|
20 TAN Trojaner Sparkasse Hallo zusammen, leider plage auch ich mich mit dem zur Zeit kursierenden 20 TAN-Trojaner rum. Beim Starten des Internet-Banking öffnet sich ein aufgesetztes Fenster, in dem nach der Eingabe von 20 TANs gefragt wird, auf das dahinter liegende Banking kann ich nicht zugreifen. Mein Passwort für das Online-Banking habe ich sofort von einem sicheren Laptop aus geändert, ebenso für alle in der letzten Zeiten besuchten Seiten (eBay etc.). HijackThis (zuerst), Malwarebytes und OTL (danach) habe ich bereits laufen lassen, die Logs befinden sich im Anhang. Die "unsicheren" Datei bei HiJackThis habe ich gefixt. Den Computernamen, den Benutzernamen und die Namen von 2 Excel-Dateien habe ich in den Dateien durch XXXXXX ersetzt. Ich hoffe, dass Ihr mir bei meinem Problem weiterhelfen könnt. Danke schon einmal im Voraus und viele Grüße. |
Hi, zuerst bitte SOFORT alle Passwörter von einem sauberen Rechner aus ändern, die werden mit abgezogen... Rest folgt... So, da ist Dein Banker (habe mich nur mal auf ihn konzentriert): O36 - AppCertDlls: calcstat - (C:\WINDOWS\system32\caclantz.dll) - C:\WINDOWS\system32\caclantz.dll () Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\WINDOWS\system32\caclantz.dll
und bitte: Datei hochladen: http://www.trojaner-board.de/54791-a...ner-board.html Folge den Anweisungen dort und lade die Datei: Code: C:\WINDOWS\system32\caclantz.dllBereinigung folgt dann gleich... chris |
Hi Chris, das habe ich direkt erledigt, nachdem ich den Fehler im Online-Banking entdeckt habe. Danke für Deine Hilfe! VLG, Jan |
Hi, wenn das Datum/Uhrzeit stimmt, dann hast Du den 2010.10.22 01:54:03 untergeschoben bekommen.... Noch eine Idee was Du da gemacht hast? Fix für OTL:
Code:
Dr.Web: http://www.trojaner-board.de/59299-a...eb-cureit.html Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log. Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn. Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet. TDSS-Killer Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft? Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)! Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe. Nach dem Start erscheint ein Fenster, dort dann "Start Scan". Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten... chris |
Meine Datei befindet sich bei VirusTotal noch in der Warteschlange. Das Ergebnis poste ich gleich. Danke für Deine klaren und gut verständlichen Anweisungen, das hilft mir sehr. P.S.: Was ich zu der Zeit gemacht habe, weiß ich leider nicht mehr. |
Hi, schade, die Quelle würde uns schon stark hier interessieren.... chris |
Die Datei befindet sich immer noch (gleich 1 Stunde) in der Warteschlange bei VirusTotal. Gibt es eine Möglichkeit, den Prozess zu beschleunigen oder muss ich jetzt einfach erst mal abwarten? |
Hi, solange, das gibt es nicht! Drücke mal Browser aktualisieren oder lade sie gleich bei uns hoch, dann mach ich das... chris |
Ich wundere mich auch, es wird folgendes angezeigt: File name: caclantz.dll Submission date: 2010-10-26 12:57:18 (UTC) Current status:queued (#1384) Dazu direkt darunter ein "Laufband". Das Aktualisieren hat leider nichts geholfen, dann lade ich sie gleich bei Euch hoch. Update: Die Datei ist erfolgreich bei Euch hochgeladen worden. |
Hi, ja, ist Malware, die Erkennungsrate ist immer noch erschreckend 5 Scanner von 19 finden das Teil ,, Arrrrgggh, wieso leite ich die Samples bloss immer weiter??? Ich gebe allerdings zu, das Teil ist leicht verändert... Wie beschrieben vorgehen, Dr. Web gehört zu den Scannern die das Teil erkennen und beseitigen... (aber das machen wir eh schon mit OTL, er wird es aber im Backup von OTL finden und "abtöten")... chris |
F-Secure läuft bei mir immer, das hat es nicht gefunden. Ich mache jetzt, wie beschrieben, mit OTL weiter. |
OTL ist durchgelaufen, obwohl ich vergessen hatte, in der MOD-Zeile die XXXXXX wieder durch meinen Benutzernamen zu ersetzen... Mein Fehler! Das Ergebnis findest Du in der anhängenden Textdatei. (Den Benutzernamen habe ich wieder durch XXXXXX ersetzt, nächstes Mal denke ich mit!) |
Hi, der Banker wurde von OTL "erwischt", prüfe mal ob die 20 Tan-Eingabe noch kommt... Dann bitte wie beschrieben mit Dr. Web fortfahren! chris |
Hi Chris! Der Banker wurde bestens erwischt, ich kann mich wieder normal im Online-Banking anmelden, ohne dass die 20-TAN-Matrix erscheint. Ich danke Dir jetzt schon mal sehr für Deine bisherige Hilfe. Jetzt fahre ich fort im Plan und führe Dr. Web aus. Viele Grüße, Jan |
Hi Chris! Ich habe ein kleines Problem mit Dr. Web. Nachdem sich der abgesicherte Modus "über den Desktop gelegt" hat, geht es nicht mehr weiter. Das liegt meiner Meinung nach daran, dass Dr. Web nicht auf das Internet zugreifen kann, weil ich diesen Zugriff erst über die Anwendungssteuerung meines F-Secure erlauben müsste. An dieses Fenster komme ich aber nicht heran. Darf/soll/muss ich die Anwendungssteuerung im F-Secure solange deaktivieren, wie Dr. Web läuft? Viele Grüße, Jan |
Hi, ja das sollte funktionieren, deaktiviere die Anwendungsstreuerung in F-Secure, solange Dr. Web zu gange ist... chris |
Nach Deaktivierung der Anwendungssteuerung läuft Dr. Web gerade auf meinem PC, der Schnellscan ist durchgelaufen und, hat 3 infizierte Dateien (Status: BackDoor.Bebloh.9) gefunden, die ich gelöscht habe. Nach Änderung der Einstellungen, wie in der Anleitung beschrieben, läuft jetzt der Fullscan, den Bericht bzw. die relevanten Teile davon poste ich später. Ich denke, dass das noch eine Weile dauern wird... |
Hi, ja, Dr.Web ist zwar gut aber nicht unbedingt der schellste, dauert wahrscheinlich ein paar Stunden... chris |
Hi Chris, Dr. Web ist wirklich gründlich und nicht zu schnell... Der Scan läuft immer noch. Neben den 3 oben schon erwähnten Dateien, die gelöscht wurden, wurde (bisher) die Datei ComboFix.exe, die ich vorgestern schon mal prophylaktisch runtergeladen (aber (natürlich) nicht ausgeführt) hatte, als "Wahrscheinlich BATCH.Virus" ins Archiv verschoben. Der Scan läuft aber noch und ist ca. bei 80% angelangt. Viele Grüße, Jan |
Hi, CF wird gerne mal erkannt... Poste das Log wenn er fertig ist... chris |
Hi Chris, leider wurde Dr. Web nicht bis zum Ende ausgeführt, sondern nach knapp 20 Stunden bei der nächtlichen kurzen "Zwangstrennung" vom Internet beendet. Bis dahin wurden neben den schon erwähnten Dateien noch 3 andere mit dem Status "BackDoor.Bebloh.9" gelöscht, dazu noch eine zu ComboFix gehörende Datei verschoben. Die System-Festplatte C wurde bis dahin schon komplett gescannt. Bei einem neuen Quickscan eben wurde nichts gefunden. Bitte sag jetzt nicht, dass ich Dr. Web noch mal anwerfen soll. Viele Grüße, Jan P.S.1: In dem Quarantine-Ordner von Dr. Web befinden sich die beiden Dateien ComboFix.exe und A0239607.exe (beide mit "ComboFix-Symbol). P.S.2: Meine Sparkasse hat mich heute per Brief über den Trojaner informiert, weil " das internationale Sicherheitsteam, an das sie angeschlossen sind, meine auf einem fremden Rechner gefunden hat". Alle Anweisungen hatte ich, vor allem dank Deiner Hilfe, bereits befolgt. |
Hi, dann sollten wir durch sein... Allerdings wird, besonderst bei Homebanking, empfohlen, den Rechner Neaufzusetzen, da über die Backdoorkomponente ev. Änderungen am System vorgenommen wurden, die wir nicht erkennen können... chris |
Hi Chris, ich bin mir der Empfehlung bewusst, möchte allerdings aktuell darauf verzichten, den Rechner neu aufzusetzen. Ich danke Dir sehr für Deine kompetente, sehr gut verständliche und geduldige Hilfe, hoffe aber, dass ich sie so schnell nicht wieder in Anspruch nehmen muss... ;-) Viele Grüße, Jan |
Hi, so, nun sollte das Teil auch von Avira erkannt werden, als "TR/PSW.Papras.D". Gruß&out chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:01 Uhr. |
Copyright ©2000-2025, Trojaner-Board