|
Plagegeister aller Art und deren Bekämpfung: TrustDefender Labs report has alarmingly discovered another variant of the Gozi Trojan with a 0%det.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
06.11.2010, 09:01 | #1 |
| TrustDefender Labs report has alarmingly discovered another variant of the Gozi Trojan with a 0%det. Guten Morgen Trojaner-Board, ich habe auch wie andere mit dem Gozi Trojaner zu kämpfen. Es gibt zur Zeit eine Meldung auf den englischsprachigen Internetseiten über eine neue Variante des Gozi. Leider konnte ich dazu noch nicht mehr raus bekommen, als auf den Seiten beschrieben. Habt ihr schon etwas aus den Quellen im deutschsprachigen Raum gehört ? Mich würde das interessieren, da ich zwei Rechner sauber gemacht habe (vor letzte Woche) und die Banken trotzdem die Zugänge wieder dicht gemacht haben. Hier ein Link zu der Info: Gozi Trojan - King of Evasion Continues to Avoid Sophisticated Detection. TrustDefender Labs Analysis Shows Increasing Threats of Trojans h**p://www.prweb.com/releases/2010/11/prweb4745544.htm |
06.11.2010, 09:05 | #2 |
| TrustDefender Labs report has alarmingly discovered another variant of the Gozi Trojan with a 0%det. Oh ich sehe gerade, das ich doch lieber hätte in der Rubrik "Diskussionsforum"
__________________hätte posten sollen. Bitte einmal verschieben, hatte meine Augen noch nicht richtig auf heute morgen |
06.11.2010, 10:50 | #3 |
/// Malware-holic | TrustDefender Labs report has alarmingly discovered another variant of the Gozi Trojan with a 0%det. ich kenne dich nicht und möchte dir nicht zu nahe treten, also nicht missverstehen.
__________________zu einer rechner analyse gehört auch das auswerten von logfiles, das laufen lassen von programmen wie avira und anderer antiviren programme ist da meist nicht ausreichend, diese können dir auch nur das entfernen, was sie durch signaturen, generiken, heuristiken erkennen. beim online banking solle man da auch eher aufpassen und überlegen die systeme neu aufzusetzen um ganz sicher zu gehen. danke übrigens für diesen artikel, diesen habe ich noch nicht gelesen. der zeigt dir aber, das dieser spezielle trojaner sehr schwer zu entdecken sein kann.
__________________ |
06.11.2010, 17:38 | #4 | |
| TrustDefender Labs report has alarmingly discovered another variant of the Gozi Trojan with a 0%det.Zitat:
Ich bekomme am Montag einen von den erwähnten Rechnern wieder rein und werde bevor ich ihn platt mache mal die Scans hier aus dem Forum durchlaufen lassen. Dann poste ich diese und wir schauen mal drüber, denn soweit habe ich mich bis jetzt mit der Thematik noch nicht beschäftigt. Aber so wie es aussieht ist es hilfreich sich mit den Logs auseinander zu setzen einfach aus dem Grund, das diese Biester von mal zu mal besser werden und recht lange zum teil unter dem AV-Radar durchschlüpfen. |
06.11.2010, 17:47 | #5 |
/// Malware-holic | TrustDefender Labs report has alarmingly discovered another variant of the Gozi Trojan with a 0%det. ja, poste einfach mal die folgenden otl logs. ootl: Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt das problem ist außerdem, dass sich die trojaner schreiber die großen avs vor nehmen und ihre trojaner so anpassen, dass sie unerkannt bleiben, dann gibts ja auch trojaner variannten die zb nur für den deutschen /europäischen raum geschrieben wurden, da werden halt nur scanner ins visierr genommen die hier verbreitet sind...
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
08.11.2010, 09:12 | #6 |
| TrustDefender Labs report has alarmingly discovered another variant of the Gozi Trojan with a 0%det. Guten Morgen, so anbei die OTL Logs ich musste Sie zippen, wegen der Anhangs-Beschränkung. |
08.11.2010, 11:24 | #7 |
/// Malware-holic | TrustDefender Labs report has alarmingly discovered another variant of the Gozi Trojan with a 0%det. ich sehe hier auf jeden fall dateien die umbenannt wurden, also alte malwarefunde, könnte banking trojaner gewesen sein, wie gesagt wäre da vllt das vernünftige neu machen, + absichern, tipps würd ich geben falls erwünscht.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
08.11.2010, 12:01 | #8 |
| TrustDefender Labs report has alarmingly discovered another variant of the Gozi Trojan with a 0%det. Also geplant ist: 1. Sichern der Eigenen Dateien und Bookmarks 2. Neu Aufsetzen (Evtl. bekommt der User einen neuen Rechner mit W7) 2.1 User: Administrator 2.2 Sämtliche Windows Updates / Flash / Java /Adob. Reader und co. 2.3 User: Max Mustermann mit eingeschränkten Rechten 3. Eine Antiviren Lösung 4. Sensibilisieren des Benutzers nur mit dem User 2.3 zu Arbeiten und Installationen nur über "ausführen als..." zu erledigen. 5. ??? Wäre eine Immunisieren über Spybot S&D zu empfehlen ??? 6. User erklären die Programmelöcher per Updates zu flicken. 6.1 Dem User es leichter zu machen (heisec Update-Check) Ist die ToDo-Liste so OK oder brennen da Vorschläge auf den Lippen ? Sind im Log den noch aktive Bedrohungen zu sehen ? Denn das würde mich jetzt Aahoc noch interessieren... |
08.11.2010, 12:20 | #9 |
/// Malware-holic | TrustDefender Labs report has alarmingly discovered another variant of the Gozi Trojan with a 0%det. hab jetzt nichts gesehen, daten sicherung ist also möglich. - welche antiviren lösung beforzugst die, die die jetzt instaliert ist? - adobe tipps: öffne den adobe reader, bearbeiten, voreinstellungen, javascript, dort den haken raus, internet, ebenfalls alle haken raus. so werden keine pdfs mehr automatisch geladen und es kann dir kein schadcode mehr auf diese weise untergeschoben werden. bitte noch unnötige plugins verschieben: Adobe Reader schneller starten behalte aber: EScript.api Escript.deu Search.api Search.DEU das macht den reader schneller/sicherer. wenn du windows 7 instalierst, würde ich die uac auf die höchste stufe setzen und den user zu passwörtern raten für das eingeschrenkte/und das admin konto, so ist er vllt auch gezwungen inne zu halten und die meldung zu lesen. als browser würde ich auf den opera setzen, da er wesendlich sicherer ist als der firefox, und, zu mindest meiner erfahrung nach, schneller. Opera Webbrowser | Schneller & sicherer | Die neuen Internet-Browser kostenlos herunterladen mit diesem tool lässt sich ein werbeblocker laden Opera AdBlock Configurator - Freeware - DE - Download.CHIP.eu zusätzlich kannst du das auch manuell erledigen, falls mal etwas nicht geblockt wird: Computerbase - Werbung blockieren auch diese tutorial seite mal ansehen. Opera Tutorial- Übersicht hier besonders die abschnitte sicherheit (kookies) und passwort durchlesen unter windows xp ist folgendes interessant dienste konfigurieren: Windows-Dienste sicher konfigurieren und abschalten (Windows 7/Vista/XP/2000) - www.ntsvcfg.de download link ist hier http://ntsvcfg.de/svc2kxp.zip lies den abschnitt über die svc2kxp.md du solltest die methode 3 wählen, diese ist die sicherste. je weniger dienste der pc nach außen anbietet, desto besser. automatische windows updates sowie inteligenter hintergrundübertragunsdienst sollten schon aktiev sein, prüfe das bitte nachdem du das tool ausgeführt hast nach. start ausführen services.msc suche die beiden dienste und schaue ob der starttyp automatisch lautet, falls nicht, wähle den dienst aus, rechtsklick, eigenschaften, starttyp automatisch bisher keine gute methode gefunden um das automatisch für 7 und vista zu machen. um das surfen sicherer zu machen, würde ich Sandboxie empfehlen. Download: drop.io (als pdf) hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar. den direkten datei zugriff bitte auf opera beschrenken, bei Internetzugriff: opera.exe öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok. somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern. wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. die ist lebenslang gültig, kostet 30 € und schaltet einige funktionen zusätzlich frei. außerdem kommt im freware modus nach 1 monat eine meldung, das es freeware ist. autorun deaktivieren: über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab. Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de usb sticks, festplatten etc, sollte man mit panda vaccine impfen: ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit. hake an: hake an: run panda usb vaccine automatically when computer boots automatically vaccine any new insert usb key enable ntfs file suport 8. für updates kannst du den leuten doch programme instalieren, secunia: http://www.trojaner-board.de/83959-s...ector-psi.html file hippo: FileHippo.com Update Checker - FileHippo.com das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok. dann doppelklicke file hippo, eine Internetseite wird geöffnet, auf der dier die aktuellsten updates gezeigt werden, diese downloaden und instalieren. Beide programme sollten im autostart bleiben, und sobald eines der programme updates anzeigt sollten diese umgehend instaliert werden. dann instaliere ihnen noch true image oder etwas in der art, und erkläre ihnen wie man backups macht, möglichst auf nen externen datenträger. wenn es der firefox sein soll, dann folgendes: als adon noscript, es werden dadurch einige scripts (java) zb blockiert, du kannst diese dann frei geben, in dem du auf der seite, die freigegeben werden soll, nen rechtsklick machst, noscript wählst, und temporär alle berectigungen aufheben wählst, somit werden sie für den besuch aufgehoben, oder alle beschrenkungen aufheben, somit wird die seite freigegeben. das kann man natürlich wieder rückgängig machen. http://filepony.de/download-adblock_firefox// hier gibt es noch filterlisten: Bekannte Filterlisten für Adblock Plus hier würde ich 2 oder 3 deutsche filter auswählen. unter sonstiges die malware blocklist. den direkten datei zugriff bitte auf firefox.exe und plugin-container.exe beschrenken, hier kannst du auch noscript und andere plugins eintragen. OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini bei Internetzugriff: firefox.exe und plugin-container.exe eintragen öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, firefox. direkten zugriff auf lesezeichen erlauben auswählen und auf hinzufügen klicken, dann auf ok. für den ie musst du die zugriffe halt auf den internet explorer frei geben, ich denke prinzip ist klar. rate den leuten außerdem pws zu endern und auf onlinebanking mit chipcard umzusteigen, die bank macht so was meist vergünstigt, möglichst klasse3 lesegeräte, keine klasse1 leser, die sind misst. aja, konfiguriere die windows updates so, das sie automatisch geladen werden, du musst immer bedenken, der mensch ist faul, alles was automatisiert, und nützlich ist, ist gut :-)
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
08.11.2010, 13:19 | #10 | |
| TrustDefender Labs report has alarmingly discovered another variant of the Gozi Trojan with a 0%det.Zitat:
Nun denn, ich werde die Infos soweit umsetzen, allerdings muss ich an der einen oder anderen Stelle aufpassen das ich unserem Kunden keinen Schock verpasse. Die Lösungen die du genannte hast sind auf jeden Fall super, nur es muss ja im realisierbaren Rahmen bleiben und eine Fort Knox Lösung ist wünschenswert würde aber den Kunden schröpfen. Ich werde Ihn aber auf die Möglichkeiten ansprechen. So jetzt aber ein dickes Danke schön für die ausführliche Beschreibung. |
08.11.2010, 13:22 | #11 |
/// Malware-holic | TrustDefender Labs report has alarmingly discovered another variant of the Gozi Trojan with a 0%det. ok bei windows 7 kannst du ja auf das automatische sichern verweisen, windows 7 kann das von hause aus sehr gut selbst, da sind also 50 € gespart. bei den backups immer drauf verweisen, dass ne datenrettung gut und gern n paar tausend € kosten kann, und daher ne backupsoftware immer die billigere wahl ist. sandboxie kostet ja nur einmal im gesammten leben 30 € du kannst die browser dann über den erzwungenen programmstart in der sandbox starten lassen, so kommts zu keinen verwechslungen, der rest ist ja kostenlos den ich genannt hab. ne anleitung für avira, falls du das häufiger verwendest, kann ich dir ebenfalls noch geben.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
08.11.2010, 13:30 | #12 |
/// Malware-holic | TrustDefender Labs report has alarmingly discovered another variant of the Gozi Trojan with a 0%det. aja die lesegeräte habe ich vergessen. man muss den leuten einfach klar machen, das hier eine ganze industrie steckt, also bei den malware-schreibern, diese haben fähige köpfe in ihren reihen die sich immer neue methoden ausdenken um an daten zu kommen. deswegen muss man einfach mit der zeit gehen und sich anpassen und das pin/tan verfahren ist nicht sicher, genauso wie das sms-tan verfahren, es gibt bereits handy malware. hatte zwar erst einen fall, aber das wird noch :-) also bleiben nur card reader. Kartenlesegerät ? Wikipedia die klasse1 geräte sind nichts, keine tastatur, kein nichts. der vorteil bei geräten mit tastatur, display, ist das man die transaktion komplett am gerät macht und ein trojaner der evtl. auf dem pc schlummert die daten nicht abgreifen kann. das ist bisher die beste methode und ebenfalls ihr geld wert.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
10.11.2010, 16:05 | #13 |
| TrustDefender Labs report has alarmingly discovered another variant of the Gozi Trojan with a 0%det. So dann danke ich dir an dieser Stelle für die Informationen! |
10.11.2010, 16:16 | #14 |
/// Malware-holic | TrustDefender Labs report has alarmingly discovered another variant of the Gozi Trojan with a 0%det. jeder zeit gern, meld dich bei problemen
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
Themen zu TrustDefender Labs report has alarmingly discovered another variant of the Gozi Trojan with a 0%det. |
analysis, andere, another, banke, banken, defender, englischsprachige, gozi trojan, gozi trojaner, guten, interne, internetseite, internetseiten, konnte, link, meldung, morgen, neue, neuer gozi, nicht mehr, quelle, rechner, report, sauber, seite, seiten, sperre, trojan, trojaner-board, variant, variante, woche, würde |