Trojaner-Board - Deutsche Bank Tan Trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Deutsche Bank Tan Trojaner (https://www.trojaner-board.de/101085-deutsche-bank-tan-trojaner.html)

Deutsche Bank Tan Trojaner

Hallo zusammen,

hoffe Ihr könnt mir Helfen.
Habe bereits die Suchfunktion benutzt, und auch was gefunden, was mir aber leider nicht Hilfreich war.

Hab seit heute auf meinen Laptop (Lenovo T61P / WIndows XP SP 2) folgendes erlebt:

Wollte mich auf mein OnlineBanking der Deutschen Bank einloggen. Hierbei kam, bevor ich mich überhaupt eingeloggt habe, der Hinweiß, das die Bank die Tans abschafft etc. Nachdem ich hier noch nicht mißtrauisch geworden bin, hab ich mich normal eingeloggt, und plötzlich kam ein Fenster wo ich aufgefordert wurde, alle meine Tans einzugeben, was ich natürlich nicht gemacht habe. Hab dann gleich bei der Bank angerufen, und von nem anderem Rechner aus meine Pin geändert.
Hijack & AVG haben nichts gefunden. Ich würde gern wenn möglich nicht gleich alles neu aufspielen müssen.
Hoffe Ihr könnt mir helfen.

Grüße w1cht...

EDIT: Achja hatte in der letzten Zeit auch immer wieder die Meldung (Beispielbild):

http://imt.uni-paderborn.de/fileadmi...xport_e_10.png

Zitat:

WIndows XP SP 2

Warum nur SP2?

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL-Custom:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox.

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

/md5start

wininit.exe

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Also habe bisher "nur" mit Malware gescannt...und gleich 4 Treffer.
uA. einen Spyeye Trojaner...
Hab danach den Rechner neu gestartet, und alles funktioniert wieder.

Hier mal das Log:

Malwarebytes' Anti-Malware 1.46
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Database version: 7034

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

07.07.2011 20:24:55
mbam-log-2011-07-07 (20-24-55).txt

Scan type: Full scan (C:\|)
Objects scanned: 395996
Time elapsed: 1 hour(s), 54 minute(s), 32 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 1
Files Infected: 3

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
C:\recycle.bin (Trojan.Spyeyes) -> Delete on reboot.

Files Infected:
C:\Dokumente und Einstellungen\EVASRECHNER\Lokale Einstellungen\Temp\0.49735752248320897.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\EVASRECHNER\Lokale Einstellungen\Temp\jar_cache2844003356640882897.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Recycle.Bin\Recycle.Bin.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Ist mein Rechner nun wieder sicher, oder ist noch irgendwas zu beachten, bzw welche Software kann ich zum vorbeugen installieren, da AVG dieses ja nicht bemerkt hat

Zitat:

C:\recycle.bin (Trojan.Spyeyes) -> Delete on reboot.

Bei Onlinebanking solltest du generell sehr vorsichtig sein und überlegen ob du den Kompromiss einer Bereinigung wirklich eingehen willst.
Normalerweise empfiehlt man bei so einer Infektion eine Neuinstallation von Windows.

Zitat:

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

Ziemlich fahrlässig. Windows XP mit SP2 ist schon ein no Go, dann aber noch offensichtlich OnlineBanking mit dem Uralt-IE6 (siehe Screenshot von dir) zu machen ist schon sehr fahrlässig. :nixda:

Ich empfehle dir eine Neuinstallation und grundlegene Absicherung des Systems. V.a. erstmal gründliches Patchen, erster Onlinegang nur wenn min. das SP2 installiert und "produktiv" wird mit der Kiste gesurft, wenn alle Programme und Windows und der IE aktuell sind. Also Windows XP SP3 + IE8 plus Folgeupdates plus alle weiteren installierten Programme auch aktuell.