Banking-Trojaner

  • Habe hier einen PC mit WinXP Home - nicht meiner sondern der PC eines Freundes, nur hab ich den jetzt am Hals - dessen Frau hat sich offenbar einen Banking-Trojaner eingefangen. Beim Besuch der Online-Banking-Webseite werden TAN-Nummern abgefragt.
    Die Infektion erfolgte vermutlich am 08.05., aufgefallen ist es aber erst am 11.05. als Online-Banking angeschmissen wurde. Da hat dann auch Antivir rumgemeckert und einiges gelöscht. Auf meinen Rat hin wurde der PC unverzüglich vom Internet getrennt, ausgeschalten und seitdem nicht mehr verwendet. Nun steht er bei mir und ich hab mal eben OTL und Malwarebytes durchlaufen lassen.
    Logs habe ich beigefügt.
    Da mir soche Banking-Trojaner äusserst suspekt sind, möchte ich hier nicht ohne fachkundige Unterstützung rumfuhrwerken.


    Interessant wäre
    - Womit genau ist der PC infiziert?
    - Sofern es sich eruieren lässt, wann genau und wodurch wurde der PC infiziert?
    - Lässt sich der PC ohne Neuaufsetzen bereinigen?


    Vielen Dank vorab.


    Links gelöscht.

    Einmal editiert, zuletzt von EstherCH ()

  • Das tun:


    • Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
    • Danach die PPFScan.exe starten.
    • Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
    • Wähle im Untermenü Script laden und ausführen.
    • Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
    • Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.


    Zitat von Matze2;973289


    Die Infektion erfolgte vermutlich am 08.05., aufgefallen ist es aber erst am 11.05. als Online-Banking angeschmissen wurde.


    Das ist interessant. Welche Hinweise gibt es, das die Infektion am 08.05. erfolgte?

  • Danke für die Rückmeldung, mach ich dann mal wenn ich am (späteren) Abend zuhause bin.


    Die Vermutung, dass die Infektion am 08.05. erfolgte, kam vom PC-Eigner selbst, das würde sich dann auch mit dem Erstelldatum der von Malwarebytes gefundenen Datei decken. An diesem Tag hatte der PC-Eigner den Anhang einer Mail eines ihm nur mittelbar bekannten Absenders geöffnet und auch dessen Webseite besucht. Ansich nichts schlimmes, die Webseite eines privaten Vermieters von Ferienwohnungen der dann per Mail Buchungsbestätigung und Rechnung geschickt hat. Darum die Frage nach dem genauen Zeitpunkt der Infektion, sollte sich der Verdacht bestätigen müsste man mal den Mailabsender informieren.

  • Da läuft noch Malware mit einem viel früheren Datum (hat Leo grad gesehen). Die Kiste ist evtl. schon weit länger mit einem Backdoor infiziert.

  • Mit dem 08.05. als Infektionsdatum für den Banking Trojaner scheinst du richtig zu liegen. Das frühere Datum scheint ein Fake zu sein.

  • Hmmm...mich hatte eigentlich nur die Uhrzeit 6:55Uhr irritiert. Hab aber eben mal rückgefragt...um diese Zeit sitzt seine Frau tatsächlich oft am PC, checkt ihre Mails und druckt sich ihre Unterrichtsvorbereitung (sie ist Lehrerin) aus. Jetzt warte ich mal ab ob sie bestätigt die verdächtigte Mail um diese Zeit geöffnet zu haben, dann weiß man schon mal (relativ sicher) wo der Spaß herkommt.
    Alles weitere incl.PPF-Scan dann heute Abend. Vielen Dank

  • Toll...nun meckert auch Avira die gestern von Malwarebytes gefundene Datei an. Hab das aber erst mal ignoriert. Avira hat übrigens mehrfach zwischen dem 08. und 11.05. angeschlagen...das man da nicht eher misstrauisch wird...kopfschüttel. Falls es von Interesse ist, die entsprechenden Berichte habe ich mit angefügt.
    PPFScan hab ich nun gemacht. Da es auf dem betroffenen Benutzerkonto am Beginn des Scans mehrere Fehlermeldungen gab (der Scan lief dann aber durch), hab ich den Scan nochmal im abgesicherten Modus wiederholt.
    Ach ja...Ursache scheint tatsächlich die verdächtigte Mail gewesen zu sein (sofern es nicht doch ein DriveBy-Download gewesen ist), die Frau meines Freundes hat bestätigt, dass sie die Mail am Morgen des 08.05. so gegen 7Uhr abgerufen hat.


    Links gelöscht.

    Einmal editiert, zuletzt von EstherCH ()

  • Rechner im abgesicherten Modus mit Netzwerk starten.

    • PPFScan.exe starten.
    • In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:


    • Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
    • Lasse das Script bei einer Fehlermeldung nicht abbrechen.
    • Lasst sich eine Datei nicht verschieben, überspringe die Datei.
    • [LEFT]Nach dem Scan beendet sich der Scanner. Es befinden sich danach im Ordner H:\PPF_Scan2 einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum. [/LEFT]
  • Auf die gleiche Art das Script ausführen:

    Ich brauche wieder die Dateien aus H:\PPF_Scan2

  • Das Script ausführen - ich brauche wieder die Dateien aus H:\PPF_scan2:

    Code
    CREATE_FOLDER->H:\PPFS_Sicherung
    CREATE_FOLDER->H:\PPF_Scan3
    SET_SCANLIST->1
    SET_OPTIONS->-205,217
    SEARCH_FILES_WITH_DATES->*
    ->
    ->20130511
    COPY_SCANFILES->H:\PPF_Scan3
    OPEN->H:\PPF_Scan3
    END->
  • Das Script ausführen.

    Code
    CREATE_FOLDER->H:\PPFS_Sicherung
    MOVE_FILE->H:\Dokumente und Einstellungen\Katrin\Lokale Einstellungen\Temp\tmp424248a7\89.exe>H:\PPFS_Sicherung\89.ex_
    END->

    Danach alle Dateien im Ordner H:\PPFS_Sicherung in eine ZIP packen und hier hochladen: Paules-PC-Forum.de Malware Upload − Upload


    Danach Rechner neu starten und normal hochfahren.
    Im normalen Modus das Script ausführen:

    (Darauf achten, das alles eingefügt wird).
    Ich brauche die Dateien aus H:\PPF_Scan1

  • Die Dateien aus PPFS_Sicherung hab ich hochgeladen und PPF_Scan1 gibts hier...


    http://www.file-upload.net - PPF_Scan1.rar


    Wenns recht ist würd ich dann für heute Schluss machen, kann nicht wirklich ausschlafen. Sofern es zeitlich passt schau ich am Mittag oder Nachmittag wieder rein. Ansonsten wird's erst wieder am Sonntag Abend (bin bis dahin dann unterwegs).
    Vielen Dank für deine Hilfe...und nun ab in's Körbchen...Gute Nacht

  • Kaspersky TDSSKiller


    • Lade die TDSSKiller.exe herunter und speicher sie auf dem Desktop.
    • Starte die Datei TDSSKiller.exe
    • Klicke auf Change parameters
    • Setze zusätzlich einen Haken bei Loaded modules
    • Bestätige die Meldung "Reboot is required" mit Reboot now
    • Das System wird einen Neustart durchführen
    • Nach dem Neustart öffnet sich der TDSSKiller automatisch
    • Klicke erneut auf Change parameters
    • Setze zusätzlich bei Verify file digital signatures und Detect TDLFS file system einen Haken.
    • Klick auf OK und anschließend auf Start scan
    • Warte bis zum Ende der Untersuchung .
    • Sollten Threats gefunden werden so wähle Skip aus.
    • Bestätige unten Links mit Continue
    • Schließe das Fenster vom TDSSKiller
    • Navigiere nun zu C:
    • Lade dort das Log TDSSKiller.2.x.x.x_Tag.Monat.Jahr_Datum_log bitte bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Download Links hier im Forum.
  • Malwarebytes Anti-Malware

    Wichtig:

    Deaktiviere vor dem Suchdurchlauf dein Antivirenprogramm.
    Das geht meistens im Systemtray (unten rechts bei der Uhr)
    Rechtsklick auf das Symbol deines AV Programmes und beende es.

    • Führe ein Update durch (Reiter Aktualisierungen) solange bis die Datenbank auf dem neusten Stand ist.
    • Klicke auf den Reiter Suchlauf --> wähle dort "Vollständigen Suchlauf durchführen" --> klicke auf Scannen.
    • Wenn der Scan beendet ist, klicke auf "Ergebnisse anzeigen".
    • Versichere Dich, dass alle Funde markiert sind und drücke "Entferne Auswahl".
    • Falls ein Neustart verlangt wird so bitte nachkommen.
    • Es wird ein Logfile erstellt.
    • Lade bitte das Log bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum. Nachträglich kannst du den Bericht unter "Log Dateien" finden.
  • ESET Online Scanner


    • Lad dir den ESET Onlinescanner von hier herunter.
    • Führen den esetsmartinstaller_deu aus und folge der Installationsroutine.
    • Stelle nach dem Herunterladen der Komponenten den Scanner wie auf diesem Bild ein.
    • Klicke anschließend unten rechts auf Starten um den Suchlauf auszuführen.
    • Nach dem Scann bitte den ESET Onlinescanner nicht deinstallieren!
    • Das LOG findest Du im folgendem Verzeichnis
    • C:\Program Files\ESET\ESET Online Scanner\log[I].txt

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!