Hallo,

heute hat es mich auch erwischt, nach dem Klick auf ein Button in einer angeblichen Facebook-Freundschaftsanfrage per Email (ohne wie sonst auf die Ziel-URL zu gucken) öffnete mein Firefox eine Facebook-ähnlich aussehende Seite mit der Meldung: "Ihre Version von Macromedia Flash Player ist zu alt, um fortzufahren. Downloaden und installieren Sie die neueste Version von Adobe Flash Player." - gleichzeitig erscheint unten links in der Statuszeile "Applet .... started" und der Avira schlägt Alarm.

Hab den Browser geschlossen und Avira zum Löschen aller gefundenen Vorkommnisse angewiesen.

Einige Minuten später, ich hatte es schon vergessen, wollte ich mich bei Onlinebanking einloggen, einmal bei Comemrzbank und einmal bei der Deutschen Bank. Und bei BEIDEN fiel mir auf: Das Laden der Seiten war extrem langsam, und dann erschien bei beiden (!) die Meldung: "Bitte Warten, prüfen wir die letzte Sitzung" (der Schreibfehler war mir zunächst nicht mal aufgefallen). Ausserdem war die Seite der Commerzbank teilweise fehlerhaft (falsche Schriftarten).










Ein Scan mit Malwarebytes fand dann diverse Registryeinträge und Dateien:

Code: Alles auswählenAufklappen

ATTFilter

Files Infected:
c:\Users\arnolde\AppData\Local\Temp\jar_cache62866.tmp (Trojan.Agent) -> No action taken.
c:\Users\arnolde\AppData\Local\Temp\jar_cache62867.tmp (Trojan.Agent) -> No action taken.
c:\Users\arnolde\AppData\Local\Temp\jar_cache62868.tmp (Trojan.Agent) -> No action taken.
c:\Users\arnolde\AppData\Local\Temp\jar_cache62870.tmp (Trojan.Agent) -> No action taken.
c:\Users\arnolde\AppData\Local\Temp\jar_cache62871.tmp (Trojan.Agent) -> No action taken.
         

Ein Entfernen aller verdächtigen Sachen, Neustart, erneuter Scan mit Fund, erneuted Entfernen und Neustart beseitigte dann alles, und die Bank-Seiten verhalten sich auch wieder normal. Habe natürlich meine PINs sofort geändert, TANs hatte ich keine eingegeben.

Bemerkenswert fand ich, daß ein einfacher URL-Klick diesen Trojaner bei mir installiert hat und trotz mehrfacher Aktionen von Antivir es weiterhin aktiv blieb. Ich bin in der IT-Sicherheit tätig und schon immer sehr sensibel bei Änderungen, Verlangsamungen, etc. gewesen, aber es ist das erste Mal in 15 Jahren wo ich mir tatsächlich nur durch eine URL etwas gefährliches eingefangen hatte.

Ich vermute es ist dasselbe wie er hier hatte:
http://www.trojaner-board.de/95322-p...ngefangen.html

viele Grüße,
E.Arnold

Zitat:

Ein Scan mit Malwarebytes fand dann diverse Registryeinträge und Dateien:

Unvollständige Logfiles machen genau KEINEN Sinn. Wenn immer alles vollständig posten.
Außerdem solltest du alle Logs von AntiVir nachreichen.