| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: W7: Phising-Page bei Onlinebanking in FF + Trojan.GenericKD.1659055 ?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
04.05.2014, 12:34
| #1 |
| |  W7: Phising-Page bei Onlinebanking in FF + Trojan.GenericKD.1659055 ? Hallo, Ich habe ein Problem mit dem PC meiner Mutter. Beim Online-Baking wird in die Bankseite ein Phishing Dialog eingebettet. Zum System: Windows 7(x64) Professional SP1 Mailer: Thunderbird Browser: Firefox Microsoft Security Essentials laufen. Gearbeitet wird mit einem Nicht-Administrator Account. Symptome: Nach dem einloggen mit Verfügernummer beim Online Banking (Bank Austria) wird ein Dialog „Telefon Sicherheitsmodul“, bei dem man aufgefordert wird Telefondaten anzugeben um ein Update dafür zu erhalten …  Man sieht auch, dass die Verbindung verschlüsselt ist aber … das Zertifikat scheint einen Fehler zu haben. bei einem anderen PC sieht das anders aus (und das Telefon Sicherheitsmodul wird nicht angeboten):   Habe auch Festgestellt, dass diese Umleitung nur beim Arbeits Account statt findet und nicht wenn man den Administrator Account verwendet – rechte Escalation scheint also nicht stattgefunden zu haben um auch andere Nutzer Accounts infizieren zu können. Vorgehen bisher: Nachdem es meiner Mutter aufgefallen ist, habe ich meinen Vater gebeten sich das an zu schauen -> MSE complete scan ohne Ergebnis. Also hab ich ihm eine LiveCd gesagt (BitDefender) damit hat er was gefunden (meistes hat er gesagt im Junk-mail Folder als Adware). Damit war der PC scheinbar sauber. Die Phishing Seite wurde nichtmehr angezeigt. 2 Tage später hat mich meine Mutter gebeten das nochmal anzusehen, weil sie wieder da war. Ich habe gescannt: HiJackThis -> nichts Negatives MSE -> nichts Stinger -> nichts MBAM -> nichts Sysinternals Rootkitreveler liefert kein log (auch auf einem anderen PC kriege ich keines) Sysinternals Autoruns: Damit habe ich in den LogOn Registry Einträgen was gefunden:  Auf das verwiesene File, hab ich mit virus-total gescannt: https://www.virustotal.com/en/file/03c78c1977cd82ae0b03c458ea93447d8c112b1bcac868991ffbcacaee8bd351/analysis/1399072965/ Mein Vater meinte, dass das das sei, was er schon mal entfernt hat. Ich wollte es aus dem Autostart rausnehmen, hab also das Häckchen weg genommen. Doch wenn ich Autoruns wieder starte ist es mit einem neuen Eintrag wieder da. Habe es mit Sysinternals ProcMon versucht heraus zu finden, wer da den Eintrag sofort wieder anlegt: Filter auf Registry Only + Path contains HKCU … allerdings ohne Erfolg. Jetzt werde ich auch nochmal mit einer LiveCD scannen (Kaspersky). Aber generell würde mich Interessieren wie ich herausfinde, welche Prozess da den eintrag in der Registry neu einfügt? Außerdem muss ich noch feststellen, was da die Internet Verbindung verbiegt/den FF manipuliert – wie lässt sich das am besten machen? (hosts datei ist leer) |
| Themen zu W7: Phising-Page bei Onlinebanking in FF + Trojan.GenericKD.1659055 ? |
| adware, autoruns, bitdefender, datei, defender, ebanking, einloggen, fehler, festgestellt, file, internet, kaspersky, leer, neue, online banking, onlinebanking, phishing, problem, problem mit dem pc, prozess, registry, scan, security, system, umleitung, update, verbindung |
Baum-Darstellung