Deutsche Bank 28-TAN-Tableau-Abfrage nach Login
 

Hallo,

auch ich habe ein Problem beim Online-Banking mit der Deutschen Bank. Direkt nach dem Einloggen erscheint ein aufgesetztes Fenster, das in einem 4x7-Tableau nach TANs fragt. Im Hintergrund ist der Login-Bereich mit aktuell korrektem Kontostand zu sehen, auf den man aber keinen Zugriff hat, so lange man das Tableau nicht ausgefüllt hat. Da ich hier im Forum noch kein Thema mit einer 28-TAN-Abfrage gefunden habe, hänge ich einen Screen-Shot an.

Ich habe Malwarebytes und OTL scannen lassen, Berichte hängen an.

Inzwischen - nach der Bereinigung durch Malwarebytes - ist das Problem (optisch) behoben. D.h. ich kann mich wieder problemlos bei der Deutschen Bank einloggen. Ist mein Rechner damit sauer? Was kann/sollte ich noch tun?

Für eine Prüfung und weitere Ratschläge wäre ich sehr dankbar.

Luhh

Was wurde da schon mit dem Avenger rumhantiert?

Hab ich keine Ahnung, ich kenne das Programm nicht und habe es nie wissentlich installiert oder eingesetzt. Habe den Rechner allerdings vor etwa 4 Jahren aus zweiter Hand übernommen.

Hatte zuletzt Avira Antivir und Zonealarm (je die kostenlose Version) installiert, seit Kurzem jetzt Norton 360. Im Zuge der Phishing-Attacke hatte ich zudem versucht, die BOT-CD von Computerbild laufen zu lassen, habe das aber abgebrochen, weil von dort keine Verbindung zum Internet hergestellt werden konnte und es somit nicht die aktuellste Version war.

Ansonsten ist der CCleaner bei mir installiert, den ich aber noch nicht benutzt habe.

luhh

Habe gerade gesehen, dass Avenger auch ein Logfile erstellt, siehe unten. Zeitlich liegt es genau zwischen den Scans mit Malwarebytes und OTL. Ich habe aber zwischen diesen beiden Scans definitiv nichts anderes laufen lassen, sondern strikt Eure Anweisung abgearbeitet.

Luhh

Bei einem Besitzerwechsel sollte man konsequent Windows neu aufsetzen, oder will man in den Leichen des Vorbesitzer wühlen? :balla:
Naja, meine bescheidene Meinung dazu :D

Ich hab übrigens gerade eine Idee warum der Avenger ausgeführt wurde....denn der Autor von Avenger ist jetzt im Team von Malwarebytes, gut möglich, dass bestimmte Löschprozesse, die einen Neustart benötigen, vom Avenger ausgeführt werden.

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Erledigt. (Die Verknüpfungen zu Acrobat 7 vom Startmenü/Desktop funktionieren nicht mehr, Acrobat öffnet sich aber noch.)

Luhh

Evtl. wurde das zuviel gefixt... :dummguck:
Du kannst es wiederherstellen aus dem C:\_OTL Ordner, an die Originalstelle zurückkopieren.
Notfalls Acrobat neu installieren. Aber das erstmal später.

Erstmal bitte CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Erledigt!

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Downloade Dir anschließend bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

GMER ist sowohl im normalen als auch im abgesicherten Modus abgestürzt. Danach habe ich OSAM und MBRCheck laufen lassen. Hier die Logfiles:

Seit dem Absturz von GMER ist mein Rechner spürbar langsamer geworden, sowohl beim Hochfahren als auch beim Starten von Programmen. Außerdem erscheint beim Hochfahren, wenn ich den Windows-Modus wählen kann, u.a. die Option "do not select this [Debugger aktiviert]".

Hängt das irgendwie mit dem abgebrochenen GMER-Scan zusammen und muss/kann ich diesbez. noch etwas tun?

Luhh

Bitte mit OSAM deaktivieren und löschen (siehe Anleitung zu OSAM)

rsep-Löschung durchgeführt. Allerdings hat sich kein Report nach der Löschaktion (und anschließendem Neustart) geöffnet. Anbei das neueste Logfile vom OSAM-Scan.

Luhh

Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus.

Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen)

Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus den mbrcheck nochmals aus und poste das neue Log.

Erledigt!

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Kannst Du bitte mal in Posting #11 schauen, das Problem besteht noch immer seit dem GMER-Absturz. Mein Rechner ist sehr langsam geworden. Malwarebytes scant jetzt schon seit fast 4 Stunden, der erste Scan dauerte insgesamt nur 1 Stunde. Kannst Du mir helfen, den PC wieder schnell zu machen?

Luhh

Dass Dein Rechner so langsam geworden ist durch GMER kann ich so noch nicht recht nachvollziehen. Schauen wir uns später nochmal an. Mach mal erst die anderen Logs fertig.

Anbei die Logfiles von Malwarebytes und SUPERAntiSpyware.

Sieht ok aus.
Noch Probleme oder weitere Funde in der Zwischenzeit?
Rechner immer noch langsam oder hat sich das gelegt?

Nein, das scheint in Ordnung zu sein. Tausend Dank dafür!

Allerdings ist der Rechner immer noch deutlich langsamer als vorher. Der Malwarebytes-Scan gestern hat über 8 Stunden gedauert, der erste Scan nur 1 Stunde. Außerdem dauern das Hochfahren und das Laden von Programmen deutlich länger als vorher.

Das ist wirklich erstmals nach dem Absturz von GMER aufgetaucht. Der GMER-Scan ratterte erst super schnell und war fast mit C: fertig, als es plötzlich extrem langsam wurde und kurz darauf der PC abstürzte. Ich musste dann den ON/OFF-Schalter am PC betätigen. Seitdem ist alles langsamer. Und es erscheint beim Booten zusätzlich zur Wahl von Wiederherstellungskonsole bzw. XP-Standard ständig die Option "do not select this (Debugger aktiviert)". Das hatte ich vorher noch nie gesehen.

Kannst Du mir da helfen?

Luhh

Auf die schnelle fällt mir nur das ein => Windows XP - Den DMA Modus zur Entlastung des Prozessors aktivieren
Würde zumindest erklären, warum Plattenzugriffe deutlich langsamer wären...

Unter IDE ATA/ATAPI Controller wird der Primäre IDE-Kanal 2mal aufgelistet. Bei dem einen ist DMA verfügbar und war auch schon so eingestellt (Ultra-DMA-Modus 4 bei Gerät 0, Modus 2 bei Gerät 1). Bei dem anderen ist DMA offenbar nicht verfügbar, denn obwohl "DMA, wenn verfügbar" gesetzt ist, ist der aktuelle Modus PIO bei Gerät 0 bzw. "nicht anwendbar" bei Gerät 1.

Hat das seine Richtigkeit, dass es 2 primäre IDE-Kanäle gibt mit verschiedenen Eintragungen?

Beim sekundären IDE-Kanal ist DMA jeweils als "nicht anwendbar" eingetragen.

Luhh

Nee das hat so seine Richtigkeit. Ich meine bei SATA-Controllern, die im IDE-Kompatibilitätmodus laufen ist das der Fall, dass zwei primäre und auch zwei Sekundäre Kanäle angezeigt werden. An DMA liegts nicht, denn das ist aktiv :(

Poste mal neue OTL-Logs, evtl. seh ich diesmal im extra.txt einen Auszug aus dem Ereignisprotokoll was Hinweise gibt.

OTL-Scan:

Lässt sich daraus etwas erkennen? Macht es Sinn, mal ein Systemoptimierungstool laufen zu lassen? Kenne mich da allerdings nicht so aus.
Sorry, dass ich weiter nerve, aber derzeit macht die Arbeit am Rechner nicht wirklich Spaß, da alle Vorgänge ne halbe Ewigkeit brauchen.

Luhh

Noch seh ich so keine Hinweise. Probier bitte nochmal einen Lauf mit GMER.

Hallo cosinus,

ich hoffe, Du hast mich noch auf dem Radar, mein Rechner ist weiterhin gehemmt. Habe mehrfach versucht, GMER laufen zu lassen, doch das stürzt immer ab.

Kürzlich kam dann nach dem Hochfahren eine Fehlermeldung von Norton mit dem Hinweis, dass ich Norton zunächst komplett deinstallieren solle. Nachdem ich das getan hatte, war der Rechner in der Arbeitsweise deutlich schneller, das Hochfahren dauerte allerdings trotzdem weiterhin länger als früher. Seit der Neuinstallation von Norton geht wieder alles langsamer.

Kann es sein, dass sich Norton mit einem der Scan-Programme (GMER, Malwarebyte usw.) oder der anderen Aktionen nicht verträgt, die im Zuge der Trojaner-Entfernung gelaufen sind? Denn vor der ganzen Aktion hatte ich keine Probleme mit Norton. Jetzt scheint es, als würden im Hintergrund stets irgend welche Prozesse laufen, die Speicher brauchen und meinen PC lähmen. Da ich für Norton bezahlen muss, wäre es mir natürlich lieb, wenn ich das Programm weiterhin nutzen könnte.

Hast Du noch einen Tipp für mich, was man probieren könnte?

Grüße,
Luhh

Deinstallier Norton mal komplett. An für sich braucht man dieses gelbe Gedöns auch nicht ;)
Probier GMER dann nochmal aus.

Bringt leider auch nichts, GMER friert immer wieder ein. Hab es inzwischen mehr als 10 Mal probiert. So weit wie beim allerersten Lauf ist es nie wieder voran gekommen.

GMER lief bisher nur ein einziges Mal durch, allerdings hatte ich dabei das Häkchen bei C: entfernt (rechts im Konfigurationsfenster von GMER). Anbei das Logfile von jenem Scan, ich weiß nicht, ob es etwas nützt.

Norton deinstalliert? Probier es mit GMER auch nochmal im abgesicherten Modus von Windows.

Unglaublich, GMER scheint im x-ten Anlauf (abgesicherter Modus, Norton deinstalliert) tatsächlich durchgelaufen zu sein :crazy:
Anbei das Logfile:

Also die Einträge von GMER deuten noch auf einen MBR-Rootkit hin, obwohl wir den mittels Wiederherstellungskonsole gefixt haben. Normalerweise wird der allererste Sektor als "sector 00" bezeichnet, dass der nicht befallen ist also von GMER bemängelt wird, könnte ein Hinweis auf ein erfolgreiches Fixen des MBR sein. Aber sicher bin ich mir da leider nicht.

Könnten wir mal mittels einer Linux-Live-CD die betroffenen Sektoren auslesen lassen? Traust Du Dir das zu? ;) So schwierig ist der Befehl auch nicht... :)

Ist der Rechner noch auffällig auch was die Performance angeht im normalen Modus?

Einen Plan von der Sache habe ich nicht. Aber wenn Du mir genau sagst, was ich machen muss ...

Funktionieren tut alles, aber es geht weiterhin alles deutlich langsamer als vor der Bereinigung. Fühlt sich an wie verstopft.

Linux-Live-CD: Was hätte ich zu tun? Müssen wir dazu parallel online sein?

Ich befürchte mit Linux und em was ich zuerst vor hatte, wird das etwas zu heikel :o
machen wir erstmal das:

Von GMER gibt es ein spezielles Tool um den MBR (Master Boot Record) zu prüfen, der MBR wird zB auch vom Sinowal manipuliert.

Die MBR.exe sollte aus der Konsole ausgeführt werden, also zB so: Die mbr.exe liegt direkt auf C:, dann öffnest Du über Start, Ausführen cmd.exe (schwarze Konsole öffnet sich) und dort tippst Du ein:

c:\mbr.exe -f

Und bestätigst mit Enter. Die Logdatei vom MBR-Tool findest Du im gleichen Pfad, von der die mbr.exe ausgeführt wurde, im obigen Beispiel c:\mbr.log - das bitte öffnen und den Inhalt hier posten.

Einverstanden! Der PC ist lahm, aber es läuft alles. Insofern bin ich auch dafür, auf mögliche Killerkeulen zu verzichten. :kloppen:
Wenn Dir irgendwann nix mehr zu meinem PC einfällt, gib einfach Bescheid. Du hast mir auch so schon extrem geholfen!

So...der MBR ist auf jeden Fall ok.
Lässt sich im Taskmanager nachvollziehen warum das System so langsam ist? Was sagt die CPU- und Speicherauslastung?

Systemleistung nach dem Hochfahren (nur Firefox als Anwendung offen):

CPU-Auslastung schwankt zwischen 1 und 5% (Wenn ich Norton installiert habe, ist die CPU-Auslastung deutlich höher, so um 10 bis 20%)
Auslagerungsdatei 364 MB
Handles 8641
Threads 414
Prozesse 42
Physikalischer Speicher 1.046.956 (insgesamt) 522.808 (verfügbar) 309.184 (Systemcache)
Zugesicherter Speicher 373.096 (insgesamt) 2.519.524 (Grenzwert) 639.816 (Maximalwert)
Kernel-Speicher 58.452 (insgesamt) 47.792 (Ausgelagert) 10.596 (Nicht ausgelagert)

Hier die Liste aller angezeigten Prozesse im Task-Manager:

Prozess / Benutzername (*** = privater Nutzer) / Speicherauslastung (in Tsd. K)
-------------------------------------------------------------------
firefox *** 130
RTHDCPL *** 21
explorer *** 20
PCMService *** 13
CmUCREye *** 4
CNYHKey *** 14
MdionLCM *** 5
mHotkey *** 5
plugin-container *** 14
taskmgr *** 5
acrotray *** 3
wmpnscfg *** 4
RaUI *** 6
wscntfy *** 2
scvhost LOKALER DIENST 7
svchost LOKALER DIENST 4
alg LOKALER DIENST 4
svchost NETZWERKDIENST 4
svchost NETZWERKDIENST 4
wmpnetwk NETZWERKDIENST 8
Leerlaufprozess SYSTEM 0
System SYSTEM 0
watchdog SYSTEM 4
smss SYSTEM 0
CLSched SYSTEM 6
csrss SYSTEM 4
winlogon SYSTEM 2
services SYSTEM 4
lsass SYSTEM 7
svchost SYSTEM 5
svchost SYSTEM 31
spoolsv SYSTEM 6
X10nets SYSTEM 5
CLCapSvc SYSTEM 12
CLMLServer SYSTEM 9
dptimersvc SYSTEM 3
svchost SYSTEM 4
LSSrvc SYSTEM 2
mdm SYSTEM 3
nvsvc32 SYSTEM 4
RichVideo SYSTEM 3
wmiprvse SYSTEM 5

Was ich nicht verstehe: Windows-Sicherheitscenter meldet, dass ein Virenschutzprogramm aktiv und auf dem neuesten Stand ist. Ich habe aber derzeit gar keines (wissentlich) installiert. Kann da noch irgend etwas im Hintergrund laufen?

Luhh

Wahrscheinlich wurde im Sicherheitscenter der Virenscanner nicht sauber abgemeldet.
Die Werte sind aber soweit IMHO ok. Das hast du schon beachtet und umgesetzt? => http://www.trojaner-board.de/71631-p...samer-tun.html