Trojaner-Board - E-Banking, 20 Pinabfrage, Trojaner entfernt oder System neu auflegen?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - E-Banking, 20 Pinabfrage, Trojaner entfernt oder System neu auflegen? (https://www.trojaner-board.de/97034-e-banking-20-pinabfrage-trojaner-entfernt-system-neu-auflegen.html)

E-Banking, 20 Pinabfrage, Trojaner entfernt oder System neu auflegen?

Hallo,

gestern habe ich den meinen Kontostand online überprüft, da gab es noch nichts Auffälliges. Meine Sparkasse habe ich über mein Lesezeichen angewählt. Dann wollte ich das Konto meiner Freundin auf meinem Laptop kontrollieren. Sie ist bei einer anderen Sparkasse also habe ich die Seite über Google gesucht. Nach dem einloggen kam das scheinbar schon bekannt Pop-Up mit der Aufforderung 20 iPins einzugeben.
In meiner Aufregung habe ich eine Demo von "Trojaner Remover" runtergeladen und durchlaufen lassen. Der stieß auf folgende Datei:
"C:\sdfsdfsfdsf\sdfsdfsfdsf.exe"
TR hat die Datei umbenannt (in sdfsdfsfdsf.exe.vir) und den "registry value removed" Die Log-Datei hängt an ("TRLOG")

Dann habe ich euer Forum gefunden und MalwareBytes durchlaufen lassen. Keine Funde, die Log hängt an.

Dann OTL durchlaufern lassen, die Log hängt an.

Heute morgen habe ich dann nochmal AntiVir komplett scannen lassen. Der hat die Datei "sdfsdfsfdsf.exe.vir" gefunden und darin das Trojanische Pferd TR/VBKrypt.cmky entdeckt. Die Datei ist dann in das Quarantäneverzeichniss verschoben worden.
Außerdem wurde der Java-Virus JAVA/OpenConnect.CF gefunden und in Quarantäne verschoben. Auch die Log hängt an.

Ist mein System jetzt wieder sauber? Ich kann das so ganz nicht glauben, würde aber gerne eine Formatierung vermeiden.
Leider kann ich aus den Log-Daten nicht viel erkennen.

Gruß,
Sebastian

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Ja, vier alte und insgesamt 4 von gestern...
Von den 4 gestrigen sind aber 3 mit "veralteter" Software gemacht. Glaube ich...

Schon mal danke für das "damit beschäftigen"!
Gruß

Zitat:

PRC - C:\Windows\System32\ZoneLabs\vsmon.exe (Check Point Software Technologies LTD)

PRC - C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD)

Bitte deinstallieren. ZoneAlarm ist den Platz nicht wert, den es auf der Festplatte und im RAM beansprucht! Aktiviere die Windows-Firewall.

Mach nach der Deinstallation von ZA und dem Neustart von Windows einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]

O33 - MountPoints2\{25534fab-d697-11de-8664-0013779f3ff8}\Shell - "" = AutoRun

O33 - MountPoints2\{25534fab-d697-11de-8664-0013779f3ff8}\Shell\AutoRun\command - "" = F:\AutoRun.exe

O33 - MountPoints2\{25534fc5-d697-11de-8664-0013779f3ff8}\Shell - "" = AutoRun

O33 - MountPoints2\{25534fc5-d697-11de-8664-0013779f3ff8}\Shell\AutoRun\command - "" = F:\AutoRun.exe

O33 - MountPoints2\{25534ff5-d697-11de-8664-0013779f3ff8}\Shell - "" = AutoRun

O33 - MountPoints2\{25534ff5-d697-11de-8664-0013779f3ff8}\Shell\AutoRun\command - "" = F:\setup_vmc_lite.exe /checkApplicationPresence

O33 - MountPoints2\{3948cdf7-898d-11de-9934-0013779f3ff8}\Shell - "" = AutoRun

O33 - MountPoints2\{3948cdf7-898d-11de-9934-0013779f3ff8}\Shell\AutoRun\command - "" = J:\StartVMCLite.exe

O33 - MountPoints2\{3948cdfe-898d-11de-9934-0013779f3ff8}\Shell - "" = AutoRun

O33 - MountPoints2\{3948cdfe-898d-11de-9934-0013779f3ff8}\Shell\AutoRun\command - "" = J:\StartVMCLite.exe

O33 - MountPoints2\{40f5080c-2f63-11df-8b0b-0013779f3ff8}\Shell - "" = AutoRun

O33 - MountPoints2\{40f5080c-2f63-11df-8b0b-0013779f3ff8}\Shell\AutoRun\command - "" = F:\AutoRun.exe

O33 - MountPoints2\{40f5080e-2f63-11df-8b0b-0013779f3ff8}\Shell - "" = AutoRun

O33 - MountPoints2\{40f5080e-2f63-11df-8b0b-0013779f3ff8}\Shell\AutoRun\command - "" = G:\AutoRun.exe

O33 - MountPoints2\{42320fb8-ba6d-11de-a405-0013779f3ff8}\Shell\AutoRun\command - "" = F:\StartPortableApps.exe

O33 - MountPoints2\{84b2140c-239e-11df-a3fd-0013779f3ff8}\Shell - "" = AutoRun

O33 - MountPoints2\{84b2140c-239e-11df-a3fd-0013779f3ff8}\Shell\AutoRun\command - "" = F:\StartVMCLite.exe

O33 - MountPoints2\{84b21411-239e-11df-a3fd-0013779f3ff8}\Shell - "" = AutoRun

O33 - MountPoints2\{84b21411-239e-11df-a3fd-0013779f3ff8}\Shell\AutoRun\command - "" = F:\StartVMCLite.exe

O33 - MountPoints2\{d30fb5c3-e024-11de-b575-0013779f3ff8}\Shell - "" = AutoRun

O33 - MountPoints2\{d30fb5c3-e024-11de-b575-0013779f3ff8}\Shell\AutoRun\command - "" = F:\AutoRun.exe

O33 - MountPoints2\{d30fb5e3-e024-11de-b575-0013779f3ff8}\Shell - "" = AutoRun

O33 - MountPoints2\{d30fb5e3-e024-11de-b575-0013779f3ff8}\Shell\AutoRun\command - "" = F:\AutoRun.exe

O33 - MountPoints2\F\Shell - "" = AutoRun

O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\AutoRun.exe

[2011.03.30 23:48:29 | 000,000,000 | ---D | C] -- C:\Windows\System32\System32

[2011.01.29 18:00:24 | 000,030,568 | ---- | C] () -- C:\Windows\MusiccityDownload.exe

[2011.01.29 18:00:22 | 000,974,848 | ---- | C] () -- C:\Windows\System32\cis-2.4.dll

[2011.01.29 18:00:22 | 000,081,920 | ---- | C] () -- C:\Windows\System32\issacapi_bs-2.3.dll

[2011.01.29 18:00:22 | 000,065,536 | ---- | C] () -- C:\Windows\System32\issacapi_pe-2.3.dll

[2011.01.29 18:00:22 | 000,057,344 | ---- | C] () -- C:\Windows\System32\issacapi_se-2.3.dll

@Alternate Data Stream - 142 bytes -> C:\ProgramData\TEMP:07BF512B

@Alternate Data Stream - 102 bytes -> C:\ProgramData\TEMP:CB0AACC9

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Diese Log wurde ausgespuckt...

Ist die Windows Firewall denn "sicher" oder kannst du evtl. eine empfehlen? Auch ruhig eine die kostet.

Gruß

Bleib bei der Windows-Firewall, alles andere ist kontraproduktiver Unsinn.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hier ist die Log.
Gruß

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

OK, erledigt. Das Programm sah aber anders aus als auf dem Bild, kein DOS Bildschirm. Wahrscheinlich eine neue Version?!
Sollte ich das zweite Tool (Norman...) auch ausführen?

Ach so, keine Funde...

Gruß

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur wenige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hier sind die Logs. Das durchlaufen hat etwas gedauert...

SuperAntiSpyware hat was gefunden, im Anschluss habe ich auf weiter gedrückt und die beiden Funde wurden gelöscht. War etwas anders als in eurer Beschreibung am Ende. Oder habe etwas falsch gemacht?

Gruß

Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Nein, mir ist nichts aufgefallen.
Außer dass ich jetzt viel kleine Programme auf dem Rechner habe...:eek:

Sollte es das echt gewesen sein??