Trojaner-Board - 30 TAN Trojaner - ist der neu? Habe ich ihn beseitigt?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - 30 TAN Trojaner - ist der neu? Habe ich ihn beseitigt? (https://www.trojaner-board.de/91130-30-tan-trojaner-neu-habe-ihn-beseitigt.html)

30 TAN Trojaner - ist der neu? Habe ich ihn beseitigt?

Hallo zusammen,

ich habe (oder hatte?) einen Trojaner auf dem Rechner. Als ich gestern mein Deutsche Bank Online-Banking öffnen wollte, ist nach der Eingabe von Kto-Nr. und PIN zunächst kurz die "Finanzübersicht" erschienen. Im selben Moment legte sich ein pop-up Fenster über die gesamte Seite und forderte mich auf, 30 TAN einzugeben. Ich konnte dieses Fenster nicht schließen und habe dann alles geschlossen und natürliche keine TAN eingegeben. Der einzige Unterschied zur normalen Seite war die fehlende grüne Farbe hinter der Internetadresse der Bank und der fehlende "Schlüssel" von "VeriSign", was mir aber eben zu spät aufgefallen ist.

Von diesen 10, 20 oder 100 TAN Trojanern habe ich schon gehört, aber ist dieser 30 TAN Trojaner "neu"?

Als ich anschließend das Online-Banking wieder öffnen wollte, kam die Seite immer wieder. Von einem anderen Rechner aus funktionierte es weiterhin wie immer.

Ich glaube ich weiß auch woher ich den Trojaner habe. Gestern Mittag war ich auf einer eigenen Internetseite von einem eBay-Mitglied (also außerhalb von eBay), die auf mich sofort einen unseriösen Eindruck machte (viele Rechtschreibfehler usw.). Aber da war es schon zu spät, im selben Moment reagierte mein "Avira AntiVir Personal" und meldete kurz nacheinander fünf, sechs mal "Malware".

Eine vollständige Systemprüfung von Avira hat nichts geholfen, der Trojaner war noch da. Jetzt habe ich eine Systemwiederherstellung zurück auf den 1.9. gemacht und der Trojaner scheint weg zu sein.

Ansonsten kann ich keine Änderungen am PC feststellen, er arbeitet genau so schnell wie immer.

Was soll ich nur jetzt tun? Mich darauf verlassen, dass der Trojaner wirklich weg ist? Das Online-Banking werde ich in Zukunft statt mit TAN-Liste nur noch mit Mobile TAN (per SMS) betreiben, was wohl sicherer ist.

Einen Screenshot von der Aufforderung zur TAN-eingabe habe ich. Wird er hier benötigt, weil alle Kontodaten auch zu erkennen sind?

Ich habe wirklich wenig Ahnung von Computern, das nur als Erklärung warum ich hier alles so pseudo-fachmännisch beschreibe.

Gruß
tseb

hast du noch die seite von dem ebay-typen? wenn ja sende sie mir als persönliche nachicht.
hast du bereits deine bank informiert?
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
poste beide.

Hallo,

die Bank konnte ich gestern Abend nicht mehr erreichen, habe aber eine Mail gesendet. Ich behalte das Konto von einem anderen PC aus im Auge, um bei evtl. eingegebenen Überweisungen (die würde ich ja unter vorgemerkte Umsätze sofort sehen) direkt handeln zu können. Ich benutze vorerst das Online-Banking nicht mehr.

1. die bank sollte ne notfall nummer für so was haben.
2. wurde was mit avira gelöscht? wenn ja was, zu finden unter ereignisse.
3. solltest du daten sichern und dann nachher gleich neu aufsetzen. dann kannst du wieder beruhigt online banking machen, ich geb dir dazu gern hinweise wie du den pc absicherst.

kannst Du mit den Daten von OTL etwas anfangen? Was kannst du daraus "ablesen" bzgl. dem Trojaner?

nichts mehr, die logs sind weg...
aber ist auch nicht so wichtig, das beste bei solch einem befall und zumal du online banking machst und ebay nutzt is neu aufzusetzen dann kannst du sicher sein das alles weg ist.

Achso, sorry, ich habe die Ergebnisse vom Sytemscan vorerst aus dem Beitrag genommen, weil mir die ganzen Daten doch zu undurchsichtig waren bzgl. persönlicher Daten usw.. Ich dachte wegen Deinem Beitrag Du hättest schon einen Blick drauf geworfen.

Gelöscht wurde bei Avira glaube ich nichts, aber es wurde ein "Backup Engine Geladen"! Allerdings erst heute, der Trojaner war ja schon gestern drauf. Ich vermuta aber auch nichts gutes... "Die Engine und VDF konnten nicht vom Installationsverzeichnis geladen werden.
Die Engine und VDF werden stattdessen von der Backup Kopie geladen."

Das ist die Warnung der Malware von gestern: "In der Datei 'C:\Dokumente und Einstellungen\xxxxxxxxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0BXBNW73\unten[1].htm'
wurde ein Virus oder unerwünschtes Programm 'HTML/Infected.WebPage.Gen2' [virus] gefunden.
Ausgeführte Aktion: Zugriff erlauben"

Ich frage mich, warum da "Zugriff erlauben" steht, das hätte ich nie gemacht????

das liegt an nem avira fehler. also jetzt daten sichern, dann neu aufsetzen und dann hast du es hinter dier :-)