|
20 TAN Trojaner Sparkasse Hallo zusammen, leider plage auch ich mich mit dem zur Zeit kursierenden 20 TAN-Trojaner rum. Beim Starten des Internet-Banking öffnet sich ein aufgesetztes Fenster, in dem nach der Eingabe von 20 TANs gefragt wird, auf das dahinter liegende Banking kann ich nicht zugreifen. Mein Passwort für das Online-Banking habe ich sofort von einem sicheren Laptop aus geändert, ebenso für alle in der letzten Zeiten besuchten Seiten (eBay etc.). HijackThis (zuerst), Malwarebytes und OTL (danach) habe ich bereits laufen lassen, die Logs befinden sich im Anhang. Die "unsicheren" Datei bei HiJackThis habe ich gefixt. Den Computernamen, den Benutzernamen und die Namen von 2 Excel-Dateien habe ich in den Dateien durch XXXXXX ersetzt. Ich hoffe, dass Ihr mir bei meinem Problem weiterhelfen könnt. Danke schon einmal im Voraus und viele Grüße. |
Hi, zuerst bitte SOFORT alle Passwörter von einem sauberen Rechner aus ändern, die werden mit abgezogen... Rest folgt... So, da ist Dein Banker (habe mich nur mal auf ihn konzentriert): O36 - AppCertDlls: calcstat - (C:\WINDOWS\system32\caclantz.dll) - C:\WINDOWS\system32\caclantz.dll () Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\WINDOWS\system32\caclantz.dll
und bitte: Datei hochladen: http://www.trojaner-board.de/54791-a...ner-board.html Folge den Anweisungen dort und lade die Datei: Code: C:\WINDOWS\system32\caclantz.dllBereinigung folgt dann gleich... chris |
Hi Chris, das habe ich direkt erledigt, nachdem ich den Fehler im Online-Banking entdeckt habe. Danke für Deine Hilfe! VLG, Jan |
Hi, wenn das Datum/Uhrzeit stimmt, dann hast Du den 2010.10.22 01:54:03 untergeschoben bekommen.... Noch eine Idee was Du da gemacht hast? Fix für OTL:
Code:
Dr.Web: http://www.trojaner-board.de/59299-a...eb-cureit.html Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log. Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn. Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet. TDSS-Killer Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft? Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)! Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe. Nach dem Start erscheint ein Fenster, dort dann "Start Scan". Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten... chris |
Meine Datei befindet sich bei VirusTotal noch in der Warteschlange. Das Ergebnis poste ich gleich. Danke für Deine klaren und gut verständlichen Anweisungen, das hilft mir sehr. P.S.: Was ich zu der Zeit gemacht habe, weiß ich leider nicht mehr. |
Hi, schade, die Quelle würde uns schon stark hier interessieren.... chris |
Die Datei befindet sich immer noch (gleich 1 Stunde) in der Warteschlange bei VirusTotal. Gibt es eine Möglichkeit, den Prozess zu beschleunigen oder muss ich jetzt einfach erst mal abwarten? |
Hi, solange, das gibt es nicht! Drücke mal Browser aktualisieren oder lade sie gleich bei uns hoch, dann mach ich das... chris |
Ich wundere mich auch, es wird folgendes angezeigt: File name: caclantz.dll Submission date: 2010-10-26 12:57:18 (UTC) Current status:queued (#1384) Dazu direkt darunter ein "Laufband". Das Aktualisieren hat leider nichts geholfen, dann lade ich sie gleich bei Euch hoch. Update: Die Datei ist erfolgreich bei Euch hochgeladen worden. |
Hi, ja, ist Malware, die Erkennungsrate ist immer noch erschreckend 5 Scanner von 19 finden das Teil ,, Arrrrgggh, wieso leite ich die Samples bloss immer weiter??? Ich gebe allerdings zu, das Teil ist leicht verändert... Wie beschrieben vorgehen, Dr. Web gehört zu den Scannern die das Teil erkennen und beseitigen... (aber das machen wir eh schon mit OTL, er wird es aber im Backup von OTL finden und "abtöten")... chris |
F-Secure läuft bei mir immer, das hat es nicht gefunden. Ich mache jetzt, wie beschrieben, mit OTL weiter. |
OTL ist durchgelaufen, obwohl ich vergessen hatte, in der MOD-Zeile die XXXXXX wieder durch meinen Benutzernamen zu ersetzen... Mein Fehler! Das Ergebnis findest Du in der anhängenden Textdatei. (Den Benutzernamen habe ich wieder durch XXXXXX ersetzt, nächstes Mal denke ich mit!) |
Hi, der Banker wurde von OTL "erwischt", prüfe mal ob die 20 Tan-Eingabe noch kommt... Dann bitte wie beschrieben mit Dr. Web fortfahren! chris |
Hi Chris! Der Banker wurde bestens erwischt, ich kann mich wieder normal im Online-Banking anmelden, ohne dass die 20-TAN-Matrix erscheint. Ich danke Dir jetzt schon mal sehr für Deine bisherige Hilfe. Jetzt fahre ich fort im Plan und führe Dr. Web aus. Viele Grüße, Jan |
Hi Chris! Ich habe ein kleines Problem mit Dr. Web. Nachdem sich der abgesicherte Modus "über den Desktop gelegt" hat, geht es nicht mehr weiter. Das liegt meiner Meinung nach daran, dass Dr. Web nicht auf das Internet zugreifen kann, weil ich diesen Zugriff erst über die Anwendungssteuerung meines F-Secure erlauben müsste. An dieses Fenster komme ich aber nicht heran. Darf/soll/muss ich die Anwendungssteuerung im F-Secure solange deaktivieren, wie Dr. Web läuft? Viele Grüße, Jan |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:50 Uhr. |
Copyright ©2000-2025, Trojaner-Board