Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Sparkassen-Trojaner / Evtl. Proxy-Problem (https://www.trojaner-board.de/98643-sparkassen-trojaner-evtl-proxy-problem.html)

Irian 03.05.2011 14:26
Sparkassen-Trojaner / Evtl. Proxy-Problem
 
Hallo,

meine Freundin hat sich einen Trojaner eingefangen, der - in schlechter Formatierung - nach ihren TAN fragte. Da meine Freundin natürlich nicht bescheuert ist, war das ein Alarmsignal und das Konto wurde erstmal gesperrt. Nach nem Komplett-Scan von AVP, ein wenig rumspielen und der Benutzung von SpyBot S&D, scheint der Trojaner wenigstens nicht mehr aktiv zu sein (die Meldung kommt nicht mehr). Allerdings wollte ich nun noch Pecunia PSI drauf hauen, damit sie die Programme halbwegs auf dem Laufenden halten kann, aber dieses meldet, dass es keine Verbindung bekommt - die Homepage geht allerdings und auf nem anderen Rechner im gleichen Netz klappt es auch. Da die Fehlermeldung jedoch darauf hinweist, dass es mit Proxy derzeit nicht geht, aber ich weder in Firefox noch in Windows einen konfigurierten Proxy gefunden habe, hege ich die Befürchtung, dass da doch noch nicht alles sauber ist.

Nebenbei: Es gibt auch eine c:\SystemData\SystemData.exe, die nicht mehr automatisch startet, aber leider kann ich auf das Verzeichnis nicht zugreifen, um es endgültig zu löschen...

So, Scans von MAM und OLT hängen dran, wir wären wirklich dankbar, wenn da jemand mal drüber schauen und etwas Hilfestellung geben könnte.

markusg 03.05.2011 15:12
ich möchte mir hier noch was ansehen, aber bei einem solchen befall, spyeye, ist das einzig richtige was wir dann tun können, neu aufsetzen und dann den pc richtig absichern.
wir können nämlich nicht garantieren dass wir das system sauber bekommen
ich möchte aber noch malware einsammeln um sie einzusenden.
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Irian 03.05.2011 15:54
So, anbei mal das ComboFix-Logfile.

Leider wird das mit Neu-Aufsetzen etwas schwierig, insb. macht mir Sorgen, dass meine Holde eine recht extensive Oblivion-Installation gerne behalten würde, die neu zusammenzustellen fast unmöglich wäre, d.h. man müßte einiges an Daten (und Programmen) von der alten Festplatte kopieren, was vermutlich den Gag an ner Neuinstallation in Frage stellt, oder?

markusg 03.05.2011 16:02
erst mal folgendes.
öffne arbeitsplatz c: rechtsklick qoobox, mit winrar oder zip packen, hochladen.
http://www.trojaner-board.de/54791-a...ner-board.html
in unserm upload channel.
jetzt reden wir übers formatieren.
wer auf seinem pc so wichtige daten hatt, muss sich halt auch vorher mal kümmern, dass ein backup programm läuft.
jetzt ist es nun mal so, das ihr einen spyeye trojaner auf dem pc habt, dieser kann umfangreiche enderungen am pc vornehmen.
dies bedeutet, das evtl. verstedckt malware laufen kann, die wir nicht finden, oder malware nach instaliert werden kann, aufgrund verenderter einstellungen.
diese ist dann vllt nicht so "nett" und fordert die tans, sondern leitet die verbindung einfach um und gaukelt euch eine gemachte überweisung vor, während dessen wird euer konto leer geräumt.
wenn sie mit diesem risiko leben kann, ist das für mich ok und wir machen weiter, außerdem beglückwünsche ich sie, denn sie scheint dann genügend geld zu haben.
wenn sie das nicht kann, ist der einzige weg, sich jetzt mal die arbeit zu machen und dann den pc vernünftig, das heißt auch mit backup strategie, abzusichern, wofür es hier hilfe gibt.
gesichert werden können keine ganzen programme, durchaus aber, falls aus legalen quellen stammend, instalations dateien und private dateien.

Irian 03.05.2011 16:13
Erledigt. Es gab beim BackEnv/* eine Fehlermeldung, dass er nicht darauf zugreifen darf.

Gut, also format c: und eine Neuinstallation. Was an Daten kann/darf man im aktuellen Zustand noch sichern, ohne damit die neue Installation wieder zu gefährden?

markusg 03.05.2011 16:16
erst mal danke für den upload.
folgendes darf gesichert werden:
- instalationsdateien, nur was aus legalen quellen kommt, nichts aus filesharing warez und sonstigen illegalen seiten.
keine keygens etc.
- dokumente musik bilder, lizenzen etc, alles dass kann gesichert werden.
wir prüfen das sicherheitshalber auf dem neuen system, wenn es fertig konfiguriert ist.

Irian 03.05.2011 16:20
KeyGens, etc. dürften meines Wissens ohnehin keine drauf sein, das riskanteste sind in dem Bezug wohl einige Trainer für andere Spiele.

Ist es sinnvoll, sich einfach eine neue Platte zu kaufen, da sauber drauf zu installieren, das System abzusichern und nachher dann das "sichere" Zeug von der alten Platte rüberzukopieren, also quasi die alte Platte als Backup zu benutzen? Oder riskiert man damit auch schon wieder ne Infektion?

Ansonsten: Danke schonmal, gibts wertvolle Hinweise, was zu beachten ist? Der Computer ist natürlich inzwischen vom Netz und bleibt auch vom Netz, bis wir da wieder halbwegs sicher sind.

markusg 03.05.2011 16:25
du brauchst keine neue platte zu kaufen.
also wenn überhaupt würde ich die neue platte als backup platte nehmen.
trainer, so lange sie vom hersteller und nicht von irgendwelchen foren oder so kommen sind ok.
auch rapit share und andere quellen sind nicht vertrauenswürdig, jeder kann da sein zeug hochladen.
du kannst also die platte formatieren, hinweise gibts, wenn wir mit der instalation los legen, falls sich zwischendurch noch fragen ergeben.
möchte das gern in reihenfolge durcharbeiten, wenn du nichts dagegen hast :-)

Irian 03.05.2011 16:29
Nein, offizielle Trainer sind das sicher keine, sondern eben aus Foren. Problem bei Oblivion dürfte werden, dass da fast jedes Spieler-Mod ein Problem sein könnte, rein potentiell.

Erstmal muß ge-backuped werden, das wird wohl etwas dauern, dann kommen wir zu format c: :-) Danke schonmal.

markusg 03.05.2011 16:35
ja, solche geschichten sind immer ein potentielles risiko.
wenn da jemand ne datei erstellt, weist du nicht was der damit vllt zusätzlich beabsichtigt
es ist wie im richtigem leben auch man sollte da immer misstrauisch sein wenn einem da besonders große versprechen gemacht werden

Irian 03.05.2011 16:44
Die große Frage, die sich meine Holde nun halt stellt, lautet: Wie sicher kriegt man so ein System überhaupt jemals? Kann man ein Windows so sicher kriegen, dass man auch mal Oblivion-Mods, etc. runterladen kann, ohne dann nicht mehr ruhig schlafen zu können?
In jedem Fall ist sie nun am Zeug sichern und trauert um die massiv gemoddete Oblivion-Installation.

markusg 03.05.2011 16:48
kommt drauf an wo man sie läd, kenne diese reihe persönlich nicht, aber die seite hier scheint doch recht proffessionell
planetoblivion.de
man kann mit windows schon ein hohes maß an sicherheit erreichen, ein 100 %ig sicheres system gibt es nicht.
da aber in zukunft ein backup programm zu ihrer ausrüstung, nicht im spiel :-), gehören wird, ist das dann natürlich leichter zu verkraften wenn mal was passiert.
außerdem sollte sie, ein programm namens sandboxie nutzen, in dem man ebenfalls programme testen kann.
dies aber später. da erkläre ich das dann genauer
ich will euch ja auch nichts vermiesen oder so, nur zur vorsicht mahnen.

Irian 03.05.2011 17:13
Gibt es keine halbwegs sichere Möglichkeit zu überprüfen, ob ein Daten-Verzeichnis (also keine ausführbaren Dateien, sondern nur "installierte" Mod-Files) "sicher" ist? Dann könnte man zumindest das /data Verzeichnis von Oblivion retten. Das fände ich persönlich echt toll - dann würde ich mir ne traurige Freundin ersparen :-)

markusg 03.05.2011 17:24
sichere es mal mit, wir prüfen es dann.

Irian 03.05.2011 21:18
Ok, sie ist nun fleissig am sichern, da stellt sich nun die erste Frage, da ich derweil die Installation hier vorbereite:

Windows XP oder Windows 7? Was ist besser abzusichern? Lizenzen habe ich glücklicherweise für beides, also freie Auswahl... Der Computer ist nicht mehr ganz frisch, aber ich denke mal, er veträgt Windows 7 noch. Allerdings ist es auch nicht notwendig für irgendwas bestimmtes, ausreichen würde also XP locker. Freie Auswahl also, je nachdem, was besser geeignet ist :-)

markusg 04.05.2011 10:16
nimm halt das womit sie gut klar kommt ich kann das ja schlecht für euch auswählen. ich persönlich find win7 gut :-)

Irian 05.05.2011 13:23
Ok, meine Holde meinte, sie kennt Windows XP, also bleibts dabei. Irgendwas wichtiges bei der Installation zu beachten? Ich habe hier ein Windws XP Prof., SP3, deutsche Version...

markusg 05.05.2011 13:55
bei der formatierung drauf achten, das die normale, nicht die schnelle formatierung gewählt wird.
den pc dann wie folgt absichern nach instalation von windows + drivers
ich weis, das sich da einige umstellungen und fragen ergeben könnten, aber das ist im prinzip alles leicht zu erlernen und umzusetzen, und bei fragen stehe ich zur verfügung
http://www.trojaner-board.de/96344-a...-rechners.html
hier alle!! tipps für xp abarbeiten.
anmerkungen meiner seits:
avira genauestens nach anleitung instalieren:
http://www.trojaner-board.de/54192-a...tellungen.html
achte darauf, das der auftrag im planer wirklich über lokale laufwerke läuft, sonst werden scan einstellungen nicht gültig.
unter avira, konfiguration, Guard, Suche, weitere Aktionen die autostart überwachung deaktivieren.


als browser solltest du den opera nutzen, er ist sicherer und schneller.
wenn er dir nicht gefällt passe ich meine anleitung für den ff an.
um das surfen sicherer zu machen, würde ich sandboxie empfehlen.
Download:
http://filepony.de/download-sandboxie/
anleitung:
Sandbox*Einstellungen |

(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.

bitte ab sofort anstelle des browser symbols nur noch das sandboxed web browser symbol anklicken.
eine sandbox ist eine vom system isoliert arbeitene umgebung, wenn hier ein schadprogramm reingelangt, läuft es im besten falle nicht, da wir die sandbox eingeschrenkt haben, oder es läuft, kommt aber nicht raus.
kenne keine malware, die das im moment kann.
dieses konzept muss, um die maximale wirkung zu erreichen, komplett umgesetzt werden.
hier greifen nämlich mehrere maßnamen.
- updates von windows.
durch das automatische updaten von windows werden jeden monat sicherheitslücken geschlossen durch die man schadcode einschläusen kann.
- updates mit secunia und file hippo.
diese programme helfen dir, die gesammte restliche software aktuell zu halten, auch hier werden lücken geschlossen, durch die angreifer schadcode einschläusen
wir nutzen 2 programme zum prüfen auf updates, um definitiv alle abzudecken.
die updates sollten immer sofort instaliert werden.
hiermit wird einem potentiellen angreifer die möglichkeit genommen schadcode einzuschläusen.
natürlich gibts immer unbekannte, bzw bekannte aber noch nicht geschlossene lücken.
deswegen:
eingeschrenktes nutzerkonto: dieses konto ist für die tägliche arbeit, das admin konto nur für instalationen.
hier werden programme mit eingeschrenkten rechten ausgestattet, somit wird malware die möglichkeit erschwert, sich im system festzusetzen.
uac:
die uac gibt dir kontrolle über prozesse die gestartet werden sollen, bitte meldungen genau lesen und im zweifelsfalle auf nein klicken.
dep und sehop tun dies ebenfalls.
- sandboxie ist ein wichtiger bestandteil, auf den ich schon eingegangen bin.
- avira:
auf ein antimalwareprogramm sollte man, zu mindest als einzellösung sich nicht verlassen.
es gibt jeden tag rund 50000 neue malware variannten, da kommt kein hersteller hinterher.
es ist aber, mit den anderen getroffenen maßnamen durchaus nützlich, wenn es, nach der geposteten anleitung konfiguriert, und damit auch immer aktuell ist.
das backup:
dieses kannst du nutzen, wenn:
- malware auf dem system ist
- es andere probleme mit dem pc gibt.
mit dem backup wird das system auf einen sauberen zustand wiederhergestellt, also führe es regelmäßig aus, dann hast du keine daten verlusste.
alle benötigten verknüpfungen fürs eingeschrenkte konto nach
c:\benutzer\Default\desktop bzw \startmenü
kopieren. so sind sie für alle sichtbar
wenn du fragen hast, probleme, oder erfolgreich warst, melde dich bitte.
alle benötigten verknüpfungen fürs eingeschrenkte konto nach

Irian 05.05.2011 14:38
Klingt gut, danke dir. Firefox wäre allerdings tatsächlich wünschenswert, damit hat sie schon Erfahrung (und ich ebenso, erspart es, zwei verschiedene Programme zu haben).

Wie steht es mit sowas wie SpyBot S&D? Schlangenöl oder evtl. doch hilfreich?

markusg 05.05.2011 14:43
mir gefällts nicht.
ich denke die anderen getroffenen maßnamen werden ausreichen.
da wir von schlangenöl sprechen, auch kein tune super duper zeug (misst) :-)
instaliere für den firefox noscript und adblock+
sandboxie:
um das surfen sicherer zu machen, würde ich sandboxie empfehlen.
Download:
http://filepony.de/download-sandboxie/
anleitung:
Sandbox*Einstellungen |
(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar.
den direkten datei zugriff bitte auf firefox.exe und plugin-container.exe
beschrenken, hier kannst du auch noscript und andere plugins eintragen.
geht auch unter
c:\windows\sandboxie.ini
unter dem eintrag defauld box
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini
bei
Internetzugriff:
firefox.exe und
plugin-container.exe
eintragen
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, firefox.
direkten zugriff auf lesezeichen erlauben auswählen und auf hinzufügen klicken, dann auf ok.
wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.

Irian 10.05.2011 12:30
So, im großen und ganzen ist das alles gemacht (das Programm zum USB-desinfizieren ließ sich leider nicht runterladen, k.A. wieso).
Allerdings hat Antivir auf dem USB-Stick, auf dem ich einige Treiber hatte, in einem .zip Archiv den SpyEye gefunden. Das Archiv wurde todsicher benutzt und nun stellt sich natürlich die Frage, ob die ganze Aktion nicht evtl. völlig fürn Hintern war... (Und ob mein Rechner nicht evtl. auch infiziert ist, aber das wird ein neuer Thread).


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:56 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131