen Vollscna, der alte ist schon länger her. Alle Funde entfernen.

Hallo Arne,

habe gemacht, was Du geschrieben hast. Das Programm hat scheinbar nix gefunden. Kurz zuvor hatte ich aber wieder Probleme mit meinem Mail-Account gmx: es ging wieder sehr langsam und die Adresse, an die ich eine Mail schicken wollte, änderte sich beim abschicken in komische Nummern und Buchstaben, so daß die Meldung >nicht versendet< kam.
LG. no cat
:taenzer:

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hallo Arne,

Auftrag ausgeführt.
Es grüßt!
no cat

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

So, lieber Arne,

das habe ich dann auch hingekriegt. Bisher konnte ich auf meine eigenen Dateien und Ordner zugreifen. Danke für den Tip.
Ist es Dir eigentlich lieber, wenn ich die Dateien in diesem Feld poste oder ist es als Anhang o.k.?
Lg. no cat:pfeiff:

Sieht ok aus.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Combofix Logfile:
--- --- ---

:pfeiff: soweit. Es grüßt no cat!

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

GMER Logfile:
--- --- ---

:singsing:

Die Osam-datei habe ich zuerst als *.log gespeichert und zum hochladen als *.txt gespeichert, ich hoffe, das ist o.k.
Die nächste Aufgabe mache ich sofort.
Gruß No Cat

:pfeiff:
Geschafft. No Cat

Hallo Arne,

ich kann erst nächsten Samstag wieder was für meinen PC tun, also nicht wundern, wenn jetzt nix von mir kommt. Möchte aber unbedingt weiter machen. Melde mich wieder hier.
Danke für Deine bisherige Hilfe.:abklatsch:
Kannst Du eigentlich schon was zum Zustand sagen?
Lg No Cat

Das Log von mbrcheck ist unvollständig. Poste es bitte komplett. Notfalls das Tool nochmal ausführen, per Rechtsklick als Admin!! und nicht zu früh schließen!

Hallo Arne,

bin wieder da, habe den MBRcheck nochmals so wie gesagt ausgeführt. Habe mbr.exe geschlossen, als die txt.datei auf dem Desktop erschien, hoffe, daß das nicht wieder zu früh war.
Freu mich auf die Fortsetzung der Reinigung.
Liebe Grüße#
no cat:Boogie:

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Das hat Kaspersky gestern und heute gefunden.:kloppen:
Poste Dir die ersten beiden Scans.
Gruß
no cat

29.05.2011 17:15:50 Nicht gefunden Virus HEUR:Trojan.Win32.Generic c:\Users\Christine\kqloadEF.dll Hoch

30.05.2011 11:47:25 Unter Quarantäne Virus HEUR:Trojan.Win32.Generic c:\_otl\movedfiles\05202011_222230\c_users\christine\appdata\roaming\microsoft\windows\start menu\programs\startup\scanudiskic56.dll Hoch
30.05.2011 11:47:17 Unter Quarantäne Virus HEUR:Trojan.Win32.Generic c:\_otl\movedfiles\05202011_222230\c_users\christine\appdata\roaming\microsoft\windows\start menu\programs\startup\scanxdiskbb36.dll Hoch

Waren offensichtlich nur ein Überrest und Funde im Q-Ordner von OTL.
Noch Probleme oder weitere Funde? Oder ist der Rechner nun wieder im Lot?

nachdem der scan abgeschlossen war und ich den Browser geschlossen habe, kam die Meldung: Dieses Programm wurde eventuell nicht richtig installiert. Ich hab`s erst mal ignoriert. Soll ich`s noch mal machen?
Gruß!
No cat


ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6427
# api_version=3.0.2
# EOSSerial=06797961a7b445458fe4d177364ba03f
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-05-30 02:04:03
# local_time=2011-05-30 04:04:03 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT
# compatibility_mode=1280 16777215 100 0 835997 835997 0 0
# compatibility_mode=5893 16776573 100 94 79330 59198318 0 0
# compatibility_mode=8192 67108863 100 0 206 206 0 0
# scanned=117645
# found=1
# cleaned=0
# scan_time=4667
C:\Users\Christine\Downloads\registrybooster.exe Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I

Registrybooster ist Müll, löschen.
Rechner ansonsten wieder ok?

Mh, keine ahnung...wenn Kaspersky immer wieder Trojaner findet, dann denke ich, sind die doch noch in meinem PC, oder?
:confused:
Gruß
no cat

Und was wird wo gefunden? Deswegen frag ich ja!!

:stirn: ups, entschuldige.
ich meine das, was ich Dir heute 14.18h geschrieben habe. Nach den Scans heute gab es keine neue Meldung mehr.
Ich bin etwas mißtrauisch....mehr nicht.
Ansonsten ist die Geschwindikeit wieder normal und sonst ist mir auch nichts weiter aufgefallen.
Also vielen vielen Dank. Du hast mir sehr geholfen.:daumenhoc
Falls mir etwas Seltsames auffällt, würde ich mich gerne an Dich wenden.
Gruß
no cat

Das waren nur Überreste bzw. isolierte Schädlinge.

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

:applaus:
Hallo Arne,
was lange währt...
Ich habe die Updates erledigt und werde noch meine Passwörter ändern. Alles gut bisher, nix Ungewöhnliches passiert, mein Computrer läuft wie geschmiert! Ich freu mich sehr und bin Dir sehr sehr dankbar.
also: :abklatsch:
Gruß!
no cat