Trojaner-Board - Gozi griff auf Mail- und Bank accounts zu

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Gozi griff auf Mail- und Bank accounts zu (https://www.trojaner-board.de/92790-gozi-griff-mail-bank-accounts.html)

Gozi griff auf Mail- und Bank accounts zu

Hallo,

vor ein paar Tagen habe ich festgestellt, dass ich einen Virus auf meinem Rechner habe, da beim Online Banking bei einer Bank ein Popup aufgetaucht ist, welches die Eingabe von 30 PINs gefordert hat. Nach einiger Internetrecherche habe ich mich dazu entschlossen, die Daten zu sichern und den PC neu aufzusetzen, was ich auch vor 3 Tagen gemacht habe. Heute habe ich eine Mail von web.de bekommen, dass vor 2 Tagen ein gozi Virus auf den Mail account zugreifen wollte, und auch 2 Banken haben Unregelmäßigkeiten bestätigt und sicherheitshalber die Konten gesperrt.

So wie es scheint, ist also meine Datensicherung verseucht, oder eines der folgenden Programme, die ich aus dem Internet auf dem neuen PC heruntergeladen habe: Mozilla Thunderbird 3.1.6 & Firefox 3.6.12, Adobe Reader 9, MozBackup 1.4.10 und DeCleaner.

Daher möchte ich versuchen das jetzige System sauber zu kriegen, anstatt nochmals neu zu installieren, außer mir kann jemand helfen die Daten zurückzuspielen ohne mir wieder den Virus einzufangen :(

Ich habe im Anhang die Logfiles von Mbam und OTL angefügt.

Danke schon einmal für jegliche Hilfe!

hi, so ne bearbeitung /brief dauert ja nen paar tage, also wird das von deinem alten befall her rühren.
ich sehe nichts aktuelles.
ich würde dir tipps geben, wie du das system besser absichern kannst.

Hallo, danke erst einmal für die Antwort. Ich habe gerade noch SuperAntiSpyWare laufen lassen, was auch etwas gefunden hat (Log im Anhang). Die letzten Tage war ich auch noch von einem anderen Computer im Internet. Auf diesem habe ich auch die vorgeschlagenen Programm laufen lassen, und hänge in den nächsten Minuten die Logfiles hier an.

Was mich wundert ist, dass ich mein System am 09.11. neu aufgesetzt habe, und am 11.11. von web.de die Mail bekommen habe, dass das System von welchem aus auf web. de zugegriffen wurde am 10.11. um 17:37 benutzt wurde. Es kommen wohl beide von mir benutzten Systeme in Frage.

also das bs sieht gut aus, das sichern wir dann nur noch ab.

Hier die Logs vom 2.System

Und Hilfe zur Absicherung des 1. systems nehmen ich gerne entgegen, dankeschön!

das zweite system ist schlecht abgesichert, es fehlen updates.
aber dazu später.
noch mal zu der web.de mail bzw dem brief. steht da das der unbefugte zugriff am 10. statt fand oder was genau steht dort?

Ich hänge die Mail an diesen Post an, habe nur den Namen unkenntlich gemacht.

ok ich nehme an das das der frisch aufgesetzte pc ist, ich sehe auf jeden fall keine spuren auf pc2
der braucht aber updates, das vista sp2 fehlt.
für pc1 folgendes:
du solltest nur noch als eingeschrenkter nutzer arbeiten , das admin konto ist nur für instalationen gedacht.
klicke start, tippe unter suchen (ausführen) systemsteuerung. wähle dort Benutzerkonten hinzufügen/entfernen.
wähle "neues konto erstellen"
Wähle standard benutzer.

die konten sollten mit einem passwort geschützt werden.
dazu auf konto endern klicken und passwörter vergeben.
dep für alle prozesse:
Datenausführungsverhinderung (DEP)
• "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:".
wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen.

SEHOP aktivieren:
Aktivieren von SEHOP (Structured Exception Handling Overwrite Protection) in Windows-Betriebssystemen
klicke auf "Feature automatisch aktivieren"
und folge den anweisungen

avira genauestens nach anleitung instalieren:
http://www.trojaner-board.de/54192-a...tellungen.html
achte darauf, das der auftrag im planer wirklich über lokale laufwerke läuft, sonst werden scan einstellungen nicht gültig.
unter avira, konfiguration, guard, autostart, haken raus lassen.

als browser solltest du den opera nutzen, er ist sicherer und schneller.
wenn er dir nicht gefällt passe ich meine anleitung für den ff an.
Opera Webbrowser | Schneller & sicherer | Die neuen Internet-Browser kostenlos herunterladen
mit diesem tool lässt sich ein werbeblocker laden
Opera AdBlock Configurator - Freeware - DE - Download.CHIP.eu
zusätzlich kannst du das auch manuell erledigen, falls mal etwas nicht geblockt wird:
Computerbase - Werbung blockieren
auch diese tutorial seite mal ansehen.
Opera Tutorial- Übersicht
hier besonders die abschnitte sicherheit (kookies) und passwort durchlesen

um das surfen sicherer zu machen, würde ich sandboxie empfehlen.
Download:
http://filepony.de/download-sandboxie/
anleitung:
drop.io
(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.

autorun deaktivieren:
über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab.
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
usb sticks, festplatten etc, sollte man mit panda vaccine impfen:
ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY
so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit.
hake an:
hake an:
run panda usb vaccine automatically when computer boots
automatically vaccine any new insert usb key
enable ntfs file suport
8.
Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt.
instaliere die folgenden update checker.
Secunia:
http://www.trojaner-board.de/83959-s...ector-psi.html
und file hippo update checker:
FileHippo.com Update Checker - FileHippo.com
das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok.
dann doppelklicke file hippo, eine Internetseite wird geöffnet, auf der dier die aktuellsten updates gezeigt werden, diese downloaden und instalieren.

Beide programme sollten im autostart bleiben, und sobald eines der programme updates anzeigt sollten diese umgehend instaliert werden.
regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht.
Paragon Backup & Recovery Free Edition - Das Produkt
außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen.
Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden.
Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll.

allgemeines.
- verzichte auf tuning programme, sie bringen nichts.
- keine illegalen downloads.
90 % bringen malware mit sich!
- keine streaming seiten wie kino.to sie verbreiten malware.
- wenn möglich, instalationen immer benutzerdefiniert ausführen, dann kannst du unnötiges zeug abwählen.

online banking:

ich würde zu online banking mit chipcard raten, dazu benötigst du, ein lesegerät, lasse dich von deiner bank beraten, es sollte aber mindestens ein klasse2 lesegerät sein, besser sogar ein klasse3 leser, das sind die besten für den privat kunden.
Kartenlesegerät ? Wikipedia

instaliere jetzt die von dir benötigten programme.

danach, bitte nur noch im standard nutzer konto einloggen, und dort in der sandbox surfen, mit klick auf "sandboxed web browser".
diese einstellungen, sollten dich nun rund um schützen.
du kannst ja noch mal rücksprache mit den jungs halten ob aus ihrer sicht alles klar ist.

Auf PC2 habe ich nun alle wichtigen Updates die Windows empfohlen hat installiert. PC1 hat einen Standardbenutzer, der wurde nur zum Virenscannen nicht neutzt.

PC1 habe ich vor noch einmal neu aufzusetzen, da der Gozi Befall anscheinend nach dem letzten aufsetzen geschah. Ich denke der Virus wurde durch eine Mail, welche durch MozBackup gesichert und wieder aufgespielt wurde auf das System übertragen. Das zumindest meine Vermutung. Daher habe ich nun vor nach dem aufspielen erst einmal alle oben genannten Sicherheitsvorschläge einzupflegen, und dann die Daten zurückzuspielen (ohne die Mails der letzten Wochen).
Könntest du netterweise den Teil der Anleitung für Opera an den FF anpassen? Das wäre wirklich nett!
Beim online banking benutze ich das Handy-TAN Verfahren. Das sollte auch sehr sicher sein, oder?

Einen schönen Abend noch allen.

als adon noscript, es werden dadurch einige scripts (java) zb blockiert, du kannst diese dann frei geben, in dem du auf der seite, die freigegeben werden
soll, nen rechtsklick machst, noscript wählst, und temporär alle berectigungen aufheben wählst, somit werden sie für den besuch aufgehoben, oder alle beschrenkungen
aufheben, somit wird die seite freigegeben. das kann man natürlich wieder rückgängig machen.
http://filepony.de/download-noscript//
adblock+ um werbung zu blockieren:
http://filepony.de/download-adblock_firefox//
hier gibt es noch filterlisten:
Bekannte Filterlisten für Adblock Plus
hier würde ich 2 oder 3 deutsche filter auswählen.
unter sonstiges die malware blocklist.

sandbox:
den direkten datei zugriff bitte auf firefox.exe und plugin-container.exe
beschrenken, hier kannst du auch noscript und andere plugins eintragen.
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini
bei
Internetzugriff:
firefox.exe und
plugin-container.exe
eintragen
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, firefox.
direkten zugriff auf lesezeichen erlauben auswählen und auf hinzufügen klicken, dann auf ok.

Danke für die ganzen Tipps und die Hilfe.
Ich habe jetzt alles wie oben beschrieben eingerichtet, nur sandboxie noch nicht, da ich nicht an die Anleitung auf der drop.io Seite komme. Wenn ich dort auf herunterladen klicke, erscheint eine Seite, in der ich den Text aus einem Bild abschreiben soll, jedoch wird mir kein Bild angezeigt.

versuchs mal mit dem internet explorer.