Guten Morgen Trojaner-Board,
ich habe auch wie andere mit dem Gozi Trojaner zu kämpfen.

Es gibt zur Zeit eine Meldung auf den englischsprachigen Internetseiten über eine neue Variante des Gozi. Leider konnte ich dazu noch nicht mehr raus bekommen, als auf den Seiten beschrieben.

Habt ihr schon etwas aus den Quellen im deutschsprachigen Raum gehört ?
Mich würde das interessieren, da ich zwei Rechner sauber gemacht habe (vor letzte Woche) und die Banken trotzdem die Zugänge wieder dicht gemacht haben.

Hier ein Link zu der Info:
Gozi Trojan - King of Evasion Continues to Avoid Sophisticated Detection. TrustDefender Labs Analysis Shows Increasing Threats of Trojans

h**p://www.prweb.com/releases/2010/11/prweb4745544.htm

Oh ich sehe gerade, das ich doch lieber hätte in der Rubrik "Diskussionsforum"
hätte posten sollen.

Bitte einmal verschieben, hatte meine Augen noch nicht richtig auf heute morgen

ich kenne dich nicht und möchte dir nicht zu nahe treten, also nicht missverstehen.
zu einer rechner analyse gehört auch das auswerten von logfiles, das laufen lassen von programmen wie avira und anderer antiviren programme ist da meist nicht ausreichend, diese können dir auch nur das entfernen, was sie durch signaturen, generiken, heuristiken erkennen.
beim online banking solle man da auch eher aufpassen und überlegen die systeme neu aufzusetzen um ganz sicher zu gehen.
danke übrigens für diesen artikel, diesen habe ich noch nicht gelesen.
der zeigt dir aber, das dieser spezielle trojaner sehr schwer zu entdecken sein kann.

Zitat:

Zitat von markusg

ich kenne dich nicht und möchte dir nicht zu nahe treten, also nicht missverstehen.
zu einer rechner analyse gehört auch das auswerten von logfiles, das laufen lassen von programmen wie avira und anderer antiviren programme ist da meist nicht ausreichend, diese können dir auch nur das entfernen, was sie durch signaturen, generiken, heuristiken erkennen.
beim online banking solle man da auch eher aufpassen und überlegen die systeme neu aufzusetzen um ganz sicher zu gehen.
danke übrigens für diesen artikel, diesen habe ich noch nicht gelesen.
der zeigt dir aber, das dieser spezielle trojaner sehr schwer zu entdecken sein kann.

kein Problem, du trittst mir nicht zu nah mit der Aussage.
Ich bekomme am Montag einen von den erwähnten Rechnern wieder rein und werde bevor ich ihn platt mache mal die Scans hier aus dem Forum durchlaufen lassen. Dann poste ich diese und wir schauen mal drüber, denn soweit habe ich mich bis jetzt mit der Thematik noch nicht beschäftigt.

Aber so wie es aussieht ist es hilfreich sich mit den Logs auseinander zu setzen einfach aus dem Grund, das diese Biester von mal zu mal besser werden und recht lange zum teil unter dem AV-Radar durchschlüpfen.

ja, poste einfach mal die folgenden otl logs.
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt

das problem ist außerdem, dass sich die trojaner schreiber die großen avs vor nehmen und ihre trojaner so anpassen, dass sie unerkannt bleiben, dann gibts ja auch trojaner variannten die zb nur für den deutschen /europäischen raum geschrieben wurden, da werden halt nur scanner ins visierr genommen die hier verbreitet sind...

Guten Morgen,
so anbei die OTL Logs ich musste Sie zippen, wegen der Anhangs-Beschränkung.

ich sehe hier auf jeden fall dateien die umbenannt wurden, also alte malwarefunde, könnte banking trojaner gewesen sein, wie gesagt wäre da vllt das vernünftige neu machen, + absichern, tipps würd ich geben falls erwünscht.

Also geplant ist:
1. Sichern der Eigenen Dateien und Bookmarks

2. Neu Aufsetzen (Evtl. bekommt der User einen neuen Rechner mit W7)

2.1 User: Administrator
2.2 Sämtliche Windows Updates / Flash / Java /Adob. Reader und co.
2.3 User: Max Mustermann mit eingeschränkten Rechten

3. Eine Antiviren Lösung
4. Sensibilisieren des Benutzers nur mit dem User 2.3 zu Arbeiten
und Installationen nur über "ausführen als..." zu erledigen.

5. ??? Wäre eine Immunisieren über Spybot S&D zu empfehlen ???
6. User erklären die Programmelöcher per Updates zu flicken.
6.1 Dem User es leichter zu machen (heisec Update-Check)

Ist die ToDo-Liste so OK oder brennen da Vorschläge auf den Lippen ?

Sind im Log den noch aktive Bedrohungen zu sehen ?
Denn das würde mich jetzt Aahoc noch interessieren...

hab jetzt nichts gesehen, daten sicherung ist also möglich.
- welche antiviren lösung beforzugst die, die die jetzt instaliert ist?
- adobe tipps:
öffne den adobe reader, bearbeiten, voreinstellungen, javascript, dort den haken raus, internet, ebenfalls alle haken raus.
so werden keine pdfs mehr automatisch geladen und es kann dir kein schadcode mehr auf diese weise untergeschoben werden.
bitte noch unnötige plugins verschieben:
Adobe Reader schneller starten
behalte aber:
EScript.api
Escript.deu
Search.api
Search.DEU

das macht den reader schneller/sicherer.
wenn du windows 7 instalierst, würde ich die uac auf die höchste stufe setzen und den user zu passwörtern raten für das eingeschrenkte/und das admin konto, so ist er vllt auch gezwungen inne zu halten und die meldung zu lesen.
als browser würde ich auf den opera setzen, da er wesendlich sicherer ist als der firefox, und, zu mindest meiner erfahrung nach, schneller.
Opera Webbrowser | Schneller & sicherer | Die neuen Internet-Browser kostenlos herunterladen
mit diesem tool lässt sich ein werbeblocker laden
Opera AdBlock Configurator - Freeware - DE - Download.CHIP.eu
zusätzlich kannst du das auch manuell erledigen, falls mal etwas nicht geblockt wird:
Computerbase - Werbung blockieren
auch diese tutorial seite mal ansehen.
Opera Tutorial- Übersicht
hier besonders die abschnitte sicherheit (kookies) und passwort durchlesen

unter windows xp ist folgendes interessant
dienste konfigurieren:
Windows-Dienste sicher konfigurieren und abschalten (Windows 7/Vista/XP/2000) - www.ntsvcfg.de
download link ist hier
http://ntsvcfg.de/svc2kxp.zip
lies den abschnitt über die svc2kxp.md
du solltest die methode 3 wählen, diese ist die sicherste.
je weniger dienste der pc nach außen anbietet, desto besser.
automatische windows updates sowie inteligenter hintergrundübertragunsdienst sollten schon aktiev sein, prüfe das bitte nachdem du das tool ausgeführt hast nach.
start ausführen
services.msc
suche die beiden dienste und schaue ob der starttyp automatisch lautet, falls nicht, wähle den dienst aus, rechtsklick, eigenschaften, starttyp automatisch

bisher keine gute methode gefunden um das automatisch für 7 und vista zu machen.
um das surfen sicherer zu machen, würde ich Sandboxie empfehlen.
Download:
drop.io
(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
die ist lebenslang gültig, kostet 30 € und schaltet einige funktionen zusätzlich frei. außerdem kommt im freware modus nach 1 monat eine meldung, das es freeware ist.
autorun deaktivieren:
über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab.
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
usb sticks, festplatten etc, sollte man mit panda vaccine impfen:
ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY
so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit.
hake an:
hake an:
run panda usb vaccine automatically when computer boots
automatically vaccine any new insert usb key
enable ntfs file suport
8.

für updates kannst du den leuten doch programme instalieren, secunia:
http://www.trojaner-board.de/83959-s...ector-psi.html
file hippo:
FileHippo.com Update Checker - FileHippo.com
das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok.
dann doppelklicke file hippo, eine Internetseite wird geöffnet, auf der dier die aktuellsten updates gezeigt werden, diese downloaden und instalieren.

Beide programme sollten im autostart bleiben, und sobald eines der programme updates anzeigt sollten diese umgehend instaliert werden.
dann instaliere ihnen noch true image oder etwas in der art, und erkläre ihnen wie man backups macht, möglichst auf nen externen datenträger.

wenn es der firefox sein soll, dann folgendes:

als adon noscript, es werden dadurch einige scripts (java) zb blockiert, du kannst diese dann frei geben, in dem du auf der seite, die freigegeben werden
soll, nen rechtsklick machst, noscript wählst, und temporär alle berectigungen aufheben wählst, somit werden sie für den besuch aufgehoben, oder alle beschrenkungen
aufheben, somit wird die seite freigegeben. das kann man natürlich wieder rückgängig machen.
http://filepony.de/download-adblock_firefox//
hier gibt es noch filterlisten:
Bekannte Filterlisten für Adblock Plus
hier würde ich 2 oder 3 deutsche filter auswählen.
unter sonstiges die malware blocklist.


den direkten datei zugriff bitte auf firefox.exe und plugin-container.exe
beschrenken, hier kannst du auch noscript und andere plugins eintragen.
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini
bei
Internetzugriff:
firefox.exe und
plugin-container.exe
eintragen
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, firefox.
direkten zugriff auf lesezeichen erlauben auswählen und auf hinzufügen klicken, dann auf ok.

für den ie musst du die zugriffe halt auf den internet explorer frei geben, ich denke prinzip ist klar.
rate den leuten außerdem pws zu endern und auf onlinebanking mit chipcard umzusteigen, die bank macht so was meist vergünstigt, möglichst klasse3 lesegeräte, keine klasse1 leser, die sind misst.
aja, konfiguriere die windows updates so, das sie automatisch geladen werden, du musst immer bedenken, der mensch ist faul, alles was automatisiert, und nützlich ist, ist gut :-)

Zitat:

Zitat von markusg

aja, konfiguriere die windows updates so, das sie automatisch geladen werden, du musst immer bedenken, der mensch ist faul, alles was automatisiert, und nützlich ist, ist gut :-)

Nun denn, ich werde die Infos soweit umsetzen, allerdings muss ich an der einen oder anderen Stelle aufpassen das ich unserem Kunden keinen Schock verpasse.

Die Lösungen die du genannte hast sind auf jeden Fall super, nur es muss ja im realisierbaren Rahmen bleiben und eine Fort Knox Lösung ist wünschenswert würde aber den Kunden schröpfen.

Ich werde Ihn aber auf die Möglichkeiten ansprechen.


So jetzt aber ein dickes Danke schön für die ausführliche Beschreibung.

ok bei windows 7 kannst du ja auf das automatische sichern verweisen, windows 7 kann das von hause aus sehr gut selbst, da sind also 50 € gespart.
bei den backups immer drauf verweisen, dass ne datenrettung gut und gern n paar tausend € kosten kann, und daher ne backupsoftware immer die billigere wahl ist.
sandboxie kostet ja nur einmal im gesammten leben 30 €
du kannst die browser dann über den erzwungenen programmstart in der sandbox starten lassen, so kommts zu keinen verwechslungen, der rest ist ja kostenlos den ich genannt hab. ne anleitung für avira, falls du das häufiger verwendest, kann ich dir ebenfalls noch geben.

aja die lesegeräte habe ich vergessen. man muss den leuten einfach klar machen, das hier eine ganze industrie steckt, also bei den malware-schreibern, diese haben fähige köpfe in ihren reihen die sich immer neue methoden ausdenken um an daten zu kommen. deswegen muss man einfach mit der zeit gehen und sich anpassen und das pin/tan verfahren ist nicht sicher, genauso wie das sms-tan verfahren, es gibt bereits handy malware.
hatte zwar erst einen fall, aber das wird noch :-) also bleiben nur card reader.
Kartenlesegerät ? Wikipedia
die klasse1 geräte sind nichts, keine tastatur, kein nichts.
der vorteil bei geräten mit tastatur, display, ist das man die transaktion komplett am gerät macht und ein trojaner der evtl. auf dem pc schlummert die daten nicht abgreifen kann. das ist bisher die beste methode und ebenfalls ihr geld wert.

So dann danke ich dir an dieser Stelle für die Informationen!

jeder zeit gern, meld dich bei problemen