Trojaner-Board - Online Banking vermutlich Phishing vor Login

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Online Banking vermutlich Phishing vor Login (https://www.trojaner-board.de/166965-online-banking-vermutlich-phishing-login.html)

Warum hast Du ohne Anweisung Avira installiert? Das steht doch in meinem ersten Posting, dass keine Veränderungen vorgenommen werden sollen!:rolleyes:

Hat Avira Dateien gelöscht?

Zitat:

Zitat von deeprybka (Beitrag 1466825)

Hat Avira Dateien gelöscht?

Nein, zumindest wurde mir nichts dergleichen gemeldet.

edit: Bei der Bank ist das Problem offenbar seit 01/2014 bekannt. Es gibt aber noch keine Lösungsansätze:
hxxp://www.bankaustria.at/sicherheit/sicherheitshinweis.jsp

Ja, hab ich gestern schon gelesen.

Den Kamerad hier such ich:

Zitat:

C:\Users\nina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\system.pif not found.

Schritt 1

http://filepony.de/icon/frst.png http://deeprybka.trojaner-board.de/b...st/frstfix.png

Drücke bitte die http://deeprybka.trojaner-board.de/b...ne/revo/w7.png + R Taste und schreibe notepad in das Ausführen Fenster.
Klicke auf OK und kopiere nun den Text aus der Codebox in das leere Textdokument:

Code:

cmd: type "C:\QooBox\ComboFix-quarantined-files.txt"

Speichere dieses bitte als Fixlist.txt in das Verzeichnis ab, in dem sich auch die FRST-Anwendung befindet.

Starte FRST und drücke auf den Fix-Button.
Das Tool erstellt eine "Fixlog.txt" -Datei.
Poste mir bitte deren Inhalt.

Bittesehr:

Code:

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 16-05-2015 02

Ran by nina at 2015-05-17 12:55:51 Run:2

Running from C:\FRST

Loaded Profiles: nina (Available profiles: nina & Gast)

Boot Mode: Normal
 

==============================================
 

Content of fixlist:

*****************

cmd: type "C:\QooBox\ComboFix-quarantined-files.txt"

         

*****************
 
 

=========  type "C:\QooBox\ComboFix-quarantined-files.txt" =========
 

2015-05-16 21:14:31 . 2015-05-16 21:14:31              900 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\AddRemove-25_escape.reg.dat

2015-05-16 21:14:31 . 2015-05-16 21:14:31              702 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\AddRemove-LucasArts' Monkey4.reg.dat

2015-05-16 21:14:15 . 2015-05-16 21:14:15            1,050 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-NortonOnlineBackupReminder.reg.dat

2015-05-16 21:14:15 . 2015-05-16 21:14:15              900 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-hpqSRMon.reg.dat

2015-05-16 21:14:15 . 2015-05-16 21:14:15              938 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-HP Software Update.reg.dat

2015-05-16 21:14:15 . 2015-05-16 21:14:15              534 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\SafeBoot-MCODS.reg.dat

2015-05-16 21:14:15 . 2015-05-16 21:14:15              546 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\SafeBoot-mcmscsvc.reg.dat

2015-05-16 21:14:06 . 2015-05-16 21:14:06               97 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-NPSStartup.reg.dat

2015-05-16 21:14:05 . 2015-05-16 21:14:05               92 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\Toolbar-Locked.reg.dat

2015-05-16 21:11:31 . 2015-05-16 21:11:31           54,019 ----a-w-  C:\Qoobox\Quarantine\C\Windows\Temp\logishrd\_LVPrcInj01_.dll.zip

2015-05-16 21:11:26 . 2009-01-16 23:14:08          156,312 ----a-w-  C:\Qoobox\Quarantine\G\Setup.exe.vir

2015-05-16 21:11:26 . 2012-02-24 19:02:31               37 ----a-w-  C:\Qoobox\Quarantine\G\Autorun.inf.vir

2015-05-16 20:55:50 . 2015-05-16 20:55:50           13,273 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\tcpip.reg

2015-05-16 20:49:06 . 2015-05-16 20:49:06              512 ----a-w-  C:\Qoobox\Quarantine\MBR_HardDisk0.mbr

2015-05-16 20:46:43 . 2015-05-16 21:11:52              268 ----a-w-  C:\Qoobox\Quarantine\catchme.log

2015-05-16 18:46:14 . 2009-10-07 00:47:22          109,080 ----a-w-  C:\Qoobox\Quarantine\C\Windows\Temp\logishrd\LVPrcInj01.dll.vir

2014-02-14 15:50:24 . 1996-11-06 11:05:10          302,592 ----a-w-  C:\Qoobox\Quarantine\C\Windows\unin0407.exe.vir

2009-10-17 08:31:33 . 2009-02-10 19:23:42          192,484 ----a-w-  C:\Qoobox\Quarantine\C\Program Files\Common Files\Acer GameZone online.ico.vir
 

========= End of CMD: =========
 
 

==== End of Fixlog 12:55:51 ====

Wenn ich mich nicht irre habe ich als erstes- noch bevor ich mich hier gemeldet habe den CCLeaner über die Registry laufen lassen. Nur falls das von Bedeutung wäre...

Danke für den Hinweis. Relevant ist aber nur der Zeitraum nach Erstellung des 1. FRST-Logs.

Zitat:

Zitat von Dr. Chili (Beitrag 1466819)

Riecht für mich stark nach neu Aufsetzen...

Das ist sicher und bestimmt nicht dumm. :daumenhoc

Mach bitte aber vorher noch einen Test:

Schritt 1
http://deeprybka.trojaner-board.de/b...npro/hmpa2.PNG

Download
Installiere HitmanProAlert und entferne den Haken bei
http://deeprybka.trojaner-board.de/b...npro/hmpa3.PNG
Starte nach der Installation den PC neu.

Versuch dann bitte nochmal ein OB-Login. Gibts ne Alarm-Meldung?

Ja, alles wie gehabt. Noch irgendwelche Ideen?

Die Frage war, ob HitmanProAlert irgendwas entdeckt?

Also der Firefox ist ja manipuliert. Gibts da keine Warnung von HitmanProAlert?

Bitte noch diese Schritte ausführen:

Schritt 1

http://filepony.de/icon/frst.png http://deeprybka.trojaner-board.de/b...st/frstfix.png

Drücke bitte die http://deeprybka.trojaner-board.de/b...ne/revo/w7.png + R Taste und schreibe notepad in das Ausführen Fenster.
Klicke auf OK und kopiere nun den Text aus der Codebox in das leere Textdokument:

Code:

FF NetworkProxy: "autoconfig_url", "https://guardvpn.net/facebook.js"

Speichere dieses bitte als Fixlist.txt in das Verzeichnis ab, in dem sich auch die FRST-Anwendung befindet.

Starte FRST und drücke auf den Fix-Button.
Das Tool erstellt eine "Fixlog.txt" -Datei.
Poste mir bitte deren Inhalt.

Schritt 2

http://filepony.de/icon/frst.png http://deeprybka.trojaner-board.de/b...frstsearch.png

Gib in das Search-Feld:
system.pif ein.
Klicke auf den Search Files Button.
Bitte poste die erstellte Search.txt - Datei in Deiner nächsten Antwort.

Versuch jetzt nochmal das OB-Login bitte.

Fixlog:

Code:

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 16-05-2015 02

Ran by nina at 2015-05-17 18:23:48 Run:3

Running from C:\FRST

Loaded Profiles: nina (Available profiles: nina & Gast)

Boot Mode: Normal
 

==============================================
 

Content of fixlist:

*****************

FF NetworkProxy: "autoconfig_url", "https://guardvpn.net/facebook.js"

*****************
 

Firefox Proxy settings were reset.
 

==== End of Fixlog 18:23:48 ====

Beim IE ist die Meldung jetzt verschwunden... (war sie schon vor der letzten fixlist)

edit: Hitman pro ist aktiv, aber es kommt keine Meldung

Search.txt:

Code:

Farbar Recovery Scan Tool (x86) Version: 16-05-2015 02

Ran by nina at 2015-05-17 18:26:56

Running from C:\FRST

Boot Mode: Normal
 

================== Search Files: "system.pif" =============
 

====== End Of Search ======

Alles weg! :Boogie:

spooky!

Was mir noch aufgefallen ist. Als die Fehlermeldung kam war ich auf www.bankaustria.at/404.jsp - jetzt komm ich automatisch auf eine "gesicherte" Homepage (Mit Schlüsselsymbol neben der Url)

Wars das?

Zitat:

Zitat von Dr. Chili (Beitrag 1467009)

Wars das?

Das liegt an Dir. Wenn Du mit der Bereinigung weitermachen willst, dann machen wir weiter.
Wenn Du "Neuaufsetzen" willst, dann ist das auch Deine Entscheidung. Mir egal.

Zitat:

Als die Fehlermeldung kam war ich auf www.bankaustria.at/404.jsp - jetzt komm ich automatisch auf eine "gesicherte" Homepage (Mit Schlüsselsymbol neben der Url)

Ich konnte das noch nicht nachstellen. Du hast ja gesagt, dass der Firefox vor dem Fix noch die Meldung gebracht hat. Zwar liegt diese Scriptdatei noch auf einem russischen Server, aber ich hätte gerne noch die andere Malwaredatei gehabt. Die ist weg. Und ich hatte noch keine Zeit den Code der Script-Datei zu checken.

Das neu aufsetzen würde ich mir gerne sparen, weil ich kein Win 7 bei der Hand habe. So gesehen machen wir weiter, bitte

Schritt 1

http://deeprybka.trojaner-board.de/m...mbamlogo4a.png http://deeprybka.trojaner-board.de/m...mbamlogo4b.png

Download und Anleitung
Starte Malwarebytes' Anti-Malware (MBAM).
Sollte die Benutzeroberfläche noch in Englisch sein, klicke auf Settings und wähle bei Language Deutsch aus.
Unter Einstellungen/ Erkennung und Schutz setze bitte einen Haken bei "Suche nach Rootkits".
Gehe zurück zum Armaturenbrett und klicke auf "Jetzt scannen".
Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben und poste mir das Log.

Code:

^Malwarebytes Anti-Malware

www.malwarebytes.org
 

Suchlauf Datum: 17.05.2015

Suchlauf-Zeit: 20:49:54

Logdatei: 

Administrator: Ja
 

Version: 2.01.6.1022

Malware Datenbank: v2015.05.17.03

Rootkit Datenbank: v2015.05.16.01

Lizenz: Kostenlos

Malware Schutz: Deaktiviert

Bösartiger Webseiten Schutz: Deaktiviert

Selbstschutz: Deaktiviert
 

Betriebssystem: Windows 7 Service Pack 1

CPU: x86

Dateisystem: NTFS

Benutzer: nina
 

Suchlauf-Art: Bedrohungs-Suchlauf

Ergebnis: Abgeschlossen

Durchsuchte Objekte: 418218

Verstrichene Zeit: 34 Min, 3 Sek
 

Speicher: Aktiviert

Autostart: Aktiviert

Dateisystem: Aktiviert

Archive: Aktiviert

Rootkits: Aktiviert

Heuristik: Aktiviert

PUP: Aktiviert

PUM: Aktiviert
 

Prozesse: 0

(Keine schädliche Elemente gefunden)
 

Module: 0

(Keine schädliche Elemente gefunden)
 

Registrierungsschlüssel: 1

PUP.Optional.WeDownLoadManager.A, HKU\S-1-5-21-3389578649-474333246-578579119-1006\SOFTWARE\WEDLMNGR, , [5067138145457db9d4749b6439ca17e9], 
 

Registrierungswerte: 1

PUP.Optional.Spigot.A, HKU\S-1-5-21-3389578649-474333246-578579119-1006\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{B6449CE3-FAFF-4CF0-A17D-74885FB179FE}|URL, https://at.search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=903578&p={searchTerms}, , [a314d9bb9eecf244c3d6766235ce33cd]
 

Registrierungsdaten: 0

(Keine schädliche Elemente gefunden)
 

Ordner: 3

PUP.Optional.SimilarSites.A, C:\Users\nina\AppData\Roaming\SimilarSites, , [9e19276daddd1d19e9a6931712f19967], 

PUP.Optional.SiteFinder.A, C:\Users\nina\AppData\LocalLow\SiteFinder, , [6a4d0d873654c47264442e9056ad26da], 

PUP.Optional.SiteFinder.A, C:\Users\nina\AppData\LocalLow\SiteFinder\UserData, , [6a4d0d873654c47264442e9056ad26da], 
 

Dateien: 3

PUP.Optional.Spigot.A, C:\Users\nina\AppData\Roaming\Mozilla\Firefox\Profiles\tcn0t8c3.default\searchplugins\yahoo_ff.xml, , [892e3b591a70d0660b68a740cf34fe02], 

PUP.Optional.SiteFinder.A, C:\Users\nina\AppData\LocalLow\SiteFinder\UserData\prefs.js, , [6a4d0d873654c47264442e9056ad26da], 

PUP.Optional.Spigot.A, C:\Users\nina\AppData\Roaming\Mozilla\Firefox\Profiles\tcn0t8c3.default\prefs.js, Gut: (), Schlecht: (user_pref("keyword.URL", "https://at.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&ilc=12&type=903578&p=");), ,[52657a1a4a40db5bfdd96eeefe082ed2]
 

Physische Sektoren: 0

(Keine schädliche Elemente gefunden)
 
 

(end)

Quarantäne wurde mir nicht angeboten. Nur "entfernen"