Forum
Tipps
News
Menu-Icon

Vista: Trojaner "30 Tans" Sparda Bank

Hallo,

Vor einiger Zeit öffnete sich nach dem einloggen auf die Sparda-Bank Seite ein Fenster mit der Aufforderung weitere 30 Tans einzugeben. Dieses habe ich natürlich nicht gemacht und das Online-Banking erst einmal sperren lassen.
(hier meldete mein antivir auch einen Fund)

Danach habe ich die Systempartition neu aufgesetzt und Antivir nochmal durchlaufen lassen. (keine Funde)
Auch beim einloggen bei der Sparda-Bank keine Probleme.

Nun habe ich Vorgestern die Systempartition wieder neu aufgesetzt und heute nach dem einloggen auf der Sparda-Bank Seite öffnete sich das Fenster mit der Aufforderung 30 Tans einzugeben schon wieder! (antivir hat sich nicht gemeldet)

Was habe ich nun alles gemacht?

1. Antivir durchlaufen lassen (keine Funde)
2. Windows Defender laufen lassen (keine Funde)
3. Online Virenscanner laufen lassen (keine Funde)
4. Hijackthis laufen lassen (keine Schädlichen Eintragungen gefunden)

Jetzt bin ich mit meinem Latein leider am Ende und brauche eure Hilfe!

hier noch ein Hijackthis-file:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 10:21:25, on 18.08.2011
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16982)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\system32\igfxsrvc.exe
C:\Users\Mitch\AppData\Local\Temp\RtkBtMnt.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Mitch\Desktop\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ycomp/defaults/sp/*http://de.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.intl.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - (no file)
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "c:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKCU\..\Run: [4Y3Y0C3AVF7W1HWDFBSQF] C:\Recycle.Bin\B6232F3AAAC.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 4275 bytes



Antworten zu Vista: Trojaner "30 Tans" Sparda Bank:

Mit neu aufgesetzt meinst du auch formatiert?

 

Zitat
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16982)

Was soll das werden? Bist du mit diesem 5 Jahre alten Patchstand (ungepatchtes Vista) ins Netz gegangen?  ::)

 
Zitat
[4Y3Y0C3AVF7W1HWDFBSQF] C:\Recycle.Bin\B6232F3AAAC.ex

Du hast wieder SpyEyes drauf. Kannst wieder alles formatieren.
Führ keine Dateien mehr von diesem infizierten System aus! Du darfst max. nur reine Datendateien von diesem verseuchten System übernehmen, anschließend solltest du über die Windows-DVD im Setup alle Partition auf der internen Platte auflösen und neu erstellen.
« Letzte Änderung: 18.08.11, 11:24:44 von cosinus »

Was für eine herrliche Kombination:

Onlinebanking mit Avira und Vista ohne jegliche Patches  ;D;D;D;D

Selten so was gesehen ;D

Ja, macht euch nur Lustig^^  :P
Wie gesagt, habe das System vorgestern erst neu aufgesetzt und gestern dann knapp 100 Updates gefahren. Das dauert halt bei einer langsamen Internetverbindung etwas länger! ;)

Mit neu aufgesetzt meine ich das Betriebssystem mit der Recovery-funktion des Laptops auf Werkseinstellung zurück gesetzt. Normalerweise wird dabei doch auch die Partition Formatiert oder Irre ich mich?

Also, jetzt nochmal ganz direkt gefragt:

Nochmal neu aufsetzen weil ich so blöde war und schon im Internet gesurft hatte obwohl die patches noch nicht alle drauf waren, ja?


 

Zitat
Normalerweise wird dabei doch auch die Partition Formatiert
NEIN
Zitat
oder Irre ich mich?
JA

Ok,
Das Windows ist ja auf dem Laptop vorinstalliert,
wie sollte ich also vorgehen um das nicht zu verlieren?

Warum steht dann da eigentlich ein Warnhinweis das alle Daten auf dem Datenträger verloren gehen und Die festplatte Formatiert wird? Seeehr verwirrend  :-\

 

Zitat
Das Windows ist ja auf dem Laptop vorinstalliert,
Und auf einer Recovery-Partition vorhanden somit ;)
Schau mal:

http://www.youtube.com/watch?v=gKUMT-VoYlQ&feature=player_embedded

Hast du das so gemacht? Oder bietet dir deine Recovery-DVD diese Funktion nicht??

Nein, das sieht bei mir ganz anders aus!
Ich habe ja auch keine DvD abeim Laptop dabei bekommen, das ist bei mir auf dem laptop gespeichert. Ich kann das nur neu Installieren, indem ich beim Starten "alt" + "F10" drücke und auf "werkseinstellung" widerherstellen gehe. Dann kommt der Hinweis das alle Daten auf dem Datenträger verloren gehen und die Festplatte Formatiert wird...

Lg

 

Zitat
Ich habe ja auch keine DvD abeim Laptop dabei bekommen,

Und wie immer das Handbuch nicht gelesen sowie beim aller-ersten Start von Vista die Aufforderung, sich selber eine Recovery-DVD zu brennen, völlig übersehen ;)

Borge dir eine vollwertige Vista-CD aus, es sollte aber die gleiche Edition sein wie jetzt, also Home-Premium vermutlich.

Aktivieren kannst du mit deinem Key (Telefonische Aktivierung dabei wählen), der unter dem Läppi steht ;)

Nein, ganz so war es nicht.
Habe den Laptop zu Weihnachten geschenkt bekommen (war gebraucht), ein Handbuch war nicht dabei und der Hinweis mit der Recovery-DvD ist nur im Recovery-managment vorhanden. Wenn ich die Werkseinstellungen wiederherstelle, ist es ja, als ob ich den Laptop zum ersten mal Starte... ;)

 

Zitat
Wenn ich die Werkseinstellungen wiederherstelle, ist es ja, als ob ich den Laptop zum ersten mal Starte.
Und wie man sieht, eben nicht ;)
Denn sonst wäre ja dieser Start-Eintrag->
Zitat
O4 - HKCU\..\Run: [4Y3Y0C3AVF7W1HWDFBSQF] C:\Recycle.Bin\B6232F3AAAC.exe
der auf den Speicherort Papierkorb und evtl. auch Systemwiederherstellungspunkt hinweist, nicht vorhanden ;)

Außerdem ist es denkbar, dass sich dieser Schädling in genau deiner Recovery-Partition eingenistet hat und folglich jedes mal wieder neu installiert wird ;)

Also: Recovery-Partition löschen und dann mit neutraler, vollwertiger Vista-DVD installieren.

Ja, da wird mir wohl doch nichts anderes erspart bleiben. Na ja, dann werd ich mir mal eine original-Cd besorgen und komplett neu machen...  :'(

Vielen Dank für die Hilfe!  :)

 

Zitat
dann werd ich mir mal eine original-Cd besorgen 

Wie gesagt: Entweder ausleihen (die richtige Edition, zu der auch dein Key passt!!) oder z. B. bei eBay für weniger als 30,- Teuronen kaufen:

 http://software.shop.ebay.de/Windows-Vista-/147787/i.html?_catref=1&_fln=1&_trksid=p3286.c0.m282

« bot.exe Virus entfernenWindows 7: Boot Virus »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Zugriffszeit
In Milisekunden angegebene Zeit, die das Speichermedium zum Erreichen der gesuchten Daten braucht. Die Zeit ist abhängig vom technischen Verfahren des Mediums sowie ...

Reaktionszeit
In der Elektronik versteht man unter der Reaktionszeit die Zeit, die ein Flachbildschirm benötigt, um die Farbe und die Helligkeit eines Bildpunktes zu ändern. ...

Eingabeaufforderung
Die Eingabeaufforderung ist ein Begriff aus dem IT-Bereich und bezeichnet eine Markierung auf der Kommandozeile, welche auf die Stelle verweist, an der man Kommandozeilen...