Trojaner-Board - Trojaner (?) manipuliert Sparkassen Webseite, bzw. PC

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner (?) manipuliert Sparkassen Webseite, bzw. PC (https://www.trojaner-board.de/115170-trojaner-manipuliert-sparkassen-webseite-bzw-pc.html)

Trojaner (?) manipuliert Sparkassen Webseite, bzw. PC

Hallo, im Anhang habe ich zwei Screenshots angefügt, die das Problem "im Bilde" zeigen.

In Textform: Offenbar hat sich ein (oder mehrere) Trojaner auf meinem PC eingeschlichen, der mir jetzt versucht Bankdaten zu entlocken, die ich aber NICHT eingegeben habe.

Ich habe den Computer zunächst mittels Systemwiederherstellung auf ein älteres Datum (das älteste in der Liste verfügbare) zurückgesetzt.

Ich habe Windows 7 und nutze die Security Essentials.

So nun gehts los (ich hoffe ohne Fehler im Ablauf):

1) Defogger liefert keine Fehlermeldung
2) Logs mit DDS erstellt
3) Windows 64bit, daher KEIN Gmer

Gewünschte Dateien befinden sich im ZIP Anhang.

*EDIT* Habe außerdem einen Quickscan mit Malwarebytes gemacht - kann ja nicht schaden, denke ich ;)

Zitat:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.15.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Blubb :: Blubb-PC [Administrator]

Schutz: Deaktiviert

15.05.2012 14:18:20
mbam-log-2012-05-15 (14-18-20).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 234099
Laufzeit: 4 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Screenshots sind als JPG beigefügt.

Danke für Eure Unterstützung!

Hier noch Malwarebytes Komplettscan ohne Meldungen

Zitat:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.15.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Blubb:: Blubb-PC [Administrator]

Schutz: Deaktiviert

15.05.2012 14:25:35
mbam-log-2012-05-15 (14-25-35).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 534975
Laufzeit: 1 Stunde(n), 15 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

hi
tritt das problem nach der swh noch auf?
es wird wohl das beste sein, den pc neu aufzusetzen, will mir aber noch was ansehen.
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die
OTL.exe
.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg
Textbox.

Code:

activex

netsvcs

msconfig

%SYSTEMDRIVE%\*.

%PROGRAMFILES%\*.exe

%LOCALAPPDATA%\*.exe

%systemroot%\*. /mp /s

/md5start

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

explorer.exe

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\system32\*.dll /lockedfiles

%USERPROFILE%\*.*

%USERPROFILE%\Local Settings\Temp\*.exe

%USERPROFILE%\Local Settings\Temp\*.dll

%USERPROFILE%\Application Data\*.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere
nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hier ein ESET Scan - der hat bisschen was gefunden - der andere folgt gleich!

Danke mal wieder...

Zitat:

C:\Users\NAME\AppData\Local\Downloaded Installations\{5C9A18B4-5B3E-401B-BC8F-DAB706B94813}\Mobile Mouse Server.msi Variante von Win32/HiddenStart.A Anwendung gelöscht - in Quarantäne kopiert
C:\Users\NAME\AppData\Local\Temp\InstallShare30326\bab_setup.exe Win32/Toolbar.Babylon Anwendung Gesäubert durch Löschen - in Quarantäne kopiert
C:\Z\NAME\AppData\Local\Downloaded Installations\{5C9A18B4-5B3E-401B-BC8F-DAB706B94813}\Mobile Mouse Server.msi Variante von Win32/HiddenStart.A Anwendung gelöscht - in Quarantäne kopiert
C:\Z\NAME\AppData\Local\Temp\ICReinstall\cnet2_EAMT-Automated-Forex-Trading-Demo-Version_rar.exe Variante von Win32/InstallCore.D Anwendung Gesäubert durch Löschen - in Quarantäne kopiert
C:\Z\NAME\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6\6f5830c6-2bf88777 Java/Exploit.CVE-2011-3544.AV Trojaner gelöscht - in Quarantäne kopiert

Gewünschter OTL ZIP im Anhang

hab ne frage gestellt, bitte beantworten.

Zitat:

Zitat von markusg (Beitrag 829285)

hab ne frage gestellt, bitte beantworten.

Hallo! Was meinst du mit SWH bitte?

PC wirkt aktuell sehr stabil und flott, aktuell mache ich aber nichts sensibles mit.

OTL Logs hab ich oben angefügt.

Danke!