Hallihallo liebes Forum,
wenn man es am wenigsten gebrauchen kann, erschwischt es einen natürlich. (Murphy und sein Gesetz lassen grüßen...)
Via Google bin ich auf den Thread "Banking Trojaner Sparkasse/ Trojaner Delfsnif.DX.81" (* siehe unten) aufmerksam geworden. Genau dieses Problem scheint ich auch zu betreffen (gleich Eingabemaske etc.).
Als die Frage nach den 20 TANs gestern aufpopte, war ich verunsichert und habe zunächst "Sophos Anti-Virus 7.6.20" (bezogen über die Uni) angeworfen und einen kompletten Systemscan gemacht.
Zitat:
****************** Sophos Anti-Virus Protokoll - 05.09.2010 15:42:15 **************
20100904 184157 Überprüfung 'Neue Überprüfung' gestartet.
20100904 195406 Die Überprüfung von 'C:\System Volume Information\{1dbdb0eb-b431-11df-b1c2-00241d254177}{3808876b-c176-4e48-b7ae-04046e6cc752}' führte zu SAV Interface-Fehler 0xa0040210: Auf die Datei konnte nicht zugegriffen werden.
20100904 195406 Die Überprüfung von 'C:\System Volume Information\{2d57f4c0-b5bf-11df-a37f-00241d254177}{3808876b-c176-4e48-b7ae-04046e6cc752}' führte zu SAV Interface-Fehler 0xa0040210: Auf die Datei konnte nicht zugegriffen werden.
20100904 195406 Die Überprüfung von 'C:\System Volume Information\{3808876b-c176-4e48-b7ae-04046e6cc752}' führte zu SAV Interface-Fehler 0xa0040210: Auf die Datei konnte nicht zugegriffen werden.
20100904 195406 Die Überprüfung von 'C:\System Volume Information\{6e76ab1d-b66c-11df-8a91-00241d254177}{3808876b-c176-4e48-b7ae-04046e6cc752}' führte zu SAV Interface-Fehler 0xa0040210: Auf die Datei konnte nicht zugegriffen werden.
20100904 200703 Die Überprüfung von 'C:\Windows\System32\catroot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb' führte zu SAV Interface-Fehler 0xa0040210: Auf die Datei konnte nicht zugegriffen werden.
20100904 200703 Die Überprüfung von 'C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb' führte zu SAV Interface-Fehler 0xa0040210: Auf die Datei konnte nicht zugegriffen werden.
20100904 200703 Die Überprüfung von 'C:\Windows\System32\config\RegBack\DEFAULT' führte zu SAV Interface-Fehler 0xa0040210: Auf die Datei konnte nicht zugegriffen werden.
20100904 200703 Die Überprüfung von 'C:\Windows\System32\config\RegBack\SAM' führte zu SAV Interface-Fehler 0xa0040210: Auf die Datei konnte nicht zugegriffen werden.
20100904 200703 Die Überprüfung von 'C:\Windows\System32\config\RegBack\SECURITY' führte zu SAV Interface-Fehler 0xa0040210: Auf die Datei konnte nicht zugegriffen werden.
20100904 200703 Die Überprüfung von 'C:\Windows\System32\config\RegBack\SOFTWARE' führte zu SAV Interface-Fehler 0xa0040210: Auf die Datei konnte nicht zugegriffen werden.
20100904 200703 Die Überprüfung von 'C:\Windows\System32\config\RegBack\SYSTEM' führte zu SAV Interface-Fehler 0xa0040210: Auf die Datei konnte nicht zugegriffen werden.
20100904 204514 Das Gerät 'K:\' ist nicht bereit.
20100904 204531 Virus/Spyware 'Mal/Packer' wurde erkannt.
20100904 204531 Virus/Spyware 'Troj/Agent-GAU' wurde erkannt.
20100904 204531 Virus/Spyware 'Mal/Generic-A' wurde erkannt.
20100904 204531 Adware/PUA 'Generic Patcher' wurde erkannt.
20100904 204531 Überprüfung 'Neue Überprüfung' abgeschlossen.
20100904 204531 Ergebniszusammenfassung für Überprüfung 'Neue Überprüfung':
Überprüfte Objekte: 409326
Fehler: 11
Objekte in Quarantäne: 4 |
Obwohl Sophos einen Trojaner in Quarantäne verfrachtet hat, tritt das Problem mit den "20 TANs" weiterhin auf.
Ich vermute, dass Sophos den betreffenden "Delfsnif.DX.81" überhaupt nicht gefunden hat.
Aus Gründen der Sicherheit würde ich das System am Liebsten sofort neu aufsetzen. (Nach dem Vorgehen, das hier von markusg (* siehe unten) beschrieben wurde.)
Leider fehlen mir dazu im Moment die nötige Zeit und Muße, da ich mich mitten in der Prüfungsphase befinde.
Ich habe noch ein nicht infiziertes Zweitsystem, ein kleines Netbook, das mir zur Überbrückung dienen kann.
Dennoch möchte ich keine Fehler begehen und bitte euch um Rat, wie ich mich am Besten verhalten soll.
Was ich bisher getan habe:- Sparkassen TAN-Liste von Zweitsystem aus gesperrt
- Kundenservice der Sparkasse (leider übers Wochenende nur per Mail erreichbar) in Kenntnis gesetzt
- Passwörter für Bezahldienste (z.B. Paypal) von Zweitsystem geändert
- Onlinebanking-PIN von anderen Bankkonten geändert und auch danach die dortige TAN-Liste gesperrt
Ich kann leider im Moment nicht alle Passwörter aller Onlineshops, die z.B. auch Bezahlung per Lastschrift/Bankeinzug unterstützen ändern. Das folgt nach der Klausurphase
Weitere Fragen:- Muss das Sparkassenkonto zwangsläufig gesperrt werden? Oder reicht es den Online-PIN vom Kundenberater ändern zu lassen? (Natürlich wird vom infizierten System aus keinerlei Onlinebanking mehr betrieben!)
- Wie sicher kann ich sein, dass die Datenbestände meines Systems nicht betroffen sind?
Ein letztes Datenbackup von vor 2 Wochen besteht, aber ich benötige für die bevorstehenden Klausuren leider auch aktuell erstellte Dokumente. Kann ich diese ohne Bedenken nutzen? (Zum Teil in den letzten Tagen auf den Festplatten gespeichert, aber auch auf USB-Sticks gesichert) - Vorgegriffene Frage zum Aufsetzen des Systems in zwei Wochen:
In diesem Thread (* siehe unten) ist u.a. die Rede davon, dass reine Daten (Dokumente, Bilder, Musik, etc.) nicht betroffen sind, sondern lediglich salopp gesagt "Windows-Dateien"? Könnte es unter Umständen ausreichen die Systemplatte platt zu machen und den Rest gemäß der Beschreibung im Thread zu untersuchen?
Vielen Dank!
Liebe Grüße
edit: bei den mit * markierten Begriffen waren Links zu folgendem Thread vorgesehen:
hxxp://www.trojaner-board.de/89652-banking-trojaner-sparkasse-trojaner-delfsnif-dx-81-a-2.html
05.09.2010, 17:08
Baum-Darstellung