Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Tipps zum Thread "Sparkassen - Trojaner: Kartennummer und PIN eingeben" (https://www.trojaner-board.de/98431-tipps-thread-sparkassen-trojaner-kartennummer-pin-eingeben.html)

PeteF 28.04.2011 20:13
Tipps zum Thread "Sparkassen - Trojaner: Kartennummer und PIN eingeben"
 
Hi,

also ich verstehe wirklich nicht, warum es einem verboten ist, in fremden Themen zu antworten. Da ich zum folgenden Thread zumindest einen Lösungsansatz habe, poste ich ihn hier. Wenn ein Admin den in den entsprechenden Thread übertragen kann, gut. Wenn nicht, könnt ihr gerne diesen Thread und meinen Benutzer löschen.

Tipp zum Thema:
http://www.trojaner-board.de/thema/sparkasse.html

Der Trojaner schreibt Javascript Code in den Quelltext der Webseite, wenn man eine Sparkassenseite aufruft. Dieses Javascript fordert den Benutzer nach Anklicken des "Anmelde"-Button erstmal zur Eingabe von Kartennummer und PIN auf (siehe Screenshot im Thread).
Ich glaube, dass die Datei "Netpacker.exe" (ich bin beim Namen nicht ganz sicher, da ich sie nicht mehr habe) im Verzeichnis
C:\Dokumente und Einstellungen\IhrBenutzername\Anwendungsdaten\NetCodec
dafür verantwortlich ist. Löscht man diese Datei, killt entsprechende Prozesse mit dem Taskmanager (ich weiß nicht mehr, welcher Prozess am Ende verantwortlich war => abgesicherter Modus wäre sicher die einfachere Lösung), entfernt den entsprechenden Startaufruf aus dem "msconfig" und startet dann neu, so ist das Problem behoben. Löscht man nur die Datei (ohne den entsprechenden Prozess zu killen) helfen auch Löschen und Austragen aus msconfig nichts, da die Datei beim Neustart wieder da ist...

Ich hoffe, das hilft den Betroffenen oder Helfern (zumindest erstmal) weiter.

VG

Larusso 28.04.2011 20:54
UNd genau das ist der Grund.

Zitat:
ich bin beim Namen nicht ganz sicher, da ich sie nicht mehr habe
killt entsprechende Prozesse mit dem Taskmanager
entfernt den entsprechenden Startaufruf aus dem "msconfig" und startet dann neu
Wie lautet der Name der Datei oder soll man den als normaler User raten ?
Welche Prozesse muss man killen. Seltsam sieht für einen Normalen fast jeder Prozess aus.
Einen Eintrag in die MSconfig setzen ist zwar eine Lösung um das starten zu verhindern, der Eintrag ist denoch in der Registry vorhanden.

Wer keine gezielten Anweisungen geben kann, sollte auch keine geben.
Und wer glaubt, dass man für alles eine "Standard" Lösung hat, sollte diese für sich behalten.

Vl hilft es grob weiter, nur damit ist es heutzutage nicht getan. Nur weil die Symptome weg sind, bedeutet das nicht, dass der User in Sicherheit ist.


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:39 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19