Online Banking Trojaner?

Hi,

habe ein großes Problem, sobald ich mich bei meinem Bank Zugang einlogge erscheint ein Fenster mit dem Hinweis, dass die Sparkasse ein Update gemacht hat und Daten beschädigt wurden und ich jetzt 40 TANS eingeben soll. Kam mir direkt komisch vor. Natürlich habe ich das nicht gemacht und meinen PC geprüft und meine Bank kontaktiert. Der Bank ist das nicht bekannt und man meint es handelt sich auf jeden Fall um einen Trojaner.

Ich habe mit folgenden Programmen einen Scan durchgeführt leider ohne positives Ergebnis.

Anti vir personal
Malwarebytes' Anti-Malware
Trojancheck

Eine Datei ist aber seltsam wird aber nicht als Virus erkannt und bei Google kann ich auch nichts finden: C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Hyvati\isbe.exe

Vielleicht hat jemand noch eine Idee.

AW: Online Banking Trojaner ?!?

lad dir mal hijackthis und poste das log hier.

AW: Online Banking Trojaner ?!?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:54:50, on 09.08.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\agrsmsvc.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Firefox\plugin-container.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKCU\..\Run: [{6E3ECDF8-36F3-B249-FCD6-E98FB39465B6}] "C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Hyvati\isbe.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe
O9 - Extra 'Tools' menuitem: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: ServiceLayer - Nokia - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 4265 bytes

Hey...

hört sich ja gar nicht nett an.

poste mal bitte die Internetadresse, wenn er dich nach diesen TAN´s fragt, meisten ist sie eingeblendet oder man kann sich mit einem klick auf die Leiste im Browser einblenden.

Welchen Browser nutzt du und welche Anti-Viren Software?

ich schätze du benutzt sonst einen direktlink zur banking seite?
Was ist wenn du erst auf die hp der bank gehst und dort auf banking?
also bei der sparkasse zb. ginge dieser weg

%SystemRoot%\system32\drivers\etc\ geh mal in den ordner und öffne die hosts datei schau ob irgendwas seltsames drinsteht, im normal fall sollte da alles auskommentiert sein (mit einer # davor), wenn da was drinsteht das nicht auskommentiert ist mach ein # davor oder lösch es raus.
dann bootest mal im abgesicherten modus (beim booten F8 drücken) verschiebst diese iesb.exe und löscht den eintrag aus der registry hkey_current_user/software/microsoft/run oder so müsste der liegen und startest neu dann gehst nochmal auf deine online banking seite und schaust ob die frage nach den tans immer noch kommt

Ich würde nicht mehr an diesem Rechner Online Banking betreiben, sondern sofort die wichtigsten Daten retten und dann alles Platt machen und neu installieren. Man weiß nie wo sich noch etwas versteckt hat.

Gruß
Vinzenz

Klingt wie in diesem Thread.

Also egal ob ich dem Link folge oder meinem Lesezeichen...

httxs://bankingportal.sparkasse-koblenz.de/portal/portal/Starten?p=p.startseite&c=8bi11MI6O5AjAGPZBUbtwQQxhGRA9P6n&o=3f1ddc70c98c8099&r=d05eca7094b4bd5e&lscc=y&iv=357aff7a22a8d4ffBqpgASR1kGEDPGIU5ZFRF5F

Habe aus dem https vorne ein httxs gemacht. Zur Info

DjNDB schrieb:

Klingt wie in diesem Thread.

Zum Vergrößern anklicken....

Ja das ist genau mein Problem!

Das ist sowas von ein Trojaner.. Das kamm sogar in den Nachrichten und in einigen News von foren. Und wer bitte fordert 40 Tans...

Dieser Trojaner soll von allen neueren Anivieren Systemen mitlerweile endeckt werden. Also kannst du diesen Avira mist vergessen. Nimm was richtiges oder zumindest Das von Microsoft. Das ist besser als der Avira müll.

Dann lass einen Durchlauf mit Malewarebytes laufen.

Aber deinstaliere Avira bevor du ein anderes AV Programm drauf machst.

Allerdings sehe ich so 2 Einträge die ich Pauschal als bedenklich einstufen würde. Von daher würde ich um dem System wieder zu vertrauen alles Platt machen und Win neu instalieren.

janky schrieb:

Ja das ist genau mein Problem!

Zum Vergrößern anklicken....

Dann gelten die selben Regeln. Rechner Formatieren und neu einrichten, und allen Dateien misstrauen, die von dem System schreibbar waren.

Interessant wäre wie es dazu kam.
Da es womöglich ein Drive-By Exploit war wäre wichtig in welchen Versionen du Java, Flash, Adobe reader, und deinen Browser hast?
Oder hast du in letzter Zeit Dateien aus nicht vertrauenswürdigen Quellen heruntergeladen oder gar ausgeführt?

*Klick* Runterladen, auf ein Stick Entpacken, Updaten und Scannen.

Beim Banking solltest du immer die Domain per Hand eingeben :-)

Nein Dateien aus unbekannten Quellen lade ich nie herunter.

Benutze Mozilla Firefox 3.6.8
Java 6.0.13
Adobe Reader 9
Adobe Flash Player 10.1

Werde wohl alles neu installieren. Klasse..... Es wäre aber gut zu wissen wie ich diesen Problem umgehen kann!

janky schrieb:

Nein Dateien aus unbekannten Quellen lade ich nie herunter.

Benutze Mozilla Firefox 3.6.8
Java 6.0.13
Adobe Reader 9
Adobe Flash Player 10.1

Werde wohl alles neu installieren. Klasse..... Es wäre aber gut zu wissen wie ich diesen Problem umgehen kann!

Zum Vergrößern anklicken....

Umgehen kannst du das gar nicht, wenn du je wieder etwas sicherheitsrelevantes (z.B. Online Banking, Passworteingaben generell) auf dem Rechner machen möchtest.


Gut möglich, dass das alte Java als Einfallstor gedient hat.

Bei Adobe Reader gab es auch Schwachstellen in der 9er allerdings wäre dafür die vollständige Versionsnummer entscheidend.

Genau wie hier (https://www.computerbase.de/forum/threads/extrem-dreister-phishing-versuch.767262/) handelt sich definitiv um Malware, die beim Aufrufen iFrames in den Quelltext von Finanz-Institut-Webseiten einbaut. Komischerweise haben offenbar viele AV-Programme Schwierigkeiten, die zu erkennen. Allein deswegen würde ich auch formatieren.

Bislang war bei jedem Fall, von dem ich gelesen hab, Software aus dubiosen Quellen das Einfallstor für diesen Trojaner. Warst du vielleicht kürzlich auf einer Lanparty? Hast du andere Rechner in einem lokalen Netzwerk? USB-Sticks von Bekannten am Rechner gehabt? Vielleicht breitet sich das Ding auch übers Netzwerk/ Wechseldatenträger aus.

@DjNDB: Schwachstellen sind erst dann gefährlich, wenn sie ausgenutzt werden; d.h. man müsste infizierte Webseiten aufgerufen und/ oder manipulierte *.pdfs oder Flash-Filme oder so geöffnet haben. Oder wenn sich die Malware auch übers Netzwerk ausbreitet, dann können ungesicherte Rechner im Heimnetzwerk zur Virenschleuder werden (indem sie z.B. nach offenen Netzwerkports oder freigegeben Ordnern suchen).

Weder noch.... Kann ich den Java ohne weiteres deaktivieren?

Mit einem guten Virensanner geht das schon.

Scheinweltname schrieb:

@DjNDB: Schwachstellen sind erst dann gefährlich, wenn sie ausgenutzt werden;

Zum Vergrößern anklicken....

Duh...

Davon kannst du bei uralten Schwachstellen in Java die sich für Drive-By Exploits ausnutzen lassen ausgehen.
Seit der von ihm installierten Version gab es noch mehr Schwachstellen der Art. Ein weiteres Beispiel wurde in Java 6b17 behoben.

Trackballfan schrieb:

Mit einem guten Virensanner geht das schon.

Zum Vergrößern anklicken....

Dir ist bekannt wie Virenscanner technisch funktionieren?

Da diese signatur- oder verhaltensbasiert bzw. heuristisch entscheiden ob eine Datei vertrauenswürdig ist, und da Rice's Theorem gilt, ist es so unmöglich sicherzustellen, dass ein System nicht mehr infiziert ist.

Welche Firewall könnt ihr mir denn für Win 7 x64 empfehlen?

janky schrieb:

Welche Firewall könnt ihr mir denn für Win 7 x64 empfehlen?

Zum Vergrößern anklicken....

Welchen Zweck soll sie erfüllen?