Postbank Trojaner - Tan-Abfrage
 

Hallo,

ich weiß natürlich, dass es jetzt schon mehrere Themen zu dem Postbank Trojaner hier im Forum gab.

Meine Hebamme hat mir ihr Netbook (Win 7 Starter) gegeben, nachdem ihr das Pop Up der TAN-Abfrage von der Postbank begegnet ist beim letzten Login. Sie hat sofort bei der Postbank angerufen, ihr Konto gesperrt etc. und auch gleich alle ihre wichtigsten Passwörter geändert.

Jetzt kann ich leider nicht sagen, ob das System nun gereinigt ist oder nicht, da sie ja auch nicht mehr auf ihr Konto zugreifen kann zurzeit. Sie hatte noch mal Antivir durchlaufen lassen, dass zwei Java Viren gefunden hatte und ich extra noch mal den Malware Bytes vollen Scan, der zwei Trojaner zusätzlich entdeckt hatte.

Ich hoffe, mir kann jemand helfen. Wie in der Hilfe beschrieben, habe ich lieber einen neuen Thread aufgemacht, als die Schritte von den anderen Threads zu folgen (sicher ist sicher). Die Logs sind rangehängt.

Vielen Dank im Voraus.

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Entschuldigung für die extrem verspätete Antwort.

Also unter Logdateien befindet sich nur die Datei, die ich angehängt hatte beim OP. Habe ich Malwarebytes nicht richtig durchlaufen lassen?

Bitte Malwarebytes updaten und einen neuen Vollscan machen. Ist ja schon über ne Woche her.

ok, ich habe es nochmal durchlaufen lassen, gefunden wurde aber dieses Mal nichts. Ist das Sysstem vielleicht schon sauber, und sie hatte sich den Trojaner nicht wirklich eingefangen?

Vielen Dank für deine Hilfe, Cosinus.

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

ok, auch getan. hänge beide Dateien an.

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Rechner hat neugestartet nach dem Fix, Textdatei hat sich geöffnet.

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

getan! Hat wohl auch nichts gefunden, wie es scheint.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Das Programm scheint bei mir abgestürzt zu sein, als der AutoScan gestartet wurde (das blaue Fenster). Nichts wurde angezeigt, nur, dass es länger dauern kann (mittlerweile warte ich aber schon seit einer Stunde). Was soll ich tun? Es schließen und neu versuchen?

Ist definitiv abgestürzt. Ging gar nichts mehr. Musste neustarten :/

Lad die cofi.exe neu runter und probier es nochmal.

Soll ich den CrapCleaner auch noch mal laufen lassen?

Muss nicht unbedingt sein.

Ich lass das jetzt gerade noch mal laufen. Dauert aber immer noch. Nach über 2 Stunden hat sich aber zumindest die Uhrzeit mal geändert.

Zur Information:
Nach der Wiederherstellungskonsole, von der in der Anleitung gesprochen wird, wurde ich übrigens nicht gefragt. Ich weiß nicht, ob das von Signifikanz ist. Dieses Ablehnungsfenster ist auch an sich nicht so erschienen (mit der 1 oder 2), aber die Registry wurde gesichert.

Die Wiederherstellungskonsole ird nur installiert, wenn du WinXP als OS hast.

Ok, das erklärts. Ich hoffe mal, das klappt jetzt. Ich lass es einfach laufen und fass es nicht mehr an, auch wenn ich nicht wirklich erkennen kann, ob sich irgendwas ändert (außer die Uhrzeit). Nur das mit den 10 Minuten und leicht doppelte Zeit ist ja geschummelt ;)

Danke noch mal für die super Hilfe!

Update: läuft jetzt seit über 5 Stunden, immer noch keine Anzeichen, dass es tatsächlich was tut... Ist das normal?

Kann u.U. vorkommen. Ist CF jetzt abgestürzt?
Wenn ja, starte Windows neu, lösche die cofi.exe und lad eine neue runter. Probier CF dann bitte nochmal.

Ich bekomme das Programm einfach nicht zum laufen. Jetzt bestimmt schon 5 mal runtergeladen und gestartet, ohne jegliche Reaktion. Gibt es irgendwelche Tricks? Ich habe auch versucht, alles zu deaktivieren, was es zu deaktivieren/auszuschalten gibt, aber ich weiß halt nicht, was der Computer braucht zum laufen und was nicht :/

Probier CF bitte mal im abgesicherten Modus.

das ist das Problem, wenn man schwanger ist man landet schnell im Krankenhaus.
jedenfalls hab ich ComboFix im abgesicherten Modus laufen lassen. Das ging auch, aber es war wohl nicht mehr up to date und der Log wollte sich nicht öffnen und in der Datei steht auch nur reduzierter Funktionalitätsmodus. Jedenfalls habe ich es noch mal neu runtergeladen, aber dann eine Fehlermeldung bekommen, dass auf C es nicht möglich wäre, zuzugreifen.

Dann mach erstmal Logs mit GMER und OSAM und poste sie.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Alles getan, wie beschrieben. GMER lief beim zweiten Mal auch durch. Logs und Text Dateien sind angehängt. Konnte, nachdem ich Combofix wieder neu runtergeladen habe, immer noch nicht auf C zugreifen im sicheren Modus. Der neue Internet Explorer wollte aber auch nicht so wirklich beim runterladen und hat meistens beim Sicherheitscheck nach 97% aufgehört, vielleicht hat es etwas damit zu tun?


OSAM Log:

Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Log 1 (Malwarebytes)

Log 2 (SuperAntiSpyware)


Was mach ich denn gegen diese TrackingCookies (die sich ja beim neuen Browser eingenistet haben). Sind diese gefährlich? (auch wenn da Low steht) und ist das ein False-Positive bei dem Trojaner, so richtig was konnte ich über den nicht rausfinden?

Cookies sind harmlos. Und sonst war da nur ein Fehalarm.
Rechner wieder ok oder noch Probleme?

Also läuft perfekt, finde ich. VIELEN VIELEN DANK! :abklatsch:

Wie schon gesagt, kann ja die Tan Abfrage selbst nicht probieren, weil er nicht meiner ist. Aber es kam keine Fehlalarme. Außer, dass Avira oder wie es heißt, wohl immer eine Autorun Datei blockiert neuerdings seit dem Windows und IE Update?

Und welche das ist, ist ein Geheimnis?

pppp
 

Tja, das ist eine gute Frage. Konnte nämlich nichts dazu finden.

Jetzt nach dem Neustart wurde aber nichts gesagt. Komisch...

Scheint aber definitiv alles wieder ganz zu sein. Danke Danke :)

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

OK, mache ich dann alles morgen. Danke nochmals. Auch unbekannterweise von der Besitzerin des Netbooks, die ist bestimmt super erfreut, das alles wieder funktioniert.

Danke!!!! :abklatsch: