TAN Trojaner beim IBanking

[roberry]

Hallo ihr da draußen,

ich brauche mal sachkundige Hilfe und wende mich jetzt vertrauensvoll an Euch.
Gestern abend zu Beginn des IBankings wurden 20 genau definierte Tan´s abgefragt. (Ich weiß, meine Bank macht das nich!) Also Seite gleich wieder geschlossen.
Firma Google sagt, das ist ein Trojaner, aber mein Norton 360 findet nichts:wtf:.

Kann mir jemand weiterhelfen, bin Laie!

Danke

 

[Unixfrog]

Hallo ihr da draußen,

ich brauche mal sachkundige Hilfe und wende mich jetzt vertrauensvoll an Euch.
Gestern abend zu Beginn des IBankings wurden 10 genau definierte Tan´s abgefragt. (Ich weiß, meine Bank macht das nich!) Also Seite gleich wieder geschlossen.
Firma Google sagt, das ist ein Trojaner, aber mein Norton 360 findet nichts:wtf:.

Kann mir jemand weiterhelfen, bin Laie!

Danke

Ohne genaue Infos kann man dir da nicht helfen.
Nächste mal:

1) Betreibst du Internet Banking per Webbrowser? Welche Adresse siehst du in der Adresszeile?
2) Tritt das immer auf wenn du dein Ibanking nun benutzt?
3) Schonmal deine Bank kontaktiert ?

 

[roberry]

Hey Unixfrog,
ich betreibe IBanking im Firefox Browser.
Ich gebe meine Zugansdaten auf dem Bankingportal ein, incl Passwort.
Dann klicke ich auf anmelden.
Jetzt geht so ne Art Popup Fenster auf und ich werde gebeten, zur autorisierung 20 TAN´s einzugeben! Farbe und form des Fensters sehen denen meine Bank sehr ähnlich.
Im Adressfeld ändert sich nichts. Weiterhin (laut Norton) sichere Verbindung mit dem Server der Bank, über die selbe sichere Verbindung wie sonst auch.
Norton hatte allerdings heute mittag gemeldet "Infostealer.Snifula.B" gefunden und entfernt.
Problem tritt aber weiter auf.

 

[pixelflat]

Alleine um sicher zu gehen: ändere dein Passwort (möglichst schnell) und kontaktiere deine Bank.

Es ist auf keinen Fall üblich, dass gleich 20 TANs abgefragt werden und der gefundene "Infostealer.Snifula.B" würde auch passen. Kann also gut sein, dass deine Login-Daten schon geklaut wurden.

 

[roberry]

Vielen Dank erstmal, aber wie bekomme ich die Sauerei wieder von meinem Rechner?
Mein AV Programm findet sonst nix mehr.

 

[pixelflat]

Erstell mal ein Logfile mit Hijackthis und poste es hier (Regelung beachten). Lad dir auch mal Spybot S&D und/oder Malwarebytes Anti-Malware. Bei Symantec gibts auch eine Anleitung zum Entfernen:

Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren

Allerdings solltest du beachten, dass es keinerlei Garantie dafür gibt, dass ein einmal infiziertes System je wieder sauber wird. Bei Symantec wird das Risiko zwar als "Very Low" eingestuft, aber gerade wenn du Online-Banking benutzt solltest du eine Neuinstallation in Betracht ziehen. Und am besten danach auch deine Schutz-Vorkehrungen überdenken.

 

[Cordan]

Wenn Dein AV nix mehr findet ist es sinnvoll, ein paar andere Helferlein zu Rate zu ziehen:

Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren

HijackThis

Da war der Pixel schneller...

 

[ChiefAlex]

Es gibt keine Situation, in der beim Online-Banking mehr als eine (i/m)TAN abgefragt wird.

 

[R32]

Eine Bank fragt niemals nach einer TAN.
Zumindest nicht bei der Anmeldung, oder kurz danach..

Immer sofort abbrechen sowas
Wenn dir was Spanisch vorkommt, gleich Passwort wechseln und was möglichst sicheres aud Zahlen/Buchstaben vergeben.

 

[pixelflat]

Es würde auch Sinn machen beim Ändern des Passworts einen sicheren PC zu verwenden (Notfalls eine VM), und nicht den, wegen dem man das Passwort überhaupt ändert. 🙂

 

[roberry]

Es würde auch Sinn machen beim Ändern des Passworts einen sicheren PC zu verwenden (Notfalls eine VM), und nicht den, wegen dem man das Passwort überhaupt ändert. 🙂

Passwort hab ich sofort über Zweitrechner geändert, und Hausbank weiß auch bescheid.
Hier mal das LogFile

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:36:41, on 23.09.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\service4g.exe
C:\WINDOWS\system32\EtmService.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Norton 360\Engine\4.2.0.12\ccSvcHst.exe
C:\Programme\Panasonic\pcinfo\PCInfoPi.exe
C:\Programme\Panasonic\pcinfo\PCInfoSV.exe
C:\WINDOWS\starter4g.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\IoctlSvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
c:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\Programme\XSManager\WTGService.exe
C:\Programme\Norton 360\Engine\4.2.0.12\ccSvcHst.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Panasonic\HPLSMAN\hplskey.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\FIDTPU\WIN2K\FTMSFLTU.EXE
C:\Programme\Intel\Wireless\Bin\iFrmewrk.exe
C:\WINDOWS\system32\RButton.exe
C:\Programme\Panasonic\DispRot\IDRot.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Panasonic\WSwitch\WSwitch.exe
C:\Programme\Panasonic\Hotkey Appendix\HKEYAPP.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Panasonic\Writing\Writing.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\Panasonic\MEISKB\meiskb.exe
c:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
c:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
c:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Eigene Musik\HJTInstall.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton 360\Engine\4.2.0.12\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton 360\Engine\4.2.0.12\IPSBHO.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton 360\Engine\4.2.0.12\coIEPlg.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [HPlsKey] C:\Programme\Panasonic\HPLSMAN\hplskey.exe
O4 - HKLM\..\Run: [PCinfo] C:\Programme\Panasonic\pcinfo\PcInfoUt.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [FTMSFLT(USB)] C:\Programme\FIDTPU\WIN2K\FTMSFLTU.EXE
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\iFrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [IDRot] C:\Programme\Panasonic\DispRot\IDRot.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [WSwitch] C:\Programme\Panasonic\WSwitch\WSwitch.exe
O4 - HKLM\..\Run: [Panasonic Hotkey Manager] C:\Programme\Panasonic\Hotkey Appendix\HKEYAPP.EXE
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [starter4g] C:\WINDOWS\starter4g.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Panasonic Hand Writing.lnk = ?
O4 - Global Startup: Software Keyboard.lnk = ?
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: 4G USB-Plug Service - 4G Systems GmbH & Co. KG - C:\WINDOWS\service4g.exe
O23 - Service: Intel(R) Extended Thermal Model Service Application (ETMService) - Intel Corporation - C:\WINDOWS\system32\EtmService.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Norton 360 (N360) - Symantec Corporation - C:\Programme\Norton 360\Engine\4.2.0.12\ccSvcHst.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Panasonic PC Information Viewer Service 2 (PcInfoPi) - Matsushita Electric Industrial Co., Ltd. - C:\Programme\Panasonic\pcinfo\PCInfoPi.exe
O23 - Service: Panasonic PC Information Viewer (PcInfoSV) - Matsushita Electric Industrial Co., Ltd. - C:\Programme\Panasonic\pcinfo\PCInfoSV.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Programme\Roxio\Digital Home 9\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Programme\Roxio\Digital Home 9\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - c:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: WTGService - Unknown owner - C:\Programme\XSManager\WTGService.exe

--
End of file - 9227 bytes

Ich denke ich komme nicht ums das Plattmachen herum.
Habe noch Mailwarebytes probiert, findet aber auch nichts.

 

[ChiefAlex]

Der Eintrag
C:\Programme\Panasonic\Writing\Writing.exe
wird von HJ! als schädlich angesehen. Was für eine Software von Panasonic läuft da?

 

[roberry]

Ich kann mir nur vorstellen das gehört zum Handschriftprogramm.
Arbeite mit Panasonic CF-19, man kann mit nem Stick auf dem Touchdisplay schreiben. Aber ich weiß nicht warum das Programm läuft, ich nutz das nicht.

 

[pixelflat]

Lad auch mal folgende Dateien bei virustotal.com hoch:

C:\WINDOWS\system32\EtmService.exe
C:\Programme\FIDTPU\WIN2K\FTMSFLTU.EXE
C:\WINDOWS\system32\RButton.exe

Wobei die erste vermutlich zu irgendeinem Temperatur-Dienst gehört...

 

[roberry]

Hab jetzt Schichtdienst bis Montag.
Werde die Dateien wie angesprochen dann hochladen.
Melde mich wieder! Danke soweit.:-D

 

[roberry]

C:\WINDOWS\system32\EtmService.exe: nicht auffällig
C:\Programme\FIDTPU\WIN2K\FTMSFLTU.EXE: nicht auffällig
C:\WINDOWS\system32\RButton.exe: nicht auffällig
C:\Programme\Panasonic\Writing\Writing.exe: nicht auffällig

geprüft mit Virus Total

Und jetzt? System neu aufsetzen?

 

[pixelflat]

Letztendlich ist das die einzige Möglichkeit bei der du sicher sein kannst.

Das System - XP SP3 - ist vermutlich schon einige Zeit im Betrieb. Eine Neuinstallation schadet also ohnehin nicht...

 

[roberry]

Und jetzt?

Das System - XP SP3 - ist vermutlich schon einige Zeit im Betrieb. Eine Neuinstallation schadet also ohnehin nicht...

Wie sichere ich aber die wichtigen Daten, ohne mir den Virus auf ein anderes Medium zu holen, und wie mach ich den Rechner so leer, das der Trojaner sicher nicht mehr darauf ist. Hab hier irgendwie mal was aufgeschnappt das sich hartnäckige Viren auch im Bios? oder Bootlog? oder irgendwie so?😕 (Ja ich habe keine Ahnung, ich weiß) festsetzen?

 

[pixelflat]

Du könntest eine Live CD benutzen um die Daten auf ein externes Medium zu sichern. Vielleicht hat dein Norton 360 auch so eine Notfall-CD (bzw. lässt sich erstellen) von der du booten kannst um die gesicherten Dateien zu scannen. Ansonsten gibts sowas auch von anderen Antiviren-Herstellern:

Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren

Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren

Oder vielleicht kommst du an eine

Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren

ran.

Im BIOS kann sich keine Software einschleusen. Was du meinst ist vielleicht der

Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren

. Wenn du also alle Partitionen der Festplatte löscht dürfte das schon ausreichen. Wenn du dann eine neue erstellst und Windows installierst wird der MBR überschrieben.

Oder du führst mal mbr.exe aus:

Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren

Du hast keine Berechtigung, den Link zu sehen, bitte Anmelden oder Registrieren

 

[roberry]

Das hört sich ja ganz einfach an😕.
Aber gut, ich gehe es an.
Ich arbeite Deine Antwort von oben her mal durch, starte also mit der Suche im Norton nach ner Notfall Cd Funktion.
Das mit der mbr.exe lese ich mir auch in Ruhe durch und würde mich bei Fragen nochmals melden.
Wenn Rechner wieder läuft melde ich mich auch nochmals kurz.
Danke bis hierhin!