Trojaner will 10 TAN von mir

#16 Wenn du das Problem immer noch hast, poste bitte die Informationen von den Punkten 1-3 http://board.protecus.de/t23188.htm

und poste ein Gmer Bericht: http://www.winpower.de/sicherheits-faqs/anleitung-rootkit-scanner-blacklight-rootkitrevealer-sophos-anti-rootkit-gmer-8976/
__________
MfG Ralf
SEO-Spam Hunter

#17 Hi,

das könnte auch "man-in-the-middle" sein,
oder die Bankseite ist präpariert worden (und die Manipulation ist bisher noch nicht entdeckt worden)!

Du könntest z. B. vom Firefox aus die Seite mit dem Dr. Web-Plug-Inn prüfen lassen, oder die Bank informieren.

Bei der Neuinstallation, ist die Partition inkl. MBR neu formatiert worden, und von wo aus (von CD geboot und dann komplett formatiert)?

Chris

#18

Zitat

Chris4You postete
oder die Bankseite ist präpariert worden (und die Manipulation ist bisher noch nicht entdeckt worden)!

Das konnte man ausschließen, da es von einem anderen PC aus mit dem IE7 ok war.

Aber, es scheint jetzt wieder ok zu sein!

Folgendes: Ich hatte den Rechner von der Recovery-DVD aus neu installiert, selbst einmal mit vorheriger Formatierung von C:, jedesmal das selbe Problem. Heute morgen nun habe ich mal aus Spaß den MBR mittels Befehl FIXMBR neu geschrieben. Nachdem dann Windows startete, war die "10-Tans"-Seite weg! Scheinbar hatte sich ein Trojaner im MBR eingenistet.

Habe nun das System nun trotzdem nochmal neu aufgesetzt und wieder alles ok jetzt. Mir scheint also, daß die Recovery-DVD den MBR nicht neu beschreibt, deshalb hatte ich den Bösling immer wieder. Hätte gedacht, daß der MBR bei einer Neuinstallation immer neu geschrieben wird...

Also für alle, die das selbe Problem haben: unbedingt den MBR vor der Neuinstallation per Befehl FIXMBR neu schreiben!

#19 Hi,

dann hattest Du ein ganz fieses Teil drauf...
Das MBR-Teil ist fast nicht zu finden, Panda hatte mal was angekündigt...

Habs: http://www.central-it.de/html/security/securityloesungen/antivirussoftware/6396846/index.html

chris

#20 hier noch Infos dazu,
http://virus-protect.org/artikel/tools/masterbootrecord.html

gut, dass ich nun mal ein beispiel habe, denn bislang war es immer so theoretisch
__________
MfG Sabina

rund um die PC-Sicherheit

#21 Ja, da bestätigt sich es mal wieder, man kann sich nie sicher sein.

Normalerweise kann man bei jedem PC im BIOS des Boot-Sector-Schutz aktivieren, so dass dieser Bereich nicht beschrieben werden kann. Leider bietet mein Acer-Notebook diese Option im Bios nicht an...

#22 Hi Molle,
also ich habe das Problem auch bei meinem Rechner ich bin schon total am verzweifeln habe Bitdefender rüber laufen lassen und dann war es einen Tag gut und beim nächsten Versuch direkt wieder da....

Was hast Du den genau gemacht ist dein PC wieder okay? Ich kenne mich nicht gut aus mit Rechnern sollte ich Ihn vielleicht weg bringen zum checken oder kann ich das Problem alleine lösen.

Habe bei meiner Bank schon nachgefragt und die haben den Account erstmal gesperrt.

Ich habe es gleich mal getestet an einer anderen Bank bei der ich kein Kunde bin und zwar habe ich mich bei einer anderen Bank anmelden mit Pseudoname und Ktonummer und siehe da der selbe Mist ist auch hier aufgetreten .

Kann mir den irgendwer helfen???
Liebe Grüße Myriam

#23 Siehe mein Posting vom 06.06

Wenn du das Problem immer noch hast, poste bitte die Informationen von den Punkten 1-3 http://board.protecus.de/t23188.htm

und poste ein Gmer Bericht: http://www.winpower.de/sicherheits-faqs/anleitung-rootkit-scanner-blacklight-rootkitrevealer-sophos-anti-rootkit-gmer-8976/
__________
MfG Ralf
SEO-Spam Hunter

#24 Hallo, habe das gleiche Problem auf einem meiner Recher. Die Meldung kommt bei Kreissparkasse und Commerzbank. Auf den anderen Rechnern im gleichen Netzwerk nicht.
Der Quelltext der Bankenseiten ist verändert. Könnte also eventuell Frame Spoofing sein. Das Problem tritt ja auch bei mir nur bei IE7, nicht bei Opera auf und alle oben genannten Scanner finden nichts.

Wenn es Frame Spoofing wäre kann man wohl beim IE7 nichts machen, d.h. anderen Browser nehmen. Aber die Frage bleibt: was schleust den falshcen Frame ein? Wurden die Login Daten (das gnaze kommt ja erst nach dem Login bei der Bank) irgendwohin übermittelt? Ist das Banking über Opera / Firefox sicher?

€: Bei mir hatte übrigens MBR neu schreiben keine Wirkung
______
Grüße,
Markus

#25 Hallo Funkergizer

lade bitte
http://www2.gmer.net/mbr/mbr.exe
Info:
http://virus-protect.org/artikel/tools/mbr.html

Download mbr.exe zum Desktop
Doppelklick mbr.exe um das Tool zu starten
Es wird ein Log erstellt und poste dessen Inhalt
__________
MfG Sabina

rund um die PC-Sicherheit

#26 leider erfolglos:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


wenn die sicherheitseinstellungen des IE7 auf High stehen, gehts. Allerdings wird dann der content frame gar nicht mehr angezeigt, so dass man auch kein banking machen kann. Man kommt aber in die normale Bankseite mit normalem Menü, ohne Aufforderung zur TAN Eingabe.

€: Malwarebyte hat auch nichts gefunden!

€2: hier der Combofix Report:

ComboFix 08-07-22.4 - mully 2008-07-24 7:05:29.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1376 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\mully\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\30808243001.CPX
C:\WINDOWS\system32\308082430012.CPX
C:\WINDOWS\system32\308082430021.CPX
C:\WINDOWS\system32\308082430031.CPX
C:\WINDOWS\system32\308082430051.CPX
C:\WINDOWS\system32\prsgrc.dll
C:\WINDOWS\system32\scdbk6j.dll
C:\WINDOWS\system32\winsys.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-24 bis 2008-07-24 ))))))))))))))))))))))))))))))
.

2008-07-24 00:09 . 2008-07-24 00:09 <DIR> d-------- C:\Programme\Windows Defender
2008-07-23 23:58 . 2008-07-24 00:05 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-07-23 22:48 . 2008-07-23 23:50 <DIR> d-------- C:\Programme\SpyNoMore
2008-07-23 22:48 . 2008-07-23 22:48 1,152 --a------ C:\WINDOWS\system32\windrv.sys
2008-07-23 20:36 . 2008-07-23 20:36 <DIR> d-------- C:\Programme\TeamViewer3
2008-07-23 20:36 . 2008-07-23 20:36 <DIR> d-------- C:\Dokumente und Einstellungen\mully\Anwendungsdaten\TeamViewer
2008-07-23 20:35 . 2008-07-23 20:35 <DIR> d-------- C:\Dokumente und Einstellungen\mully\temp
2008-07-23 19:53 . 2008-07-23 19:53 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-23 19:53 . 2008-07-23 19:53 <DIR> d-------- C:\Dokumente und Einstellungen\mully\Anwendungsdaten\Malwarebytes
2008-07-23 19:53 . 2008-07-23 19:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-23 19:53 . 2008-07-20 20:21 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-07-23 19:53 . 2008-07-20 20:21 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-23 19:47 . 2008-07-23 19:47 <DIR> d-------- C:\Programme\CCleaner
2008-07-22 23:00 . 2008-07-22 23:00 250 --a------ C:\WINDOWS\gmer.ini
2008-07-22 22:58 . 2008-07-22 22:57 66,048 --a------ C:\mbr.exe
2008-07-22 22:26 . 2008-07-22 22:26 <DIR> d-------- C:\Programme\Trend Micro
2008-06-29 09:28 . 2008-06-29 09:28 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2008-06-27 23:26 . 2008-06-28 08:49 <DIR> d-------- C:\Programme\CDDVDDataRecovery
2008-06-27 22:34 . 2008-06-27 22:40 <DIR> d-------- C:\Programme\DiskInternals

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-23 20:07 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-07-09 19:06 --------- d-----w C:\Programme\Java
2008-06-28 09:21 --------- d-----w C:\Dokumente und Einstellungen\mully\Anwendungsdaten\Ahead
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-04-10 18:04 256 ----a-w C:\Dokumente und Einstellungen\mully\pool.bin
2007-09-09 11:53 11,270 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 21:10 266497]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-08 08:54 7630848]
"SW20"="C:\WINDOWS\system32\sw20.exe" [2006-06-01 11:22 208896]
"SW24"="C:\WINDOWS\system32\sw24.exe" [2006-06-01 11:22 69632]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-08-08 08:54 86016]
"Acrobat Assistant 7.0"="C:\Adobe\Acrobat7\Distillr\Acrotray.exe" [2004-12-14 03:12 483328]
"BootSkin Startup Jobs"="C:\PROGRA~1\Stardock\WINCUS~1\BootSkin\BootSkin.exe" [2004-04-26 17:21 270336]
"LogonStudio"="C:\Programme\WinCustomize\LogonStudio\logonstudio.exe" [2002-09-03 19:38 987187]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2005-09-25 20:11 155648]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-12-20 21:17 185896]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-12-31 12:20 282624]
"StatusClient"="C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe" [2002-12-16 17:51 36864]
"TomcatStartup"="C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe" [2003-03-31 20:28 155648]
"RoxWatchTray"="C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2007-04-23 11:43 228088]
"SNM"="C:\Programme\SpyNoMore\SNM.exe" [2008-06-11 20:29 1064400]
"RTHDCPL"="RTHDCPL.EXE" [2006-07-21 10:56 16261632 C:\WINDOWS\RTHDCPL.EXE]
"nwiz"="nwiz.exe" [2006-08-08 08:54 1519616 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\WINDOWS\\system32\\logonuiX.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.dvsd"= pdvcodec.dll
"MSACM.CEGSM"= mobilev.acm

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VPN Client.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
backup=C:\WINDOWS\pss\VPN Client.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVMBlueClient]
--a------ 2007-07-03 03:04 1859584 C:\Programme\avmclient\bluefritz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVMBLUEOBEX]
--a------ 2007-07-03 03:04 491520 C:\Programme\avmclient\AvmObex.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"matlabserver"=2 (0x2)
"CVPND"=2 (0x2)
"bgsvcgen"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"F:\\i\\Neverwinter Nights 2\\nwn2main.exe"=
"F:\\i\\Neverwinter Nights 2\\nwn2main_amdxp.exe"=
"F:\\i\\Neverwinter Nights 2\\nwupdate.exe"=
"F:\\i\\Neverwinter Nights 2\\nwn2server.exe"=
"F:\\ImageJ\\jre\\bin\\javaw.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=
"F:\\REVOLT\\revolt.exe"=
"F:\\Re-Volt\\revolt.exe"=
"F:\\Age of Empires II\\age2_x1.exe"=
"F:\\Quake3\\quake3.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Programme\\LANPoker\\LANPoker.exe"=
"C:\\Programme\\TeamViewer3\\TeamViewer.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"22:TCP"= 22:TCP:SSH
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"4661:TCP"= 4661:TCP:emule
"4672:UDP"= 4672:UDP:emule

R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2007-08-31 07:24]
R2 AVM BT Connection Service;AVM BT Connection Service;C:\Programme\avmclient\avmbtservice.exe [2007-07-03 03:04]
R2 AVM BT PAN Service;AVM BT PAN Service;C:\Programme\avmclient\panapp.exe [2007-07-03 03:04]
R2 AvmObexService;AVM BT OBEX Service;C:\Programme\avmclient\AvmObexService.exe [2007-07-03 03:04]
R3 AVMBTPARALLEL;AVM Bluetooth Druckeranschluss;C:\WINDOWS\system32\DRIVERS\avmbtpar.sys [2007-07-03 03:04]
R3 AVMBTSERIAL;AVM Bluetooth Kommunikationsanschluss;C:\WINDOWS\system32\DRIVERS\avmbtser.sys [2007-07-03 03:04]
R3 AVMBTSND;AVM Bluetooth Audio Driver;C:\WINDOWS\system32\drivers\avmbtsnd.sys [2007-07-03 03:04]
R3 AVMCOWAN;AVMCOWAN;C:\WINDOWS\system32\DRIVERS\AVMCOWAN.sys [2007-07-03 03:04]
R3 BFHU_CFG;AVM BlueFRITZ!USB 2.0 HCI Config Switch Driver;C:\WINDOWS\system32\DRIVERS\bfhu_cfg.sys [2007-07-03 03:04]
R3 CAPI_CIP;AVM Bluetooth CAPI-Controller;C:\WINDOWS\system32\DRIVERS\capi_cip.sys [2007-07-03 03:04]
S3 bfhubase;BlueFRITZ! USB 2.5;C:\WINDOWS\system32\DRIVERS\bfhubase.sys [2007-07-03 03:04]
S3 NETBFPAN;AVM Bluetooth Netzwerkadapter;C:\WINDOWS\system32\DRIVERS\netbfpan.sys [2007-07-03 03:04]
.
Inhalt des "geplante Tasks" Ordners
"2008-07-24 05:12:30 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Programme\Windows Defender\MpCmdRun.exe
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

SharedTaskScheduler-{588599f4-de26-4c28-ba14-f4eb17e33481} - C:\WINDOWS\system32\xxfgmy.dll
SSODL-emptins-{588599f4-de26-4c28-ba14-f4eb17e33481} - C:\WINDOWS\system32\xxfgmy.dll


.
------- Zus„tzlicher Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.dab-bank.de/
R1 -: HKCU-Internet Settings,ProxyOverride = <local>
O8 -: &ICQ Toolbar Search - C:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 -: Convert link target to Adobe PDF - C:\Adobe\Acrobat7\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 -: Convert link target to existing PDF - C:\Adobe\Acrobat7\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 -: Convert selected links to Adobe PDF - C:\Adobe\Acrobat7\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 -: Convert selected links to existing PDF - C:\Adobe\Acrobat7\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 -: Convert selection to Adobe PDF - C:\Adobe\Acrobat7\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 -: Convert selection to existing PDF - C:\Adobe\Acrobat7\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 -: Convert to Adobe PDF - C:\Adobe\Acrobat7\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 -: Convert to existing PDF - C:\Adobe\Acrobat7\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 -: {F4430FE8-2638-42e5-B849-800749B94EED} - D:\PartyGaming.Net\PartyPokerNet\RunPF.exe

O16 -: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-24 07:09:54
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Windows Defender\MsMpEng.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Adobe\Acrobat7\Acrobat\acrobat_sl.exe
C:\WINDOWS\system32\RAMAsst.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-24 7:14:24 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-07-24 05:13:35

Pre-Run: 22 Verzeichnis(se), 27,595,087,872 Bytes frei
Post-Run: 25 Verzeichnis(se), 27,758,792,704 Bytes frei

188 --- E O F --- 2008-07-09 04:19:06

#27 diesen 10 TAN Trojaner hatte ich auch. Kann man mit der freien Version von DrWeb http://freedrweb.com/?lng=de finden und desinfizieren.

Infos dazu unter
http://info.drweb.com/show/3301/en
http://209.85.135.104/search?q=cache:W8EzX-xJOw0J:www.vb-worms-wonnegau.de/homepage/tops/wieder_phishing_.html+Tan+freedrweb&hl=de&ct=clnk&cd=1&gl=de

Antivir und Sophos finden den Trojaner übrigens nicht...

Sauklaue