Trojaner-Board - Trojaner auf meinem Rechner

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner auf meinem Rechner (https://www.trojaner-board.de/148175-trojaner-meinem-rechner.html)

Trojaner auf meinem Rechner

Niklas von Secure Banking glaubt das ich einen Trojaner auf meinem Rechner habe ich selber habe keine Meldung von meinem Viren Programm ausser das Secure Banking meldet was. Habe einen Screen Shot der Secure Banking Hochgeladen.

Hallo,

ja durch die Hooks, wie sie in deinem Screenshot zu sehen sind, ist es möglich, deinen Internettraffic abzuhören (und das auch bei verschlüsselt verschickten Daten im Klartext) und zu manipulieren (z.B. HTML-Injection bei aufgerufenen Websites).

Schauen wir mal, ob wir herausfinden, wer sich da einklinken will.
Mach zum Start bitte einen FRST-Scan:

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:

FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

Starte jetzt FRST.
Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hallo zusammen! ;)

Wollt nur mal kurz einwerfen, falls ihr was findet, lasst mir doch bitte das Sample zukommen. :dankeschoen:

Gutes gelingen. :daumenhoc

Es ist kein Download von Frst 64 möglich .Irgend was funzt nich mehr richtig

Wo liegt konkret das Problem?
Kannst du FRST auf einem anderen Rechner herunterladen und per USB-Stick auf den betroffenen Rechner transferieren?

Hallo Leo! Jetzt hats geklappt hier die erste log.

Hier der 2. Es geht nur mit Hochladen mit dem Symbol funktionert es nicht

Du installierst ja jedes Security- und Privacyprogramm, das nicht bei 3 auf den Bäumen ist... :D

Deaktiviere bitte mal in den Einstellungen von deinem G-Data Antivirenprogramm den Bankguard. Meldet dann Secure Banking immer noch diese Hooks, wenn du einen Browser öffnest?

Hook ist auch nach abschaltung vorhanden statt Unknow kommt Ziffer226 . Es gibt auf diesen Pc nur ein Viren Programm und ads ist G Data. Alles andere ist schon lange Deinstall. aber es gibt immer Reste inder Reg. die ich auch noch gerne entfernen würde. So etwas wie Sau Alarm oder Avira.

Zitat:

Zitat von Diedier (Beitrag 1235583)

Hook ist auch nach abschaltung vorhanden statt Unknow kommt Ziffer226.

Da hattest du aber genau das richtige Timing. :P

Wenn du jetzt noch einmal schaust, sollte auch nach Abschaltung sowie mit aktivem Modul wieder "Unknown" kommen.
Hab nur gerade was umgestellt in der Online-Datenbank und diesen Wert testhalber ausgeben lassen. (Du hast ja die Beta-Version installiert, da darf ich ja noch ein bisschen rumbasteln im laufendem Betrieb :P)

Fazit: Mit und ohne Bankguard werden die Hooks gesetzt.

Ich dachte, der Bankguard von G-Data wolle genau solche Manipulationen in den (für MitB relevanten) geladenen Dlls im Speicherbereich des Browsers erkennen und melden.. Ist Secure Banking da einfach schneller?
Mach es bitte auch mal umgekehrt: Deaktiviere Secure Banking und schau, ob dann G-Data (und sein Bankguard) etwas Verdächtiges im Browser melden.
Und betrifft es beide Browser (IE und FF), der nur einen davon?

Mach dann bitte auch einen FRST-Scan aus der Recovery:

Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit

Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.

Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

Starte den Rechner neu.

Während dem Hochfahren drücke mehrmals die F8 Taste

Wähle nun Computer reparieren.

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

Lege die Windows CD in dein Laufwerk.

Starte den Rechner neu und starte von der CD.

Wähle die Spracheinstellungen und klicke "Weiter".

Klicke auf Computerreparaturoptionen !

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

Gib nun bitte notepad ein und drücke Enter.

Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.

Schließe Notepad wieder

Gib nun bitte folgenden Befehl ein.
e:\frst.exe bzw. e:\frst64.exe
Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.

Akzeptiere den Disclaimer mit Ja und klicke Untersuchen

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

Zitat:

Zitat von aharonov (Beitrag 1235598)

Ja der Bankguard sollte die selben Manipulationen erkennen. Was jedoch zu beachten ist, der Bankguard unterstützt Google Chrome nicht!

Und wegen dem Thema, wer ist schneller, das ist reines Glücksspiel. :P

Der Hook ist nur im Firefox nicht im IE. Das du was geändert hast viel gerade schon auf.

Du hast ein 64-Bit OS glaub ich, oder?

Dann hast du dort aus einem Grund keine Hooks, da SB dort die Module (x64) nicht scannen kann.
In dieser Beta wird aber fälschlicherweise eine "Browser scanned and clean!" Meldung ausgegeben.

Und G-Data meldet auch dann nichts, wenn du Secure Banking deaktiviert hast?

Der Hook ist nur bei Firefox nicht bei IE. Jetzt kommt wieder Unknown. Hab auch den Secure Banking Deaktiviert und erhalte keine Meldung von G Data. Die Jungs von G Data sagen das beide ohne Probleme mit einander Arbeiten

Ok, dann warte ich noch auf das FRST-Log aus der RE, wie oben angegeben.

Hallo Leo! Habe die Logs vom Booten Hochgeleaden mit dem Raute Symbol funzt es immer noch nicht.

Hi Niklas! Habe Win 7 Prof. 64 Bit. was ist Os?

Der G Data Bank Guard ist nicht mehr im Browser da dieser zu oft erneuert wird dieser Arbeitet nur im Programm mit weietre Auskünfte hierzu bei G Data. Daher von denen die aussage Secure Banking ruhig drauf lassen.

Hi,

OS = Operating System = Betriebssystem.. ;)

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

WICHTIG: Speichere Combofix auf deinem Desktop.

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es ein Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Zitat:

Zitat von Diedier (Beitrag 1236376)

Der G Data Bank Guard ist nicht mehr im Browser da dieser zu oft erneuert wird dieser Arbeitet nur im Programm mit weietre Auskünfte hierzu bei G Data. Daher von denen die aussage Secure Banking ruhig drauf lassen.

Was?? Kannst du mir das bitte etwas näher erläutern? Hast du mit den Leuten von G Data Kontakt aufgenommen? Oder steht das irgendwo so im Internet?

Das interessiert mich jetzt sehr! :wtf:

Nein das ist schon länger weil ich den Bank Guard nur im IE und nicht im Firefox. Es stellte sich für mich die Frage ob 2 Security Programme sich gegenseitig stören. Denen war damals euer Secure Banking schon bekannt

Hi Leo! Musste gestern Abend den 22.1.14 nach Total Absturz auf eine ältere Sicherung zurük greifen hatte vergessen den Ruhestand zu Deaktivieren während Combifix lief. Jetzt versuche ich zustand wieder herzustellen der da vor war. Habe zur Zeit auch keine Hooks mehr im Firefox. Wenn alles Wiederhergstellt ist komme auf Combifix zurück.

Wenn alles wiederhergestellt ist und du keine Hooks im Firefox mehr hast, dann mach zuerst ein frisches FRST-Log:

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:

FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

Starte jetzt FRST.
Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hallo Leo! Ich hoffe das jetzt alles wieder im alten zustand ist. Anbei die Farbar´s Logs warum um alles auf der Welt funktioniert das Raute Symbol bei mir nicht.

Zitat:

Zitat von Diedier (Beitrag 1238584)

Hallo Leo! Ich hoffe das jetzt alles wieder im alten zustand ist. Anbei die Farbar´s Logs warum um alles auf der Welt funktioniert das Raute Symbol bei mir nicht.

Kann das mit meinem VPN zusammen hängen?

Kann dir auch nicht sagen, was da los war.

Schritt 1

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ProxyEnable: Internet Explorer proxy is enabled.

ProxyServer: http=127.0.0.1:8555;https=127.0.0.1:8555

SearchScopes: HKCU - {9A128294-CC3D-4C74-96FB-CC25066FC08B} URL = http://websearch.ask.com/redirect?client=ie&tb=AVR-4&o=APN10261&src=kw&q={searchTerms}&locale=&apn_ptnrs=^AGS&apn_dtid=^YYYYYY^YY^DE&apn_uid=ad9d75d8-17b1-4d8f-9bb7-b393bef69057&apn_sauid=C092DC8A-53D2-41E5-A0FD-CB88733866E3

SearchScopes: HKCU - {A4726028-11BB-4273-B9C1-C2DC72A91519} URL = http://search.zonealarm.com/search?src=sp&tbid=base2013&Lan=de&q={searchTerms}&gu=2f873c3691f448a296b2206c5fc73bb3&tu=10GX0006H1B000c&sku=&tstsId=&ver=&&r=828

SearchScopes: HKCU - {CE59EC10-5201-46C2-9471-A92FAD1873EE} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3297265&CUI=UN79559011271142935&UM=2

SearchScopes: HKCU - {FCAEF9E3-F22E-4A88-BDBE-33EAA395798F} URL = http://www.gsrch.com/#q={searchTerms}

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

Starte nun FRST erneut und klicke den Entfernen Button.
Das Tool erstellt eine Fixlog.txt.
Poste mir deren Inhalt.

Schritt 2

Downloade Dir bitte

Malwarebytes Anti-Malware

Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
Starte Malwarebytes' Anti-Malware (MBAM).
Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 3

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 4

Starte noch einmal FRST.

Ändere keine der Voreinstellungen und drücke auf Scan.
Wenn der Scan abgeschlossen ist, werden ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Bitte poste in deiner nächsten Antwort:

Fixlog von FRST
Log von MBAM
Log von ESET
Log von FRST

Hi Leo! hier sind alle gewünschten Log.

Der FRST-Fix (Schritt 1) hat nicht geklappt, dein Fixskript war leer. Wiederhole diesen Schritt bitte.
Und du erhältst weiterhin keine Meldungen mehr über verdächtige Hooks?

Hi Leo! Hier der Fixlog. Habe auch keine Meldungen über Hooks. Ich denke ads mein System sauber ist aber bin auf Deine auswertung gespannt.

Ja ich kann da nichts erkennen. Aber ich muss sagen, dass ich auch zuvor schon nicht erkennen konnte, was möglicherweise diese Meldungen von SecureBanking ausgelöst hat.. :)

Dan lass uns dieses Thema schliessen und Dankeschön für Deine hilfe!