Hallo liebe Foren-Gemeinde.

Ich bin neu hier und habe bereits die Suchfunktion benutzt, habe aber keine konkrete Antwort auf meine Fragen gefunden.

Ich muss ein bisschen ausholen, damit man mir besser folgen kann.

Eigens für Facebook habe ich mir eine eMail-Adresse angelegt, die ich sonst nirgends angegeben habe. Aus diesem Grund checke ich dort eher selten die eMails. Heute war es mal wieder soweit und mir fiel eine eMail auf, die von GMX stammt. Ich habe sie etwas abgekürzt:

[...]Ihr Account: xx@gmx.de
Unsere Referenz: [Ticket xx]
Hinweis: Ihr Name in der Anrede zeigt Ihnen, dass diese Nachricht tatsächlich
von GMX verschickt wurde.

Sehr geehrte/r Frau xx,

Sie erhalten heute eine dringende Nachricht zu Ihrem GMX Account
xx@gmx.de und der Sicherheit Ihrer persönlichen Daten.

Unser Team von Sicherheitsexperten hat zwei wichtige Informationen für Sie:

- Ein Virus hat das Passwort zu Ihrem GMX Account ausgespäht.

- Dieser Virus heißt "spyeye" und befindet sich wahrscheinlich
auf Ihrem Computer. [...]

Die eMail ist fast eine Woche alt. Kann dieser Virus bereits etwas an meinem Rechner gemacht haben? Ich habe kaum Ahnung von Viren und Trojanern, aber ich lasse regelmäßig meinen PC über AntiVir checken.

Momentan läuft AntiVir noch und ich habe bereits 9 Funde (!)

Ich bin gerade total verunsichert und habe sämtliche Passwörter geändert (außer für das Online-Banking, da die Bank natürlich geschlossen hat). Aber bringt das etwas? Der PC ist ja bereits infiziert. Muss ich den PC vorher formatieren? Mein Partner und ich teilen uns diesen Rechner. Ist sein Online-Banking dann auch gefährdet? Wie merke ich, ob meine Daten gestohlen worden sind?

Ich werde den Fund gleich genauer posten. Braucht ihr auch sowas wie eine Log-File? Wie erstelle ich die? Wie gesagt, ich kenne mich wirklich kaum aus.

Brauche etwas Beruhigung, deswegen dieser vorläufige Post.


Lieben Gruß,

Mel



EDIT: Hier das Protokoll:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 17. August 2011 21:18

Es wird nach 3259297 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : Meli
Computername : SAMSUNG

Versionsinformationen:
BUILD.DAT : 10.2.0.700 Bytes 21.07.2011 16:49:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 28.06.2011 15:45:13
AVSCAN.DLL : 10.0.5.0 57192 Bytes 28.06.2011 15:45:13
LUKE.DLL : 10.3.0.5 45416 Bytes 28.06.2011 15:45:14
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 28.06.2011 15:45:14
AVREG.DLL : 10.3.0.9 88833 Bytes 16.07.2011 18:44:35
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 15:17:45
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 20:44:16
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 15:18:14
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 21:07:30
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 18:20:01
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 19:17:37
VBASE007.VDF : 7.11.13.61 2048 Bytes 16.08.2011 19:17:37
VBASE008.VDF : 7.11.13.62 2048 Bytes 16.08.2011 19:17:37
VBASE009.VDF : 7.11.13.63 2048 Bytes 16.08.2011 19:17:37
VBASE010.VDF : 7.11.13.64 2048 Bytes 16.08.2011 19:17:37
VBASE011.VDF : 7.11.13.65 2048 Bytes 16.08.2011 19:17:37
VBASE012.VDF : 7.11.13.66 2048 Bytes 16.08.2011 19:17:37
VBASE013.VDF : 7.11.13.95 166400 Bytes 17.08.2011 19:17:37
VBASE014.VDF : 7.11.13.96 2048 Bytes 17.08.2011 19:17:37
VBASE015.VDF : 7.11.13.97 2048 Bytes 17.08.2011 19:17:37
VBASE016.VDF : 7.11.13.98 2048 Bytes 17.08.2011 19:17:37
VBASE017.VDF : 7.11.13.99 2048 Bytes 17.08.2011 19:17:37
VBASE018.VDF : 7.11.13.100 2048 Bytes 17.08.2011 19:17:37
VBASE019.VDF : 7.11.13.101 2048 Bytes 17.08.2011 19:17:38
VBASE020.VDF : 7.11.13.102 2048 Bytes 17.08.2011 19:17:38
VBASE021.VDF : 7.11.13.103 2048 Bytes 17.08.2011 19:17:38
VBASE022.VDF : 7.11.13.104 2048 Bytes 17.08.2011 19:17:38
VBASE023.VDF : 7.11.13.105 2048 Bytes 17.08.2011 19:17:38
VBASE024.VDF : 7.11.13.106 2048 Bytes 17.08.2011 19:17:38
VBASE025.VDF : 7.11.13.107 2048 Bytes 17.08.2011 19:17:38
VBASE026.VDF : 7.11.13.108 2048 Bytes 17.08.2011 19:17:38
VBASE027.VDF : 7.11.13.109 2048 Bytes 17.08.2011 19:17:38
VBASE028.VDF : 7.11.13.110 2048 Bytes 17.08.2011 19:17:38
VBASE029.VDF : 7.11.13.111 2048 Bytes 17.08.2011 19:17:38
VBASE030.VDF : 7.11.13.112 2048 Bytes 17.08.2011 19:17:38
VBASE031.VDF : 7.11.13.117 70656 Bytes 17.08.2011 19:17:38
Engineversion : 8.2.6.32
AEVDF.DLL : 8.1.2.1 106868 Bytes 09.12.2010 18:17:50
AESCRIPT.DLL : 8.1.3.74 1622393 Bytes 17.08.2011 19:17:42
AESCN.DLL : 8.1.7.2 127349 Bytes 09.12.2010 18:17:50
AESBX.DLL : 8.2.1.34 323957 Bytes 04.06.2011 21:07:38
AERDL.DLL : 8.1.9.13 639349 Bytes 16.07.2011 18:44:34
AEPACK.DLL : 8.2.9.5 676214 Bytes 16.07.2011 18:44:33
AEOFFICE.DLL : 8.1.2.13 201083 Bytes 17.08.2011 19:17:41
AEHEUR.DLL : 8.1.2.155 3617144 Bytes 17.08.2011 19:17:41
AEHELP.DLL : 8.1.17.7 254327 Bytes 17.08.2011 19:17:39
AEGEN.DLL : 8.1.5.7 401778 Bytes 17.08.2011 19:17:39
AEEMU.DLL : 8.1.3.0 393589 Bytes 09.12.2010 18:17:50
AECORE.DLL : 8.1.22.4 196983 Bytes 16.07.2011 18:44:28
AEBB.DLL : 8.1.1.0 53618 Bytes 09.12.2010 18:17:50
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.3.2 44904 Bytes 28.06.2011 15:45:13
AVREP.DLL : 10.0.0.10 174120 Bytes 20.05.2011 15:18:15
AVARKT.DLL : 10.0.26.1 255336 Bytes 28.06.2011 15:45:13
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 28.06.2011 15:45:13
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 28.06.2011 15:45:13
RCTEXT.DLL : 10.0.64.0 98664 Bytes 28.06.2011 15:45:13

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\alldrives.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Mittwoch, 17. August 2011 21:18

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NPSAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVD8Serv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Users\Meli\AppData\Roaming\Tuet\xoukx.exe
[FUND] Ist das Trojanische Pferd TR/Gendal.kdv.299945
C:\sdhifshdhfj\E449B406CC7.exe
[FUND] Ist das Trojanische Pferd TR/EyeStye.N.1289

Die Registry wurde durchsucht ( '500' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\sdhifshdhfj\E449B406CC7.exe
[FUND] Ist das Trojanische Pferd TR/EyeStye.N.1289
C:\Users\Meli\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0\43296140-33b039e3
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Tharr.C.1
C:\Users\Meli\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23\5ab40f57-25b519ce
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Tharra.G
C:\Users\Meli\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27\7061701b-3b1af469
[0] Archivtyp: ZIP
--> vload.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Stutter.J
--> vmain.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Stutter.I
--> b.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0094.D
C:\Users\Meli\AppData\Roaming\Tuet\xoukx.exe
[FUND] Ist das Trojanische Pferd TR/Gendal.kdv.299945
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.

Beginne mit der Desinfektion:
C:\Users\Meli\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27\7061701b-3b1af469
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0094.D
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b87897f.qua' verschoben!
C:\Users\Meli\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23\5ab40f57-25b519ce
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Tharra.G
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '533ca6e9.qua' verschoben!
C:\Users\Meli\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0\43296140-33b039e3
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Tharr.C.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '01b3fc33.qua' verschoben!
C:\sdhifshdhfj\E449B406CC7.exe
[FUND] Ist das Trojanische Pferd TR/EyeStye.N.1289
[HINWEIS] Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\0A6VZJ5HYGZD4DZBBBENAIWJA> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2339853823-2107313754-116825072-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\0A6VZJ5HYGZD4DZBBBENAIWJA> wurde erfolgreich repariert.
[HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[HINWEIS] Die Datei existiert nicht!
C:\Users\Meli\AppData\Roaming\Tuet\xoukx.exe
[FUND] Ist das Trojanische Pferd TR/Gendal.kdv.299945
[HINWEIS] Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{64F225C3-EECD-569A-6BAA-ABB946DB2FEB}> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xoukx.exe> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2339853823-2107313754-116825072-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{64F225C3-EECD-569A-6BAA-ABB946DB2FEB}> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2339853823-2107313754-116825072-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xoukx.exe> wurde erfolgreich repariert.
[HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[HINWEIS] Die Datei existiert nicht!


Ende des Suchlaufs: Mittwoch, 17. August 2011 22:56
Benötigte Zeit: 1:37:04 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

30071 Verzeichnisse wurden überprüft
736144 Dateien wurden geprüft
9 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
736135 Dateien ohne Befall
9919 Archive wurden durchsucht
0 Warnungen
5 Hinweise

Machst du Onlinebanking oder ähnliche kritische Dinge mit diesem PC unter dieser verseuchten Windows-Installation?

Ja (steht auch im Post ;-)). Habe das Passwort geändert. Nutze auch das Chip-Tan-Verfahren, was ja sehr sicher sein sollte, oder?


EDIT: Ich sehe gerade, dass du bei solchen Posts immer dasselbe schreibst. Ich hoffe du antwortest nachher nicht mit

Bei Onlinebanking solltest du generell sehr vorsichtig sein und überlegen ob du den Kompromiss einer Bereinigung wirklich eingehen willst.
Normalerweise empfiehlt man bei sowas eine Neuinstallation von Windows.

;-)

Zitat:

Ich hoffe du antwortest nachher nicht mit

Bei Onlinebanking solltest du generell sehr vorsichtig sein und überlegen ob du den Kompromiss einer Bereinigung wirklich eingehen willst.
Normalerweise empfiehlt man bei sowas eine Neuinstallation von Windows.

Ja was soll ich denn sonst antworten?
Meinst du bei deinem Rechner gelten bestimmte Prinzipien nicht?
Onlinebanking ist nun mal eine sehr heikle Angelegenheit auf verseuchte bzw. bereinigte Rechner!

Sorry, wollte dich nicht angreifen. Meine Frage war ja, ob etwas passieren kann, obwohl ich das Chip-Tan-Verfahren nutze?

chipTAN als Schutz

Immer mehr Banken gehen dazu über, Online-Banking durch zusätzliche Hardware mit dem chipTAN-Verfahren abzusichern. Der Kunde erhält einen TAN-Generator, in den er seine normale EC-Karte wie einen Schlüssel einsteckt. Wenn er einen Online-Banking-Auftrag erstellt, wird eine an diesen Auftrag gebundene und für wenige Minuten gültige TAN erzeugt und auf dem Gerät angezeigt. Die TAN kann auch nicht von einem Trojaner missbraucht werden, da sie fest an den zuvor erfassten Auftrag gebunden ist. Obwohl SpyEye und ZeuS ihre Codierung ständig ändern und damit schwer zu entdecken sind, ist es zum Schutz gegen solche Trojaner und Botnetze wichtig, stets aktuelle Antiviren-Software auf dem Computer einzusetzen. Sie wehrt viele Viren, Trojaner und die meisten anderen Bedrohungen ab.

Quelle: hxxp://computer.t-online.de/trojaner-spyeye-pluendert-das-konto-binnen-20-sekunden/id_44927698/index

Es ist einfach nicht sinnvoll weiterhin so kritische Sachen wie Onlinebanking zu machen wenn der Rechner wurde.

Zitat:

Die TAN kann auch nicht von einem Trojaner missbraucht werden, da sie fest an den zuvor erfassten Auftrag gebunden ist.

Hat wer in Stein gemeißelt? Wer sagt dass zukünftige Varianten das nicht können?
Ich jedenfalls bleibt bei der Empfehlung einer Neuinstallation wegen des Onlinebankings.