|
Eingabe von 40 TAN bei online-banking, Trojaner eingefangen Hallo liebes Board, auch ich bin irgendwie an einen Trojaner :eek: geraten, der beim online-banking die Eingabe von 40 TAN verlangt. Habe abgebrochen und das banking sperren lassen. Dann habe ich AntiVir laufen lassen - allerdings hat er mittendrin nicht mehr weitergemacht. Schlussendlich habe ich mich bis spät in die Nacht durch eure Board-Seiten gewühlt, um irgendwelche Hinweise zu bekommen. Erst mal habe ich durch den Tipp eines Bekannten bei AntiVir eine neue Konfiguration gemacht. War aber genau das gleiche wie beim ersten Mal, mittendrin aufgehört. Dann hab ich Malwarebytes runtergeladen. Dort wurden 80 infizierte Dateien gefunden, die ich dann erfolgreich gelöscht habe. Die Log-Datei als Anhang. Da ich nicht wirklich ein Freak bin und von so etwas nicht viel Ahnung habe, hoffe ich, dass ihr mir irgendwie helfen könnt. Vielen Dank schon mal im voraus. Viele Grüße Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 5464 Windows 5.1.2600 Service Pack 2 Internet Explorer 7.0.5730.13 05.01.2011 17:50:15 mbam-log-2011-01-05 (17-50-15).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 267434 Laufzeit: 51 Minute(n), 41 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 7 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 1 Infizierte Dateien: 70 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{F22C37FD-2BCB-40b6-A12E-77DDA1FBDD88} (Trojan.Banker) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\linkrdr.AIEbho.1 (Trojan.Banker) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\linkrdr.AIEbho (Trojan.Banker) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F22C37FD-2BCB-40B6-A12E-77DDA1FBDD88} (Trojan.Banker) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{F22C37FD-2BCB-40B6-A12E-77DDA1FBDD88} (Trojan.Banker) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{F5022133-FBEF-129F-A16C-F6CF3B659C98} (Trojan.ZbotR.Gen) -> Value: {F5022133-FBEF-129F-A16C-F6CF3B659C98} -> Delete on reboot. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\appconf32.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: c:\WINDOWS\system32\xmldm (Stolen.Data) -> Quarantined and deleted successfully. Infizierte Dateien: c:\system volume information\_restore{e441a6a6-cfaf-4251-962f-c8c35e995178}\RP374\A0065035.dll (Trojan.Banker) -> Quarantined and deleted successfully. c:\system volume information\_restore{e441a6a6-cfaf-4251-962f-c8c35e995178}\RP398\A0067902.exe (Spyware.Zbot) -> Quarantined and deleted successfully. c:\system volume information\_restore{e441a6a6-cfaf-4251-962f-c8c35e995178}\RP399\A0067968.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully. c:\system volume information\_restore{e441a6a6-cfaf-4251-962f-c8c35e995178}\RP400\A0067999.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully. c:\WINDOWS\system32\5008\components\acroff008.dll (Trojan.Banker) -> Quarantined and deleted successfully. c:\WINDOWS\system32\srvblck2.tmp (Malware.Trace) -> Quarantined and deleted successfully. c:\WINDOWS\system32\acroiehelpe.txt (Malware.Trace) -> Quarantined and deleted successfully. c:\dokumente und einstellungen\administrator\anwendungsdaten\Unhys\ciqyy.exe (Trojan.ZbotR.Gen) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\264_0000000357.pst (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\264_0000000358.key (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\264_0000000359.htm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\264_0000000360.frm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\264_0000000361.key (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\264_0000000362.htm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\264_0000000363.frm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\264_0000000364.key (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\264_0000000365.htm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\264_0000000366_ifrm.htm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\264_0000000367.frm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\264_0000000368.pst (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000315.pst (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000317.htm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000318.frm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000319.pst (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000321.htm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000322.frm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000323.pst (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000325.htm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000326.frm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000327.pst (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000329.htm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000330.frm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000332.htm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000333_ifrm.htm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000334.frm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000336.htm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000337_ifrm.htm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000338.frm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000340.htm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000341.frm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000342.pst (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000344.htm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000345_ifrm.htm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000346.frm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000347.frm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000348.pst (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000350.htm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000351.frm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000352.pst (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000354.htm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000355.frm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000356.pst (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\iexplore.exe_uas006.dat (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000296.frm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000297.pst (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000299.htm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000300.frm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000302.htm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000303_ifrm.htm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000304.frm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000306.htm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000307_ifrm.htm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000308.frm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000309.frm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000310.frm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000311.frm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000312.frm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000313.frm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000295.htm (Stolen.Data) -> Quarantined and deleted successfully. c:\WINDOWS\system32\xmldm\2828_0000000314.frm (Stolen.Data) -> Quarantined and deleted successfully. Ich hoffe, ihr kommt erst mal mit meinen laienhaften Schilderungen zurecht.... |
1. bank anrufen banking sperren lassen. 2. dein pc ist sehr start verseucht, hier hilft nur daten retten, neu aufsetzen. ich erkläre dir dann wie du neu aufsetzt, und den pc absicherst. |
Hallo Markus, vielen Dank für die schnelle Antwort. Ich hab heute nochmal mit Malwarebytes einen Quick-Scan gemacht, hier die LOG-Datei. Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 5464 Windows 5.1.2600 Service Pack 2 Internet Explorer 7.0.5730.13 07.01.2011 13:11:11 mbam-log-2011-01-07 (13-11-11).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 133189 Laufzeit: 7 Minute(n), 1 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Trotzdem alle Daten sichern??? Ich hab leider keinen USB-Stick oder 'ne externe Festplatte o.ä., aber da lässt sich wohl eine Lösung finden. Dann formatieren, Betriebssystem wieder neu drauf. Ich werde mich erst mal melden, sobald ich die Daten gesichert habe. Vielen Dank. |
genau. es ist sowieso ratsam, eine datensicherung zu haben, falls deine interne festplatte mal kaputt geht. bei mediamarkt /saturn gibts ja erschwingliche festplatten denke ich. |
Hallo Markus, habe noch eine Frage. Da ich das ja noch nie vorher gemacht habe, weiß ich gar nicht so genau, was ich alles "sichern" muss. Unsere abgespeicherten Fotos und alle Dateien in Word/Excel ist klar. Aber die ganzen anderen Programme muss ich doch sowieso neu runterladen, da ich nicht weiß, wo sich der Trojaner eingeschlichen hat oder? Wenn ich jetzt 'ne komplette Sicherung meiner derzeitigen Festplatte mach ist das doch auch nicht Sinn und Zweck der Übung oder hab ich das falsch verstanden? :wtf: Eine Datensicherung kann ich ja dann sowieso erst machen, wenn ich den Rechner wieder voll installiert habe. Dann würd ja erstmal auch ein USB-Stick reichen.... DANKE!!! |
genau, du kannst nur bilder dokumente und instalationsdateien, falls du hast, sichern, programme müssen dann instaliert werden und ich zeige dir dann wie du regelmäßig ne komplette sicherung machst. der vorteil ist dass du mit dieser kompletten sicherung in zukunft das system zurücksetzen kannst und alle programme etc gleich vorhanden sind. |
Danke. Ich hab gerade die Anleitung gelesen zur "Datensicherung", wo man gucken soll, welche Hardware man hat. Das hab ich jetzt alles nachgeguckt und mir aufgeschrieben, Arbeitssepciher, Grafikkarte, Monitor, Soundkarte etc. Oder ist das überflüssig? Die von Dir genannten Installationsdateien, was ist das genau und wo finde ich die? Sorry, ich hab echt keinen Plan....:confused: |
ja, kann man evtl. gebrauchen. na wenn du ein programm aus dem internet lädst zum beispiel. dann hast du eine so genannte setup datei, mit der du das programm instalierst. wenn du diese datei(n) noch hast, kannst du sie mit sichern, wenn nicht, lädst du sie einfach später noch mal runter. |
Hallo Markus, was lange währt wird endlich gut...ich habe - hoffentlich - den Trojaner beseitigt. Ich habe den PC einem Bekannten gebracht, der hat alles formatiert und das Betriebssystem neu draufgespielt und auch alles andere. Meine Passwörter hatte ich von einem "sicheren" PC aus geändert. Jetzt möchte ich natürlich gerne den PC so gut wie möglich schützen. Welche Tipps hast Du für mich? Vielen Dank.:heilig: |
du nutzt ja xp? http://www.trojaner-board.de/96344-a...-rechners.html |
Danke, die Anleitung muss ich erst mal in Ruhe lesen, erstmal versteh ich nur Bahnhof. Das mit der Sandbox habe ich gerade gemacht, ich hoffe, das klappt. Malwarebytes läuft gerade und hat - unfassbar - schon wieder ein infiziertes Objekt gefunden....ich poste nachher mal die LOG-Datei :schrei: |
na du bist ja schon groß, wenn probleme auftreten, frage! |
:applaus:wohl wahr!!! jedenfalls hat malwarebytes wieder zwei infizierte objekte gefunden...hie die log-datei: Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 5566 Windows 5.1.2600 Service Pack 2 Internet Explorer 8.0.6001.18702 21.01.2011 20:04:47 mbam-log-2011-01-21 (20-04-47).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 192609 Laufzeit: 30 Minute(n), 41 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\dokumente und einstellungen\XXX\anwendungsdaten\desktopicon\ebayshortcuts.exe (Adware.ADON) -> Quarantined and deleted successfully. d:\system volume information\_restore{e441a6a6-cfaf-4251-962f-c8c35e995178}\RP405\A0068215.exe (HackTool.Asterisk) -> Quarantined and deleted successfully. Und nu :pfeiff: |
das ist nur adware, warum wurden meine tipps noch nicht umgesetzt, xp sp2 bekommt keine updates, ohne sicherheits updates bekommst du sicher irgendwann wieder trojaner etc. |
Sorry, tut mir leid, ich war gestern etwas im Stress. Heute hab ich mich mal mit Deiner Mail auseinandergesetzt. Secunia und FileHippo hab ich bereits installiert. Ich hab nachgesehen, ich kann nur Secunia unter AUTOSTART finden, FileHippo scheint aber auch automatisch zu starten oder wie gucke ich das nach??? Windows-Dienste sicher konfigurieren und abschalten (Windows 7/Vista/XP/2000) - www.ntsvcfg.de download link ist hier hxxp://ntsvcfg.de/svc2kxp.zip Das habe ich leider noch nicht geschnallt, ich hab den Download angeklickt, aber irgendwie konnte ich dann den Abschnitt und die Methode nicht finden.... Avira Version 10 ist auch drauf. Jetzt noch eine Frage zu Sandbox. Unten neben der Uhr erscheint ja das Symbol. Startet sich die Sandbox jetzt automatisch, wenn ich den browser lade oder wie? Du schreibst was von Lesezeichen....damit arbeite ich irgendwie gar nicht...hat wohl irgendwas mit besonders oft besuchten Seiten zu tun. Als Browser hab ich opera installiert. Ich hoffe, das wichtigste hab ich jetzt erledigt. Kann ich Malwarebytes lassen? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:17 Uhr. |
Copyright ©2000-2025, Trojaner-Board