Hallihallo liebes Forum,

wenn man es am wenigsten gebrauchen kann, erschwischt es einen natürlich. (Murphy und sein Gesetz lassen grüßen...)

Via Google bin ich auf den Thread "Banking Trojaner Sparkasse/ Trojaner Delfsnif.DX.81" (* siehe unten) aufmerksam geworden. Genau dieses Problem scheint ich auch zu betreffen (gleich Eingabemaske etc.).
Als die Frage nach den 20 TANs gestern aufpopte, war ich verunsichert und habe zunächst "Sophos Anti-Virus 7.6.20" (bezogen über die Uni) angeworfen und einen kompletten Systemscan gemacht.

Zitat:

****************** Sophos Anti-Virus Protokoll - 05.09.2010 15:42:15 **************

20100904 184157 Überprüfung 'Neue Überprüfung' gestartet.
20100904 195406 Die Überprüfung von 'C:\System Volume Information\{1dbdb0eb-b431-11df-b1c2-00241d254177}{3808876b-c176-4e48-b7ae-04046e6cc752}' führte zu SAV Interface-Fehler 0xa0040210: Auf die Datei konnte nicht zugegriffen werden.
20100904 195406 Die Überprüfung von 'C:\System Volume Information\{2d57f4c0-b5bf-11df-a37f-00241d254177}{3808876b-c176-4e48-b7ae-04046e6cc752}' führte zu SAV Interface-Fehler 0xa0040210: Auf die Datei konnte nicht zugegriffen werden.
20100904 195406 Die Überprüfung von 'C:\System Volume Information\{3808876b-c176-4e48-b7ae-04046e6cc752}' führte zu SAV Interface-Fehler 0xa0040210: Auf die Datei konnte nicht zugegriffen werden.
20100904 195406 Die Überprüfung von 'C:\System Volume Information\{6e76ab1d-b66c-11df-8a91-00241d254177}{3808876b-c176-4e48-b7ae-04046e6cc752}' führte zu SAV Interface-Fehler 0xa0040210: Auf die Datei konnte nicht zugegriffen werden.
20100904 200703 Die Überprüfung von 'C:\Windows\System32\catroot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb' führte zu SAV Interface-Fehler 0xa0040210: Auf die Datei konnte nicht zugegriffen werden.
20100904 200703 Die Überprüfung von 'C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb' führte zu SAV Interface-Fehler 0xa0040210: Auf die Datei konnte nicht zugegriffen werden.
20100904 200703 Die Überprüfung von 'C:\Windows\System32\config\RegBack\DEFAULT' führte zu SAV Interface-Fehler 0xa0040210: Auf die Datei konnte nicht zugegriffen werden.
20100904 200703 Die Überprüfung von 'C:\Windows\System32\config\RegBack\SAM' führte zu SAV Interface-Fehler 0xa0040210: Auf die Datei konnte nicht zugegriffen werden.
20100904 200703 Die Überprüfung von 'C:\Windows\System32\config\RegBack\SECURITY' führte zu SAV Interface-Fehler 0xa0040210: Auf die Datei konnte nicht zugegriffen werden.
20100904 200703 Die Überprüfung von 'C:\Windows\System32\config\RegBack\SOFTWARE' führte zu SAV Interface-Fehler 0xa0040210: Auf die Datei konnte nicht zugegriffen werden.
20100904 200703 Die Überprüfung von 'C:\Windows\System32\config\RegBack\SYSTEM' führte zu SAV Interface-Fehler 0xa0040210: Auf die Datei konnte nicht zugegriffen werden.
20100904 204514 Das Gerät 'K:\' ist nicht bereit.
20100904 204531 Virus/Spyware 'Mal/Packer' wurde erkannt.
20100904 204531 Virus/Spyware 'Troj/Agent-GAU' wurde erkannt.
20100904 204531 Virus/Spyware 'Mal/Generic-A' wurde erkannt.
20100904 204531 Adware/PUA 'Generic Patcher' wurde erkannt.
20100904 204531 Überprüfung 'Neue Überprüfung' abgeschlossen.
20100904 204531 Ergebniszusammenfassung für Überprüfung 'Neue Überprüfung':
Überprüfte Objekte: 409326
Fehler: 11
Objekte in Quarantäne: 4

Obwohl Sophos einen Trojaner in Quarantäne verfrachtet hat, tritt das Problem mit den "20 TANs" weiterhin auf.
Ich vermute, dass Sophos den betreffenden "Delfsnif.DX.81" überhaupt nicht gefunden hat.


Aus Gründen der Sicherheit würde ich das System am Liebsten sofort neu aufsetzen. (Nach dem Vorgehen, das hier von markusg (* siehe unten) beschrieben wurde.)
Leider fehlen mir dazu im Moment die nötige Zeit und Muße, da ich mich mitten in der Prüfungsphase befinde.


Ich habe noch ein nicht infiziertes Zweitsystem, ein kleines Netbook, das mir zur Überbrückung dienen kann.
Dennoch möchte ich keine Fehler begehen und bitte euch um Rat, wie ich mich am Besten verhalten soll.

Was ich bisher getan habe:

• Sparkassen TAN-Liste von Zweitsystem aus gesperrt
• Kundenservice der Sparkasse (leider übers Wochenende nur per Mail erreichbar) in Kenntnis gesetzt
• Passwörter für Bezahldienste (z.B. Paypal) von Zweitsystem geändert
• Onlinebanking-PIN von anderen Bankkonten geändert und auch danach die dortige TAN-Liste gesperrt

Ich kann leider im Moment nicht alle Passwörter aller Onlineshops, die z.B. auch Bezahlung per Lastschrift/Bankeinzug unterstützen ändern. Das folgt nach der Klausurphase

Weitere Fragen:

• Muss das Sparkassenkonto zwangsläufig gesperrt werden? Oder reicht es den Online-PIN vom Kundenberater ändern zu lassen? (Natürlich wird vom infizierten System aus keinerlei Onlinebanking mehr betrieben!)
• Wie sicher kann ich sein, dass die Datenbestände meines Systems nicht betroffen sind?
  Ein letztes Datenbackup von vor 2 Wochen besteht, aber ich benötige für die bevorstehenden Klausuren leider auch aktuell erstellte Dokumente. Kann ich diese ohne Bedenken nutzen? (Zum Teil in den letzten Tagen auf den Festplatten gespeichert, aber auch auf USB-Sticks gesichert)
• Vorgegriffene Frage zum Aufsetzen des Systems in zwei Wochen:
  In diesem Thread (* siehe unten) ist u.a. die Rede davon, dass reine Daten (Dokumente, Bilder, Musik, etc.) nicht betroffen sind, sondern lediglich salopp gesagt "Windows-Dateien"? Könnte es unter Umständen ausreichen die Systemplatte platt zu machen und den Rest gemäß der Beschreibung im Thread zu untersuchen?

Vielen Dank!

Liebe Grüße


edit: bei den mit * markierten Begriffen waren Links zu folgendem Thread vorgesehen:
hxxp://www.trojaner-board.de/89652-banking-trojaner-sparkasse-trojaner-delfsnif-dx-81-a-2.html

Zitat:

Muss das Sparkassenkonto zwangsläufig gesperrt werden? Oder reicht es den Online-PIN vom Kundenberater ändern zu lassen? (Natürlich wird vom infizierten System aus keinerlei Onlinebanking mehr betrieben!)

Das wird Die die Sparkasse besser beantworten können. ich denke aber, die raten Dir ein Neuaufsetzen des Systems, wenn sich der Befall bestätigt. Es liegt dann an Dir ob Du das Risiko einer Bereinigung eingehen willst, die nicht unbedingt schneller als eine Neuinstallation des kompletten Systems sein muss

Zitat:

Ein letztes Datenbackup von vor 2 Wochen besteht, aber ich benötige für die bevorstehenden Klausuren leider auch aktuell erstellte Dokumente. Kann ich diese ohne Bedenken nutzen? (Zum Teil in den letzten Tagen auf den Festplatten gespeichert, aber auch auf USB-Sticks gesichert)

Reine Daten kannst Du immer problemlos sicher. Problematisch sind nur Dateien, die ausführbaren Code enthalten. Schädlinge sind auch nichts weiter als Programme, Programmcode der aber bösartige Routinen hat. Reine Daten haben keinen ausführbaren Code, sind definitionsgemäß also schädlingsfrei.

Zitat:

Könnte es unter Umständen ausreichen die Systemplatte platt zu machen und den Rest gemäß der Beschreibung im Thread zu untersuchen?

Das das reicht idR aus. Aber alles Ausführbare auf den anderen Partitionen sollte gelöscht werden, nur das ist konsequent wenn man kein Risiko eingehen kann.


Also nun formatieren oder bereinigen??

Zitat:

Zitat von cosinus

[...]
Reine Daten kannst Du immer problemlos sicher. Problematisch sind nur Dateien, die ausführbaren Code enthalten. Schädlinge sind auch nichts weiter als Programme, Programmcode der aber bösartige Routinen hat. Reine Daten haben keinen ausführbaren Code, sind definitionsgemäß also schädlingsfrei.

Gut, aber es gibt doch auch „Viren“, die andere Dateien befallen? (Ich bitte um Entschuldigung, wenn die Formulierung nicht dem Fachjargon entspricht.) Jedenfalls hört man immer wieder davon.

Wie kann ich jetzt sicher sein, dass dies im vorliegenden Fall nicht so ist?

Zitat:

Das das reicht idR aus. Aber alles Ausführbare auf den anderen Partitionen sollte gelöscht werden, nur das ist konsequent wenn man kein Risiko eingehen kann.

Gut, das werde ich dann so machen.

Zitat:

Also nun formatieren oder bereinigen??

Demnach wird nach Sepration und Sicherung der Daten formatiert.

Zitat:

Gut, aber es gibt doch auch „Viren“, die andere Dateien befallen? (Ich bitte um Entschuldigung, wenn die Formulierung nicht dem Fachjargon entspricht.) Jedenfalls hört man immer wieder davon.

Viren tun das per Definition. Sie heften ihren Schadcode an andere ausführbare Dateien dran.
Viren waren früher verbreiteter, v.a. zu DOS-Zeiten, mittlerweile kursieren jetzt fast nur noch Trojaner oder Würmer. Die befallen idR keine anderen ausführbaren Dateien, gibt aber auch welche die das tun; als Beispiele dafür wären die Fileinfektoren Virut und Sality zu nennen.

Zitat:

Wie kann ich jetzt sicher sein, dass dies im vorliegenden Fall nicht so ist?

Im Grunde garnicht. Es sei denn Du hast von allen Dateien eine Prüfsumme vor der Infektion gemacht und vergleichst diese mit den neu errechneten Prüfsummen der Datendateien vom infizierten System. Ist ziemlich aufwändig bzw. unmöglich wenn Du keine Prüfsummen vorher erstellt hast. Sonst kann man nur noch auf das Backup vor der Infektion zurückgreifen, sofern Du eins hast
Ansonsten musst Du mit dem Restrisiko leben, da Du auf die Datendateien ja nicht verzichten kannst.

Zitat:

Demnach wird nach Sepration und Sicherung der Daten formatiert.

Ok, dann wünsche ich viel Erfolg
Denk später mal an regelmäßige Backups auf externe Medien.

Zitat:

Zitat von spaboleo

[...]
Ein letztes Datenbackup von vor 2 Wochen besteht, aber ich benötige für die bevorstehenden Klausuren leider auch aktuell erstellte Dokumente. Kann ich diese ohne Bedenken nutzen? (Zum Teil in den letzten Tagen auf den Festplatten gespeichert, aber auch auf USB-Sticks gesichert)
[...]

Umfassende Komplett-Backups erstelle ich regelmäßig seit meinem ersten Headcrash bedingten Datenverlust. (Damals noch ne 20GB IBM Platte...prägendes Erlebnis.)

Mittlerweile habe ich zwei 1,5TB Platten zu Backupzwecken. Eine als Netzlaufwerk kurzfristig verfügbar, die andere per eSATA bei Bedarf. Was den Datenbestand betrifft sind diese identisch.

Ein Komplettbackup erstelle ich i.d.R. alle 2 Wochen. Gibt es große Veränderungen an den Daten auch häufiger.
Das letzte Backup liegt klausurbedingt leider bereits 2 Wochen zurück.

Aktuelle relevante Daten („des Tagesgeschäfts“) sind i.d.R. immer (Truecrypt verschlüsselt) mit der Dropbox synchronisiert, besonders Wichtiges wandert manuell nochmal auf einen USB-Stick.


Also diesbezüglich bin ich ganz gut aufgestellt, denke ich.
Lediglich der Zeit- und Komfortverlust beim erneuten Aufsetzen des Systems ist jetzt ärgerlich. Der Großteil der verwendeten Software ist problemslos von der Uni neu zu beziehen, nur das Einrichten wird dauern. Nunja..

Die Daten wiederherzustellen ist soweit kein Problem, es existiert ja schließlich eine Art „Backuproutine“, mit dem ich persönlich ganz gut zurecht komme und die unabhängig von irgendwelcher Wiederherstellungssoftware ist.
...ich war mir nur nicht sicher, ob die Datenbestände nun nicht auch infiziert sind. Über diese lasse ich gerade Avira 10 Free laufen, das sollte doch ein Restrisiko minimieren? (Ja, gänzlich auszuschließen wird es nicht sein. )

Die letzten, wichtigen Dokumente für die nächsten Klausuren lagen auf einem Stick, der soweit von Avira und Sophos als „in Ordnung“ eingestuft wurde...das Risiko musste ich eingehen diese Daten bereits auf dem Zweitsystem zu verwenden.


Soviel dazu
lg


PS: Mich irritiert gerade etwas, dass Avira 10 Free mehr zu finden vermag als das vom Rechenzentrum unserer Uni in höchsten Tönen gelobte Sophos?

Ok, dann hast Du ja ein gutes Backupkonzept. Es gibt manche, die sichern rein garnichts und lassen alles nur auf der internen Platte und wenn was passiert ist das Geschrei riesengroß

Zitat:

PS: Mich irritiert gerade etwas, dass Avira 10 Free mehr zu finden vermag als das vom Rechenzentrum unserer Uni in höchsten Tönen gelobte Sophos?

Das ist alles eine Glaubensfrage. Du kannst 10 verschiedene Menschen in einer Fußgängerzone fragen und jeder schwört auf einen anderen Virenscanner.
Fakt ist, dass jeder Virenscanner prinzipielle Schwächen hat. Keiner erkennt alle Schädlinge, und was der eine Scanner zu erkennen vermag, erkennt der andere nicht und andersrum.

Ich habe gerade Sophos und Avira Free parallel aktiv im System.
Abgesehen von der Tatsache, dass sie sich gegenseitig nicht aufeinander zugreifen lassen, sehe ich da im Moment keine Probleme.

Ist das nur ein gedankliches Relikt aus früheren Tagen, das mir mit erhobenem Zeigefinger sagt: "Betreibe nie zwei Virenscanner (mit aktiver Überwachung) parallel", oder vielleicht wirklich etwas Wahres dran?

Liebe Grüße

Zitat:

Ich habe gerade Sophos und Avira Free parallel aktiv im System.
Abgesehen von der Tatsache, dass sie sich gegenseitig nicht aufeinander zugreifen lassen, sehe ich da im Moment keine Probleme.

Nein, Virenscanner parallel zu betreiben ist eine ganz schlechte Idee. Außer Malwarebytes und SASW, die sind für Parallelbetrieb konzipiert worden.

Zitat:

Ist das nur ein gedankliches Relikt aus früheren Tagen, das mir mit erhobenem Zeigefinger sagt: "Betreibe nie zwei Virenscanner (mit aktiver Überwachung) parallel", oder vielleicht wirklich etwas Wahres dran?

Wie ich schon sagte ist das definitiv nicht zu empfehlen. Außerdem verschenkst Du unglaublich viel Leistung, irgendwann sind Probleme vorprogrammiert. Entscheide Dich entweder für Sophos ODER AntiVir!