Trojaner-Board - Tan Phishing Versuch beim Onlinebanking

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Tan Phishing Versuch beim Onlinebanking (https://www.trojaner-board.de/90356-tan-phishing-versuch-beim-onlinebanking.html)

Tan Phishing Versuch beim Onlinebanking

Bei mir hat sich auch dieses ominöse Phishingfenster eingeschlichen.
MBAM und Superantispyware haben auch was gefunden.Danach meldete MBAM
keinen Fund mehr;das Problem ist aber immer noch vorhanden.Ansonsten läuft der Rechner schnell und stabil.

Anbei die Logfiles in chronologischer Reihenfolge.

vielen Dank im voraus

das Log von SAS läßt sich nicht hochladen,deshalb hier die Kopie:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 08/31/2010 at 06:33 PM

Application Version : 4.32.1000

Core Rules Database Version : 5432
Trace Rules Database Version: 3244

Scan type : Complete Scan
Total Scan Time : 01:05:34

Memory items scanned : 218
Memory threats detected : 0
Registry items scanned : 4773
Registry threats detected : 0
File items scanned : 21989
File threats detected : 1

Trojan.Agent/Gen-Falleg
C:\SYSTEM VOLUME INFORMATION\_RESTORE{85D132CE-EDFE-4355-96BC-F3E37F2E439C}\RP330\A0162796.EXE

So, habe mich hier durchgearbeitet und mein Onlinebanking läuft wieder.

Leider bekomme ich vom Bootkit Remover die Meldung
>\\.\PhysicalDrive0 Unknown boot code <

wenn ich aber remover . exe .fix ausführen will ,wird mir immer angezeigt

> " remover" ist falsch geschrieben oder kann nicht gefunden werden.<

Ich habe die remover exe nach 'System32' kopiert und auch mal direkt auf C: der Befehl wird nicht angenommen.
Es wäre nett wenn mir jemand weiterhelfen würde.Danke.

Zitat:

Datenbank Version: 4513

Du hast Malwarebytes vorher nicht aktualisiert. Bitte updaten und einen Vollscan machen.

Hier ist er!

Code:

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org
 

Datenbank Version: 4559
 

Windows 5.1.2600 Service Pack 3 (Safe Mode)

Internet Explorer 8.0.6001.18702
 

07.09.2010 10:26:56

mbam-log-2010-09-07 (10-26-56).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)

Durchsuchte Objekte: 212347

Laufzeit: 53 Minute(n), 48 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Das hier unten ist mein Post von gestern,der andere teil war vom letzten Freitag.;-)

Zitat:

Zitat von 19lea96 (Beitrag 564840)

>>>>So, habe mich hier durchgearbeitet und mein Onlinebanking läuft wieder.

Leider bekomme ich vom Bootkit Remover die Meldung
>\\.\PhysicalDrive0 Unknown boot code <

wenn ich aber remover . exe .fix ausführen will ,wird mir immer angezeigt

> " remover" ist falsch geschrieben oder kann nicht gefunden werden.<

Ich habe die remover exe nach 'System32' kopiert und auch mal direkt auf C: der Befehl wird nicht angenommen. <<<
Es wäre nett wenn mir jemand weiterhelfen würde.Danke.

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

So, hier ist der MBR-Check

Code:

MBRCheck, version 1.2.3

(c) 2010, AD
 

Command-line:                        

Windows Version:                Windows XP Professional

Windows Information:                Service Pack 3 (build 2600)

Logical Drives Mask:                0x0000001d
 

Kernel Drivers (total 128):

  0x804D7000 \WINDOWS\system32\ntoskrnl.exe

  0x80700000 \WINDOWS\system32\hal.dll

  0xF7AEF000 \WINDOWS\system32\KDCOM.DLL

  0xF79FF000 \WINDOWS\system32\BOOTVID.dll

  0xF74CD000 spmn.sys

  0xF7AF1000 \WINDOWS\System32\Drivers\WMILIB.SYS

  0xF74B5000 \WINDOWS\System32\Drivers\SCSIPORT.SYS

  0xF7486000 ACPI.sys

  0xF7475000 pci.sys

  0xF75EF000 isapnp.sys

  0xF7BB7000 pciide.sys

  0xF786F000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS

  0xF75FF000 MountMgr.sys

  0xF7456000 ftdisk.sys

  0xF7AF3000 dmload.sys

  0xF7430000 dmio.sys

  0xF7877000 PartMgr.sys

  0xF760F000 VolSnap.sys

  0xF7418000 atapi.sys

  0xF761F000 disk.sys

  0xF762F000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS

  0xF73F8000 fltmgr.sys

  0xF73E6000 sr.sys

  0xF763F000 PxHelp20.sys

  0xF73CF000 KSecDD.sys

  0xF7342000 Ntfs.sys

  0xF7315000 NDIS.sys

  0xF72FB000 Mup.sys

  0xF783F000 \SystemRoot\system32\DRIVERS\intelppm.sys

  0xF6B5A000 \SystemRoot\system32\DRIVERS\ati2mtag.sys

  0xF6B46000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS

  0xF7917000 \SystemRoot\system32\DRIVERS\usbuhci.sys

  0xF6B22000 \SystemRoot\system32\DRIVERS\USBPORT.SYS

  0xF791F000 \SystemRoot\system32\DRIVERS\usbehci.sys

  0xF6AC5000 \SystemRoot\system32\drivers\cmaudio.sys

  0xF6AA1000 \SystemRoot\system32\drivers\portcls.sys

  0xF785F000 \SystemRoot\system32\drivers\drmk.sys

  0xF6A7E000 \SystemRoot\system32\drivers\ks.sys

  0xF7927000 \SystemRoot\system32\DRIVERS\fdc.sys

  0xF6A6A000 \SystemRoot\system32\DRIVERS\parport.sys

  0xF768F000 \SystemRoot\system32\DRIVERS\i8042prt.sys

  0xF792F000 \SystemRoot\system32\DRIVERS\kbdclass.sys

  0xF7937000 \SystemRoot\system32\DRIVERS\mouclass.sys

  0xF769F000 \SystemRoot\system32\DRIVERS\serial.sys

  0xF7AD3000 \SystemRoot\system32\DRIVERS\serenum.sys

  0xF7B1B000 \SystemRoot\system32\DRIVERS\ASACPI.sys

  0xF76AF000 \SystemRoot\system32\DRIVERS\imapi.sys

  0xF76BF000 \SystemRoot\system32\DRIVERS\cdrom.sys

  0xF76CF000 \SystemRoot\system32\DRIVERS\redbook.sys

  0xF793F000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys

  0xF7CB0000 \SystemRoot\system32\DRIVERS\audstub.sys

  0xF772F000 \SystemRoot\system32\DRIVERS\rasl2tp.sys

  0xF7ADF000 \SystemRoot\system32\DRIVERS\ndistapi.sys

  0xF6A53000 \SystemRoot\system32\DRIVERS\ndiswan.sys

  0xF773F000 \SystemRoot\system32\DRIVERS\raspppoe.sys

  0xF774F000 \SystemRoot\system32\DRIVERS\raspptp.sys

  0xF794F000 \SystemRoot\system32\DRIVERS\TDI.SYS

  0xF6A42000 \SystemRoot\system32\DRIVERS\psched.sys

  0xF775F000 \SystemRoot\system32\DRIVERS\msgpc.sys

  0xF7957000 \SystemRoot\system32\DRIVERS\ptilink.sys

  0xF795F000 \SystemRoot\system32\DRIVERS\raspti.sys

  0xF6972000 \SystemRoot\system32\DRIVERS\rdpdr.sys

  0xF776F000 \SystemRoot\system32\DRIVERS\termdd.sys

  0xF7B31000 \SystemRoot\system32\DRIVERS\swenum.sys

  0xF6914000 \SystemRoot\system32\DRIVERS\update.sys

  0xF72CB000 \SystemRoot\system32\DRIVERS\mssmbios.sys

  0xF777F000 \SystemRoot\system32\DRIVERS\WinDSL.sys

  0xF778F000 \SystemRoot\System32\Drivers\NDProxy.SYS

  0xF77BF000 \SystemRoot\system32\DRIVERS\usbhub.sys

  0xF7B35000 \SystemRoot\system32\DRIVERS\USBD.SYS

  0xF6CC8000 \SystemRoot\system32\DRIVERS\gameenum.sys

  0xF7967000 \SystemRoot\system32\DRIVERS\flpydisk.sys

  0xF7B39000 \SystemRoot\System32\Drivers\Fs_Rec.SYS

  0xF7C54000 \SystemRoot\System32\Drivers\Null.SYS

  0xF7B3B000 \SystemRoot\System32\Drivers\Beep.SYS

  0xF7977000 \SystemRoot\System32\drivers\vga.sys

  0xF7B3D000 \SystemRoot\System32\Drivers\mnmdd.SYS

  0xF7B3F000 \SystemRoot\System32\DRIVERS\RDPCDD.sys

  0xF797F000 \SystemRoot\System32\Drivers\Msfs.SYS

  0xF7987000 \SystemRoot\System32\Drivers\Npfs.SYS

  0xF6CB8000 \SystemRoot\system32\DRIVERS\rasacd.sys

  0xEE899000 \SystemRoot\system32\DRIVERS\ipsec.sys

  0xEE840000 \SystemRoot\system32\DRIVERS\tcpip.sys

  0xEE7F0000 \SystemRoot\system32\DRIVERS\netbt.sys

  0xF77EF000 \SystemRoot\system32\DRIVERS\wanarp.sys

  0xEE7CA000 \SystemRoot\system32\DRIVERS\ipnat.sys

  0xF7A8B000 \SystemRoot\System32\drivers\ws2ifsl.sys

  0xEE7A8000 \SystemRoot\System32\drivers\afd.sys

  0xF77FF000 \SystemRoot\system32\DRIVERS\netbios.sys

  0xF798F000 \SystemRoot\system32\DRIVERS\ssmdrv.sys

  0xEE783000 \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys

  0xF7997000 \??\C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS

  0xEE758000 \SystemRoot\system32\DRIVERS\rdbss.sys

  0xEE6E8000 \SystemRoot\system32\DRIVERS\mrxsmb.sys

  0xF780F000 \SystemRoot\System32\Drivers\Fips.SYS

  0xEE62C000 \SystemRoot\system32\DRIVERS\avipbb.sys

  0xF7B43000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys

  0xF784F000 \SystemRoot\System32\Drivers\Cdfs.SYS

  0xF79A7000 \SystemRoot\system32\DRIVERS\usbccgp.sys

  0xEE5C3000 \SystemRoot\system32\DRIVERS\fwlanusb.sys

  0xF76DF000 \SystemRoot\system32\drivers\LVUSBSta.sys

  0xEE282000 \SystemRoot\system32\DRIVERS\LV302V32.SYS

  0xF7B4D000 \SystemRoot\system32\DRIVERS\lv302af.sys

  0xF76EF000 \SystemRoot\system32\drivers\usbaudio.sys

  0xEE080000 \SystemRoot\system32\DRIVERS\LVcKap.sys

  0xEE068000 \SystemRoot\System32\Drivers\dump_atapi.sys

  0xF7B55000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS

  0xBF800000 \SystemRoot\System32\win32k.sys

  0xF6908000 \SystemRoot\System32\drivers\Dxapi.sys

  0xF79AF000 \SystemRoot\System32\watchdog.sys

  0xBF000000 \SystemRoot\System32\drivers\dxg.sys

  0xF7D1C000 \SystemRoot\System32\drivers\dxgthk.sys

  0xBF012000 \SystemRoot\System32\ati2dvag.dll

  0xBF051000 \SystemRoot\System32\ati2cqag.dll

  0xBF08A000 \SystemRoot\System32\atikvmag.dll

  0xBF0BF000 \SystemRoot\System32\ati3duag.dll

  0xBF311000 \SystemRoot\System32\ativvaxx.dll

  0xBFFA0000 \SystemRoot\System32\ATMFD.DLL

  0xEBEC6000 \SystemRoot\system32\DRIVERS\avgntflt.sys

  0xEBC91000 \SystemRoot\system32\DRIVERS\mrxdav.sys

  0xF79E7000 \SystemRoot\System32\Drivers\drhard.SYS

  0xF7B7F000 \SystemRoot\System32\Drivers\ParVdm.SYS

  0xEBA74000 \SystemRoot\system32\drivers\wdmaud.sys

  0xEBBC9000 \SystemRoot\system32\drivers\sysaudio.sys

  0xEB80D000 \SystemRoot\system32\DRIVERS\srv.sys

  0xF78EF000 \SystemRoot\system32\DRIVERS\LVPr2Mon.sys

  0xF71C6000 \SystemRoot\System32\Drivers\HTTP.sys

  0x7C910000 \WINDOWS\system32\ntdll.dll
 

Processes (total 51):

       0 System Idle Process

       4 System

     408 C:\WINDOWS\system32\smss.exe

     668 csrss.exe

     700 C:\WINDOWS\system32\winlogon.exe

     744 C:\WINDOWS\system32\services.exe

     756 C:\WINDOWS\system32\lsass.exe

     948 C:\WINDOWS\system32\ati2evxx.exe

     964 C:\WINDOWS\system32\svchost.exe

    1020 svchost.exe

    1060 C:\WINDOWS\system32\svchost.exe

    1112 svchost.exe

    1144 svchost.exe

    1188 C:\WINDOWS\system32\spoolsv.exe

    1232 C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe

    1248 C:\Programme\Avira\AntiVir Desktop\sched.exe

    1288 svchost.exe

    1480 C:\Programme\Avira\AntiVir Desktop\avguard.exe

    1492 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

    1520 C:\Programme\FRITZ!DSL\IGDCTRL.EXE

    1544 C:\Programme\avmwlanstick\WLanNetService.exe

    1816 C:\Programme\Bonjour\mDNSResponder.exe

    1880 C:\Programme\Java\jre6\bin\jqs.exe

    1940 C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe

    1988 C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe

    2012 C:\WINDOWS\system32\ati2evxx.exe

     296 C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

     504 C:\WINDOWS\explorer.exe

     560 C:\WINDOWS\system32\svchost.exe

    2040 C:\WINDOWS\mixer.exe

    2056 C:\Programme\ATI Technologies\ATI.ACE\CLI.exe

    2084 C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe

    2100 C:\Programme\Logitech\QuickCam\Quickcam.exe

    2108 C:\Programme\Avira\AntiVir Desktop\avgnt.exe

    2116 C:\Programme\avmwlanstick\WLanGUI.exe

    2124 C:\Programme\iTunes\iTunesHelper.exe

    2168 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

    2200 C:\WINDOWS\system32\ctfmon.exe

    2356 C:\Programme\ATI Technologies\ATI.ACE\CLI.exe

    2384 C:\Programme\FRITZ!DSL\FwebProt.exe

    2444 C:\Programme\Secunia\PSI\psi.exe

    2556 C:\Programme\FRITZ!DSL\StCenter.exe

     216 C:\Programme\ATI Technologies\ATI.ACE\CLI.exe

    2412 C:\Programme\Gemeinsame Dateien\LogiShrd\LQCVFX\COCIManager.exe

    3316 C:\Programme\iPod\bin\iPodService.exe

    3904 C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe

    3624 alg.exe

    1844 C:\WINDOWS\system32\wbem\wmiapsrv.exe

    3108 C:\WINDOWS\system32\svchost.exe

    1764 C:\Programme\Mozilla Firefox\firefox.exe

    2288 C:\Dokumente und Einstellungen\Administrator\Desktop\MBRCheck.exe
 

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)
 

PhysicalDrive0 Model Number: SAMSUNGHD161HJ, Rev: JF100-19
 

      Size  Device Name          MBR Status

  --------------------------------------------

    149 GB  \\.\PhysicalDrive0   Windows XP MBR code detected

            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
 
 

Done!

Vielen Dank für die schnelle Hilfe!

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hier sind die Logfiles;keine Vorkommnisse.

Aber was ist mit dem Bootkit Remover ? Ist das eine Falschmeldung?

Code:

SUPERAntiSpyware Scann-Protokoll

hxxp://www.superantispyware.com
 

Generiert 09/07/2010 bei 06:29 PM
 

Version der Applikation : 4.32.1000
 

Version der Kern-Datenbank : 5462

Version der Spur-Datenbank : 3274
 

Scan Art       : kompletter Scann

Totale Scann-Zeit : 00:58:59
 

Gescannte Speicherelemente  : 218

Erfasste Speicher-Bedrohungen  : 0

Gescannte Register-Elemente  : 4786

Erfasste Register-Bedrohungen  : 0

Gescannte Datei-Elemente     : 20051

Erfasste Datei-Elemente   : 0

                                                                                                                                   Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

Datenbank Version: 4562

Windows 5.1.2600 Service Pack 3 (Safe Mode)

Internet Explorer 8.0.6001.18702
 

07.09.2010 19:26:15

mbam-log-2010-09-07 (19-26-15).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)

Durchsuchte Objekte: 212371

Laufzeit: 53 Minute(n), 9 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Zitat:

Aber was ist mit dem Bootkit Remover ? Ist das eine Falschmeldung?

Wo soll eine Falschmeldung sein?

Zitat:

Zitat von 19lea96 (Beitrag 565052)

Das hier unten ist mein Post von gestern,der andere teil war vom letzten Freitag.;-)

>>> Zitat von 19lea96 Beitrag anzeigen
>>>>So, habe mich hier durchgearbeitet und mein Onlinebanking läuft wieder.

Leider bekomme ich vom Bootkit Remover die Meldung
>\\.\PhysicalDrive0 Unknown boot code <

wenn ich aber remover . exe .fix ausführen will ,wird mir immer angezeigt

> " remover" ist falsch geschrieben oder kann nicht gefunden werden.<

Ich habe die remover exe nach 'System32' kopiert und auch mal direkt auf C: der Befehl wird nicht angenommen. <<<
Es wäre nett wenn mir jemand weiterhelfen würde.Danke.<<<

Das kannst Du ignorieren weil der MBR ok ist!!

Noch Probleme oder weitere Funde in der Zwischenzeit?

Zitat:

Zitat von cosinus (Beitrag 565590)

Das kannst Du ignorieren weil der MBR ok ist!!

Noch Probleme oder weitere Funde in der Zwischenzeit?

Alles läuft rund; die Kohle ist noch auf dem Konto :-)

Vielen Dank für deine Hilfe

:dankeschoen:

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.