Trojaner-Board - Trojaner OnlineBanking Volksbank 20 TANs

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner OnlineBanking Volksbank 20 TANs (https://www.trojaner-board.de/95308-trojaner-onlinebanking-volksbank-20-tans.html)

Trojaner OnlineBanking Volksbank 20 TANs

Hallo zusammen,

ich bin ebenfalls neu hier, habe bisher noch nichts von diesem Board gehört, bin aber durch Googlen meines Problemes hier gelandet und bin echt von der Professionalität hier begeistert.:daumenhoc Nun hoffe ich auch, dass ihr mir helfen könnt.

Mein Problem:
Ich wollte gestern ins OnlineBanking der Volksbank, nach Kontonr. und Passwort Eingabe sollte ich 20 TANs übertragen. Das kam mir spanisch vor, da ich aber keine persönlichen Daten eingeben musste habe ich dies gemacht, danach kam die Fehlermeldung, dass die TANs falsch waren. Schon vorher habe ich zur Sicherheit einen Screenshot gemacht (alle TANs waren richtig). Habe das ganze nochmal eingegeben - gleiche Meldung. Habe dann mit meiner Bank gesprochen und die meinten, dass es ein Trojaner ist und die haben mein OnlineBanking gesperrt.
Falls es hilft, habe ich mal den Screenshot von der TAN-Eingabe mit hochgeladen.

Dann habe ich Antivir mit dem aktuellen ServicePack, welches heute erschienen ist, laufen lassen. Es kamen 9 Funde und 3 Warnungen. Ich aktualisiere es täglich, lasse es alle paar Tage laufen und die letzten Male wurde nichts gefunden. Auch sonstige Probleme mit dem PC hatte ich nicht, die auf einen Trojaner hindeuteten.
Die LOG-Datei von Antivir habe ich auch hochgeladen.

Load.exe habe ich noch nicht ausgeführt, da dort einige Installationen und Änderungen bei durchzuführen sind und ich nicht weiß, ob diese evtl. jetzt destruktiv sein könnten, da ich ja schon Antivir laufen lassen habe.

Ich benutze Windows 7 Home.

Meine 2 Hauptfragen:
1. Was sollte ich jetzt machen? Ist das Problem vllt schon durch Antivir behoben?
2. Formatieren würde ich ungerne, werde es aber wenn es unbedingt sein muss in einer Woche oder so machen. Ich sichere meine Daten auf externen Festplatten (einfach drauf kopieren, keine besonderen Backup-Tools). Muss ich Angst haben, dass diese Daten ebenfalls betroffen sind und nach eine Formatierung wieder das System infizieren?

Vielen Dank im Voraus!:dankeschoen:

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Habe beides durchgeführt.
Die LOG-Dateien befinden sich im Anhang.

Bei mir sind auf dem Desktop ein paar Dateien und Ordner entstanden (u.A. defogger.exe und g2m3e4r.exe), kann ich die jetzt löschen?

Zitat:

Art des Suchlaufs: Quick-Scan

Sry aber ich wollte einen Vollscan sehen.
Poste auch alle etwaigen anderen Logs von MBAM, die du im Reiter Logdateien siehst.

Habe einen vollständigen Scan durchgeführt und alle LOGs angehängt (der letzte ist der mit dem vollständigen Scan).

Sollte ich für meine Externen Festplatten auch nochmal Scans machen?

und

Zitat:

Bei mir sind auf dem Desktop ein paar Dateien und Ordner entstanden (u.A. defogger.exe und g2m3e4r.exe), kann ich die jetzt löschen?

Danke!

Ja, die externen Platten in den Vollscans miteinbeziehen. Mach mal ein Vollscan nur mit den externen Platten, Systempartition und das, was vorher schon vollgescannt wurde muss nicht nochmal gescannt werden.

Die Scans der Externen läuft grade.

Habe eine Mail von ebay bekommen, kann die was mit dem Trojaner zu tun haben?
Absender: derswebhelp@ebay.de

Zitat:

Betreff MC010 - Bitte ändern Sie das Passwort für Ihr eBay-Mitgliedskonto

Guten Tag,

wir schreiben Ihnen, da wir Grund zu der Annahme haben, dass ohne Ihre Einwilligung auf Ihr eBay-Mitgliedskonto zugegriffen wurde.

Selbstverständlich haben wir Ihr Mitgliedskonto umgehend abgesichert. Damit Ihr Mitgliedskonto nicht erneut übernommen werden kann, bitten wir Sie um Ihre Mithilfe.

Bitte nehmen Sie jetzt die folgenden Schritte vor:

1. Löschen Sie bitte in Ihrem Browser alle temporären Internetdateien, auch Cache genannt, einschließlich aller vorhandenen Cookies. Hier erklären wir Ihnen, wie dies für Ihren Browser geht:

Cookies aktivieren, löschen und verwalten

2. Ändern Sie das Passwort Ihres eBay-Mitgliedskontos. Gehen Sie zur Einlog-Seite von eBay und klicken Sie auf den Link "Ich habe mein Passwort vergessen". Ändern Sie dann Ihr Passwort entsprechend den Anweisungen.

Achten Sie darauf, dass Sie dabei den Link aus der Ihnen zugesandten E-Mail komplett und (falls vorhanden) inklusive des Punktes (.) am Ende kopieren und in die Adresszeile Ihres Browsers einfügen.

3. Ändern Sie auch das Passwort Ihres E-Mail-Kontos. Damit stellen Sie sicher, dass keine Unbefugten auf diesem Weg das Passwort Ihres eBay-Mitgliedskontos ändern können.

4. Kontrollieren Sie nun, ob die Kontakt- und Kreditkartendaten in Ihrem Mitgliedskonto noch korrekt sind: Gehen Sie dazu in Mein eBay, wählen Sie den Reiter "Mitgliedskonto" und klicken Sie dann auf den Link "Persönliche Daten".

5. Falls Sie auch als Verkäufer angemeldet sind, überprüfen Sie abschließend Ihre Bankangaben: Unter dem Reiter "Mitgliedskonto" gehen Sie auf "Einstellungen". Klicken Sie neben "Zahlungseinstellungen für Käufer" auf "Einblenden" und dann neben "Kaufabwicklung verwenden" auf "Bearbeiten". Kontrollieren Sie bitte auch unter dem Punkt "Verwenden Sie Überweisung" Ihre hinterlegten Kontoinformationen.

Hinweis:
Auch wenn Ihre Kreditkarten- und Kontoinformationen geändert worden sind, bedeutet dies nicht, dass Unbefugte diese eingesehen haben. Alle Ihre Daten sind auf einem gesicherten Server gespeichert, zu dem kein Unberechtigter Zugang hat. Im Mitgliedskonto können Ihre Daten von
Dritten nicht eingesehen, sondern lediglich neu eingegeben werden.

Weitere Informationen zur Sicherheit Ihres Mitgliedskontos und wie Sie sich selbst zukünftig besser schützen können, finden Sie unter folgendem Link:

eBay Deutschland - Sicherheitsportal - Benötigen Sie Hilfe? Kontaktieren Sie uns

Die entstandenen Unannehmlichkeiten bedauern wir sehr. Wir hoffen jedoch auf Ihr Verständnis für alle getroffenen Sicherheitsmaßnahmen.

Mit freundlichen Grüßen

eBay-Sicherheitsteam

---------------------------------------
Zum Impressum gelangen Sie über den folgenden Link:

eBay Deutschland: ber eBay

H18818

Soll ich die Anweisungen befolgen?

Im Anhang ist die LOG-Daetei von den Externen.

Die Mail scheint wirklich von eBay zu sein. Jetzt stellt sich trotzdem die Frage, ob der unerwünschte Zugriffsversuch auf mein eBay-Konto etwas mit dem Trojaner zu tun hat?

Zitat:

g:\sicherung\kathas scjeiss\formatierung\katharina\downloads\fff-ea144.exe

Na was wird das wohl sein? Sicherung von deinem PC? :pfeiff:

Grade blinkt mein Antivir auf und meldet einen Fund:
Objekt: EhStmapi.dll
Fund: BDS/Papras.56320
Die LOG-Datei hänge ich an.

Hat das was mit dem alten Trojaner zu tun oder ist das was neues?

Hatte die eBay-Meldung was mit dem Trojaner zu tun?

Danke schonmal!

Zitat:

g:\sicherung\kathas scjeiss\formatierung\katharina\downloads\fff-ea144.exe

Da meine freundlich gestellte Frage ignoriert wurde, kommt es jetzt halt eben auf die Harte Tour! :teufel2:

Die (Be)nutzung von Cracks, Serials und Keygens ist illegal, somit gibt es im Trojaner-Board keinen weiteren Support mehr.

Für Dich geht es hier weiter => Neuaufsetzen des Systems
Bitte auch alle Passwörter abändern (für E-Mail-Konten, StudiVZ, Ebay...einfach alles!) da nicht selten in dieser dubiosen Software auch Keylogger und Backdoorfunktionen stecken.

Danach nie wieder sowas anrühren!

Ich dachte deine Frage wäre rhetorisch gemeint, besonders wegen des Smileys. Daher habe ich nicht darauf geantwortet.
Wie du vllt. am dem Pfad sehen kannst, handelt es sich eben nicht um eine Sicherung von mir, sondern von jemand anderem. Ich hatte ihre Daten für eine Formatierung ihres PCs netterweise auf meine Externe gepackt, da sie keine hatte.
Erst nachdem ich den Namen von der Datei vorhin gegoogelt habe, habe ich gesehen, dass es sich um einen Keygen oder so handelt.
Falls mir nicht weiter geholfen wird fände ich das mehr als bedauerlich, da ich erst nur netterweise die Daten von jemand anderem Sichere, dann wahrscheinlich von den Daten einen Trojaner erhalte und mir dann obendrein nicht geholfen wird. Ich hatte mir mehr von diesem Board versprochen...

Deswegen die harte Tour, weil du meine freundlich gestellte Frage ignoriert hast.
Lösch den Müll und dann gehts (ausnahmweise) weiter.

Alles klar, prima.
Habe die Datei direkt nach dem Fund gelöscht.

Habe vorhin noch einmal einen Vollständigen Suchlauf in allen Festplatten mit Malwarebytes gemacht und demnach scheint alles weg zu sein (siehe Anhang). Aber ist es das jetzt auch? Wie soll ich weiter vorgehen?

Hatte die eBay-Meldung was mit dem Trojaner zu tun?

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O36 - AppCertDlls: mpnoasrv - (C:\Windows\system32\EhStmapi.dll) - C:\Windows\System32\EhStmapi.dll ()

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Ich würde gerne wissen, was die letzte OTL Ausführung genau gemacht hat?
Ich habe nämlich verschiedene gänderte (bzw. zurück gesetzte) Einstellungen im System nach der Ausführung bemerkt.

Ebenso würde ich gerne wissen, was ComboFix macht und ändert, bevor ich dies ausführe!?

Die Erläuterung bis ins kleinste Detail würde den kompletten Rahmen sprengen. Führ es aus oder lass es sein.

Wenn irgendwelche wichtigen Änderungen im System vorgenommen werden, sollte man das allerdings mitteilen!

Und grade ihr als Experten solltet doch wohl unterstützen, dass man nicht einfach blind und ohne Wissen irgendwas ausführt. Solche Sätze wie folgender lassen aber eher das Gegegnteil vermuten:

Zitat:

Führ es aus oder lass es sein.

Ich weiß, dass das mehr Arbeit usw. ist, aber so wird doch langfristig keinem geholfen...

Ich bin echt dankbar, dass ihr hier einem professionell weiter helft, aber ohne die Beantwortung meiner Fragen (und es wurden die meisten einfach ignoriert) und ohne ein paar Hintergrund-Infos stellt das keine befriedigende Lösung für mich dar.

Zitat:

Wenn irgendwelche wichtigen Änderungen im System vorgenommen werden, sollte man das allerdings mitteilen!

Das mach ich, sofern ich was ins OTL-Fixscript schreibe. Ich fixe mit OTL grundsätzlich nur böse/überflüssige oder verwaiste Einträge.
Was meinst du wohl, könnte dieses Script bewirkt haben, ein wenig solltest du daraus schon selbst erkennen können, wenn nicht wirst du auch meine (spätere vollständige) Erklärung dazu nicht richtig nachvollziehen können :rollyes:

Zitat:

:OTL
O36 - AppCertDlls: mpnoasrv - (C:\Windows\system32\EhStmapi.dll) - C:\Windows\System32\EhStmapi.dll ()
:Commands
[purity]
[resethosts]
[emptytemp]

Zitat:

aber so wird doch langfristig keinem geholfen...

Um effektib Hilfe anzubieten, muss der TO nicht bis ins kleinste Detail jeden noch so kleinen Schritt wissen. Dafür ist vermutlich auch das Hintergrundwissen nicht da.
Angenommen bei dir steht eine Operation an. Darf der Chirurg dich erst operieren, wenn er dir jeden noch so kleinen Schritt erklärt? Auch wenn du kein medizinisches Fachwissen hast und mit den Erklärungen der Schritte garnichts anfangen könntest? :balla: