Onlinebanking: Sicherheitszertifikat

[Alex217]

Hey,

ich nutze seit einigen Monaten das Onlinebanking-Angebot der Volksbank. Wenn ich auf die Anmeldeseite (https://internetbanking.gad.de/ptlwe...al?bankid=4367) zugreifen möchte warnt mich allerdings Firefox 8 und Internet Explorer 9, dass der Verbindung nicht vertraut wird, bzw. dass das Sicherheitszertifikat nicht vertrauenswürdig sei. Wenn ich trotz der Warnung eine Verbindung herstellen möchte, stoppt mich mein Kaspersky Internet Security 2011 und ich komme nicht auf die Seite.
Vor ungefähr einem Monat konnte ich mich noch problemlos anmelden.

Woran könnte das Problem liegen? Wird meine Internetverbindung 'abgefangen' (Virus/Trojaner etc.? // Wenn ich über mein Handy aufs Wlan zugreife funktioniert es)?
Hat jemand Vorschläge wie ich das Problem lösen kann?!


Mein System:

-Windows Vista Home Premium SP 2, 64-bit
-neuste Updates installiert
-Kaspersky Internet Security 2011 (auf dem neusten Stand)
-nutze IE 9 und FF 8
-habe bereits mit Spybot und Malwarebytes gescannt und die gefundenen Probleme entfernt


lg

[AHT]

Vermutlich Malware eingefangen (Banking Trojaner). Kann mich leider wegen Krankheit nicht persönlich um dich kümmern und schiebe dich in den Antivirenbereich.

[WhiteKnight]

Hallo

Zitat:

Zitat von Alex217

H
-habe bereits mit Spybot und Malwarebytes gescannt und die gefundenen Probleme entfernt
lg

Bitte zuerst die Löschreporte hier posten.

Zitat:

Zitat von Alex217

H
-Kaspersky Internet Security 2011 (auf dem neusten Stand)
lg

Und dann bitte das kostenlose Upgrade auf 2012 durchführen
Kaspersky Upgrade v. 2011 auf 2012

PC Neustart

Nun von Phase I den Rsit log posten
Anleitung zum Löschen von Viren / Thread erstellen

[Alex217]

Ok, ich habe nur eine Logfile bei Spybot gefunden, ich weiß nicht ob es die richtige ist: File-Upload.net - Spybot-logfile.txt .
Bei Malwarebytes wurden keine Infektionen gefunden.
RSIT Logs:
log.txt: File-Upload.net - log.txt
info.txt: File-Upload.net - info.txt

Ich habe auch erfolgreich mein KIS geupdatet. Nach dem Upgrade funktioniert die Loginseite wieder. Wenn du Zeit hast kannst du gerne in den Logs nach Infektionen schauen

lg

[Der Leo]

Hallo,

Hinweis
Auch wenn es so scheint als würde das Anmelden wieder funktionieren unterlasse das Online Banking und andere Online Geschäfte bis WhiteKnight Entwarnung gibt.

[Alex217]

Zitat:

Zitat von Der Leo

Hallo,

Hinweis
Auch wenn es so scheint als würde das Anmelden wieder funktionieren unterlasse das Online Banking und andere Online Geschäfte bis WhiteKnight Entwarnung gibt.

Danke für deinen Hinweis Ich bin mir der Gefahr natürlich bewusst und warte bereits bis ich eine Entwarung bekomme!

lg

[WhiteKnight]

Hallo

Deinstalliere Spybot das beißt sich mit Kaspersky. Ist sowieso überflüssig. Starte dann den PC neu.

Lade dir jetzt
Gmer herunter, gehe offline, beende Kaspersky, führe Gmer aus und speichere den Report. PC Neustart nun den Gmer Report hier einstellen.

[Alex217]

Ok habe den GMER log

File-Upload.net - gmer-log.log

[WhiteKnight]

Hallo


Einmal das hier tun:

• Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
• Danach die PPFScan.exe starten.
• Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
• Wähle im Untermenü Script laden und ausführen.
• Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
• Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

Scan dauert 40 Minuten.

[Alex217]

Ok nach einem 4 Stündigen Scan hab ich sie.. Wozu eigentlich der Aufwand? Habe ich Malware? :O

File-Upload.net - PPFS-Logs.zip

[AHT]

Ja, sieht so aus - unnötig vergeudet hier keiner seine Zeit.

Code:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
K
  shell -> AutoRun
  shell\AutoRun\Command -> K:\LaunchU3.exe -a
{2c9a3b05-d12f-11de-8dd8-00221581ec28}
  shell -> AutoRun
  shell\AutoRun\Command -> M:\LaunchU3.exe -a
  [\??\USBSTOR#CdRom&Ven_SanDisk&Prod_U3_Cruzer_Micro&Rev_8.02#35505009CAD2A23D&1#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}]
{48b38cc5-e3f2-11dd-9001-00221581ec28}
  shell -> AutoRun
  shell\AutoRun\Command -> J:\setup.exe
  [\??\SCSI#CdRom&Ven_HWHWJKL&Prod_F8T2FWD&Rev_1.03#5&36e5972&0&000000#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}]
{7f9b8988-d8b3-11dd-8b74-00221581ec28}
  shell -> None
  shell\AutoRun\Command -> C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe SCHENJA.vbs
  [_??_USBSTOR#Disk&Ven_Sony_Eri&Prod_Memory_Stick&Rev_0000#3529720200703750&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}]
{8cfa694f-14c0-11e0-a8ed-00221581ec28}
  shell -> AutoRun
  shell\AutoRun\Command -> L:\LaunchU3.exe -a
  [\??\USBSTOR#CdRom&Ven_SanDisk&Prod_U3_Cruzer_Micro&Rev_8.02#2243720A54514DC8&1#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}]
{c795584e-b6c2-11df-996f-00221581ec28}
  shell -> AutoRun
  shell\AutoRun\Command -> K:\VTP_Manager.exe
  [\??\USBSTOR#CdRom&Ven_SAMSUNG&Prod_GT-S8500&Rev_00e7#GT-S8500&0#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}]

Riecht nach einem VisualBasic Scriptvirus.
Externer Datenträger (unter Umständen Memory Stick vom Handy) ist infiziert.
Klaut wohl deine MTANs.

[AHT]

Sofort Bank über den Befall informieren - wenn noch nicht geschehen,.
Hast du ein Sony Ericson Handy, dass du öfters mal an den PC anschließt?
Machst du OnlineBanking im MTAN Verfahren?
Sind weitere PCs im Haushalt vorhanden?

[Alex217]

Hm das ist ja nicht so gut Aber diese Malware ist jetzt für das Onlinebanking am Pc mit nem Tangerät ungefährlich?! Wie kann ich sie jetzt entfernen?
Meine Schwester hatte mal ein Sony, allerdings wird Mobiletan nicht genutzt.

lg

[AHT]

Ungefährlich ist gar nichts. Bank informiert?
Gibt es weitere Handys, die an das Gerät angeschlossen werden?
Memory Stick?
Das hier tun:

• PPFScan.exe starten.
• In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen

Code:

CREATE_FOLDER->C:\PPF_SCAN2
CREATE_FOLDER->C:\PPFS_Sicherung
REGISTRY_DELETE_KEY->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\shell\AutoRun\
->Command
REM->Autostarteinstellungen auslesen!
REGISTRY_READ->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
->NoDriveTypeAutoRun
 
REM->Einstellungen sichern!
REGISTRY_SAVE->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer>C:\PPFS_Sicherung\Autostart.reg
 
REM->Autostart deaktivieren!
SET_REGISTRY_DWORD_VALUE->HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
->NoDriveTypeAutoRun
->189
 
SEARCH_FILES->SCHENJA.vbs
->
REM->Scanfiles in den Scannerordner kopieren
COPY_SCANFILES->C:\PPF_SCAN2
OPEN->C:\PPF_SCAN2
END->

• Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
• Nach dem Scan beendet sich der Scanner. Es befinden sich danach im Ordner C:\PPF_Scan2 einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.

[AHT]

Danach:
Kaspersky TDSSKiller


Download : TDSSKiller.zip

• Lade die TDSSKiller.zip herunter und entpacken sie auf dem Desktop.
• Starte die Datei TDSSKiller.exe
• Klicke auf Change parameters
• Setze einen Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
• Warte bis zum Ende der Untersuchung .
• Sollten Threats gefunden werden so wähle Skip aus.
• Bestätige unten Links mit Continue
• Schließe das Fenster vom TDSSKiller
• Navigiere nun zu C:
• Lade dort das Log TDSSKiller.2.6.14.0_Tag.Monat.Jahr_Datum_logbitte bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.