Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Gefährlicher Hackerangriff?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 29.07.2012, 14:41   #1
hallohallo1
 
Gefährlicher Hackerangriff? - Standard

Gefährlicher Hackerangriff?



Hi!

Ich habe gestern einen Brief von der Telekom bekommen in dem mir mitgeteilt wurde, das von meinem Computer aus Hackerangriffe gemacht werden würden.

Ich habe jetzt die hier genannten Schritte befolgt.

1. Defogger hat eine Fehlermeldung angezeigt

Code:
ATTFilter
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 14:43 on 29/07/2012 (Fabian)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
HKCU:DAEMON Tools Lite -> Removed

Checking for services/drivers...
Unable to read sptd.sys
SPTD -> Disabled (Service running -> reboot required)


-=E.O.F=-
         
2. OTL hat aus irgendeinem Grund nur die OTL.txt erstellt und nicht die extra.txt zusätzlich.
Was könnte falsch gelaufen sein?

Bei GMER habe ich nicht verstanden, ob ich jetzt die Haken bei allen Festplatten (es war nur C markiert) wegmachen oder hinzufügen soll. Ich habe sie jetzt weg gemacht.
Und bei "show all" stand es soll abgehackt sein. Heißt das es muss ein Häkchen dort sein? (Ich habe eins gemacht)


Im Anhang sind jetzt nur noch die otl.txt und gmer.




Hoffe das habe ich bis jetzt alles richtig gemacht.

LG

Alt 30.07.2012, 14:12   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Gefährlicher Hackerangriff? - Standard

Gefährlicher Hackerangriff?



Zitat:
Ich habe gestern einen Brief von der Telekom bekommen in dem mir mitgeteilt wurde, das von meinem Computer aus Hackerangriffe gemacht werden würden.
Du hast auch die Authentizität des Briefes, der angeblich von der Telekom ist, verifiziert?
__________________

__________________

Alt 30.07.2012, 14:54   #3
hallohallo1
 
Gefährlicher Hackerangriff? - Standard

Gefährlicher Hackerangriff?



Ich habe gerade mal angerufen unter der Technischen Hilfehotline und da konnte man mir nicht wirklich helfen.
Es ging ein Mann ans Telefon, der nach 3 Sekunden bereits bestätigt hat, dass von unserem Anschluss diese Angriffe getätigt werden (Ist das nicht etwas arg schnell um das nachzuschauen im Computer)
Helfen konnte dieser allerdings nicht. Er konnte mir nicht mal sagen, wann diese ominösen Angriffe denn getätigt wurden.
Er meinte er sei nur dafür zuständig das NortonService Paket zu verkaufen / installieren für 80 Euro und ich solle mich doch bei der angegebenen abuse-email-adresse melden. (Das hat er nicht mal Englisch ausgesprochen)

Ich soll jetzt an "abuse@telekom.de" mein Problem schreiben und meine T-Online Nummmer (Die steht auch auf dem Brief drauf ) mit der Abuse-Id

Soll ich das wirklich tun? Ich bin mir auch nicht so sicher, ob das alles so seriös ist.

Ich mach mich jetzt mal auf den Weg zum Telekom-Laden und schaue mal, was die mir sagen!

So. Nun war ich auch mal im Laden.
Die meinten der Brief wäre garantiert echt von der Telekom.

Ich solle zuerst mal auf die Seite "dns-ok.de" gehen und da mein System checken lassen.
Was ich getan habe. Alles im grünen Bereich.
__________________

Alt 30.07.2012, 19:18   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Gefährlicher Hackerangriff? - Standard

Gefährlicher Hackerangriff?



Zitat:
Er meinte er sei nur dafür zuständig das NortonService Paket zu verkaufen / installieren für 80 Euro
LOL

Ne, lass das mal sein, eigentlich ist das eine Frechheit der Telekom, aber was soll man machen, wenn man schon als Riesenkonzern auch noch mit so einem Softwaregiganten wie $ymantec kooperiert, kann ja nur das Leermelken und dumm verkaufen von Kunden herauskommen

Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!




ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
         
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 31.07.2012, 15:10   #5
hallohallo1
 
Gefährlicher Hackerangriff? - Standard

Gefährlicher Hackerangriff?



Hi.

Also ich habe hier 21 Log-Dateien bei Malwarebytes. Ich poste mal die 3 neusten. Ok?

1. (neustes)
Code:
ATTFilter
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.30.10

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Fabian :: FABIAN-PC [Administrator]

30.07.2012 21:01:06
mbam-log-2012-07-30 (21-01-06).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|H:\|I:\|J:\|M:\|N:\|Z:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 521522
Laufzeit: 2 Stunde(n), 16 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKCR\CLSID\{DD31495E-290C-41CF-8C66-7415383F82DE} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DD31495E-290C-41CF-8C66-7415383F82DE} (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Fabian\AppData\Roaming\AcroIEHelpe.dll (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
2.
Code:
ATTFilter
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.28.06

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Fabian :: FABIAN-PC [Administrator]

28.07.2012 19:38:00
mbam-log-2012-07-28 (19-38-00).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|H:\|I:\|J:\|K:\|L:\|M:\|N:\|O:\|Z:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 537918
Laufzeit: 2 Stunde(n), 55 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Userinit (Backdoor.Agent) -> Daten: C:\Users\Fabian\AppData\Roaming\appconf32.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\Fabian\Downloads\SoftonicDownloader_fuer_switch-audio-file-converter.exe (PUP.ToolbarDownloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Fabian\AppData\Roaming\appconf32.exe (Backdoor.Agent) -> Löschen bei Neustart.

(Ende)
         
3.
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8210

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

21.11.2011 22:40:30
mbam-log-2011-11-21 (22-40-30).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|H:\|I:\|J:\|K:\|L:\|M:\|N:\|O:\|Z:\|)
Durchsuchte Objekte: 463926
Laufzeit: 2 Stunde(n), 8 Minute(n), 0 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
Falls du alle 21 willst, mache ich das natürlich auch noch.


Eset sagt folgendes:
Code:
ATTFilter
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=7a48f6434ad31d4989117994f2c86a79
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-09-23 10:24:25
# local_time=2011-09-24 12:24:25 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=512 16777215 100 0 33283741 33283741 0 0
# compatibility_mode=1792 16777215 100 0 121041172 121041172 0 0
# compatibility_mode=2560 16777215 100 0 0 0 0 0
# compatibility_mode=5892 16776573 100 100 2194 154333124 0 0
# compatibility_mode=8192 67108863 100 0 173 173 0 0
# scanned=323917
# found=3
# cleaned=0
# scan_time=16268
C:\Users\Fabian\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3\974d443-44b4cfd1	probably a variant of Java/TrojanDownloader.Agent.AB trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Fabian\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\56\e668b8-3fab79d9	multiple threats (unable to clean)	00000000000000000000000000000000	I
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55\2b70da77-27c687e4	multiple threats (unable to clean)	00000000000000000000000000000000	I
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=7a48f6434ad31d4989117994f2c86a79
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-07-31 02:05:01
# local_time=2012-07-31 04:05:01 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=512 16777215 100 0 60209257 60209257 0 0
# compatibility_mode=1792 16777215 100 0 147966688 147966688 0 0
# compatibility_mode=2560 16777215 100 0 0 0 0 0
# compatibility_mode=5892 16776573 100 100 36 181258640 0 0
# compatibility_mode=8192 67108863 100 0 26925689 26925689 0 0
# scanned=351006
# found=5
# cleaned=0
# scan_time=17589
C:\Users\Fabian\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\43b8adf4-5a43b821	a variant of Java/Agent.DT trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Fabian\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55\c3423b7-25ca1a97	a variant of Java/Agent.DT trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Fabian\AppData\Roaming\14001.002\components\AcroFF.dll	probably a variant of Win32/Spy.Banker.YCR trojan (unable to clean)	00000000000000000000000000000000	I
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55\2b70da77-27c687e4	multiple threats (unable to clean)	00000000000000000000000000000000	I
${Memory}	probably a variant of Win32/Spy.Banker.YCR trojan	00000000000000000000000000000000	I
         
So weit so gut

Hab jetzt auch per Mail Antwort von der Telekom bekommen auf die Frage wann die Angriffe geschahen und was genau passiert sein soll.




Sehr geehrte Familie xxxxxxxx,

über Ihren Internetzugang wurde ein "Sinkhole" kontaktiert. Das ist ein
Server, der als Falle für durch Schadsoftware befallene Rechner dient,
indem er einen Command&Control-Server eines Botnets simuliert. Ein
Command&Control-Server ist ein Bestandteil eines Botnets, der zwischen
dem eigentlichen Verbrecher und seinen "Bots" vermittelt. Unter
hxxp://www.elektronik-kompendium.de/sites/net/1501041.htm finden Sie bei
Interesse eine gute Erklärung der Struktur eines Botnets sowie eine
schematische Darstellung.

Bei den beschwerdegegenständlichen Zugriffen handelt es sich nicht um
den Versand von E-Mails. Die Steuerung der Bots erfolgt über die Ports
80 (HTTP) und 443 (HTTPS), das ist die übliche Vorgehensweise der
Botnetzbetreiber, da es keine Internetzugänge gibt, bei denen diese
Ports gesperrt sind. Per HTTP(S) aktualisieren sich die Bots, liefern
gestohlene Login-Daten ab und holen sich ihre Aufgabenlisten ab: An
DoS-Attacken teilnehmen, rechtswidrige Inhalte verbreiten, Spam
versenden, usw. (Insbesondere die rechtswidrige Verbreitung von Inhalten
kann ein sehr teurer "Spaß" werden, wenn plötzlich drei, vier
kostenpflichtige Abmahnungen (500-800 Euro pro Abmahnung sind durchaus
normal) ins Haus flattern.)

Bei anhaltenden Beschwerden setzten wir eine Port-25-Sperre für Ihren
Zugang. Wir können mittels einer solchen Mailversandbeschränkung eine
Schadsoftware allerdings ausschließlich daran hindern, Spam von Rechnern
aus direkt an fremde Mailsysteme zuzustellen. Alles andere, wozu diese
Schadsoftware entworfen sein mag, entzieht sich unserem Einfluss. Die
Sperre löst daher nur unser Problem, nämlich dass unser Netzbereich
wegen eines zu hohen Spam-Aufkommens von anderen Providern als
bedeutsame Quelle der Spam-Plage in deren Blacklists landen, was dann
allen unseren Kunden zum Nachteil gereichte.

Die Mailversandbeschränkung bestünde lediglich darin, dass der Port 25
in fremde Netze gesperrt wäre. Dieser Port ist nur für die Zustellung
von Mailserver zu Mailserver erforderlich. Die für die Endnutzer
vorgesehenen Postausgangsserver benötigen diesen Port nicht.

Der E-Mail-Versand über securesmtp.t-online.de und smtpmail.t-online.de
wäre nicht eingeschränkt. Informationen zur Konfiguration und Nutzung
Ihres t-online.de-Postfachs mit einem E-Mail-Programm finden Sie unter
hxxp://hilfe.telekom.de/hsp/cms/content/HSP/de/3370/FAQ/theme-305643298

Zwecks Verwendung von Postausgangsservern anderer Anbieter trotz einer
Port-25-Sperre wenden Sie sich bitte an den Support dieses Anbieters.

Die Umgehung dieser Beschränkung wäre also recht einfach. Dies darf aber
aufgrund obengenannter Risiken kein Grund dafür sein, nichts zu tun.
Nach Beseitigung der Ursache sollte die ggf gesetzt Port-25-Sperre auch
dann aufgehoben werden, wenn Sie dadurch nicht (mehr) behindert würden.
Denn solange die Mailversandbeschränkung bestünde, erhielten Sie von
unserem System keine Warnungen mehr.

Die Freischaltung erfolgte übrigens, sobald Sie uns bestätigten, das
Sicherheitsproblem beseitigt zu haben. Einer speziellen Form bedarf es
dabei nicht.

Nun aber zurück von dem, was passieren könnte, zu dem, was passiert ist:

Die beschwerdegegenständlichen Zugriffe fanden über die folgenden, Ihrem
Zugang zugewiesenen IP-Adressen zu den angegebenen Zeitpunkten statt,
die relevanten Zeitangaben aus den Beschwerden haben wir in die
jeweilige deutsche Zeitzone (MESZ/MEZ) umgerechnet:


| xxxxxxxxxxx Mo, 23.07.2012 02:28:02 MESZ Ermahnung
| xxxxxxxxxxx Mi, 25.07.2012 01:28:55 MESZ
| xxxxxxxxxxx Do, 26.07.2012 02:28:24 MESZ

Beziehen Sie bei Ihren Überlegungen mit ein, dass das Problem durch
einen Dritten verursacht worden sein könnte: Wenn zu dem jeweils
genannten Zeitpunkt ein Gast berechtigten Zugang zu Ihrem WLAN/LAN (und
damit Ihrem Internetzugang) hatte, kann es natürlich sein, dass die
Aktion die zu der Beschwerde führte, von seinem Rechner ausging. Eltern
sollten hierbei insbesondere auch etwaigen Besuch der Kinder "auf dem
Radar" haben.

Besonders wenn der Zugang von einer Firma benutzt wird, kalkulieren
Sie bitte auch etwaige mitgebrachte Rechner von Mitarbeitern oder
gar Kunden ein. Auch Rechner von Mitarbeitern, die über ein VPN in
Ihr lokales Netzwerk gelangen, könnten die Beschwerden verursachen.

Oder Sie betreiben ein WLAN und dieses ist womöglich nicht oder nur
unzureichend gesichert. Ein offenes WLAN kann durch Nachbarn auch völlig
unabsichtlich mitbenutzt werden, da sich Windows gern das nächstbeste
WLAN "greift", zu dem es eine Verbindung aufbauen kann. Es ist erforder-
lich, das WLAN mindestens mit dem Verschlüsselungsverfahren WPA, besser
WPA2, zu sichern (WEP ist unsicher!). Auch der Zugang zur Router-
konfiguration muss mit einem Passwort gesichert werden.

Bitte nicht vorschnell abwehren, dass dies nicht sein könne, etwa
weil Sie genau wüssten, dass Sie das Funknetz bestens abgesichert
hätten. Das glaubten wir Ihnen durchaus, aber auch WLAN-Router sind
letztlich nur dumme, fehlerbehaftete Maschinen, die gelegentlich
abstürzen, sich aufhängen oder einen plötzlichen Neustart hinlegen.
Im letzteren Fall kann es passieren, dass die Werkseinstellungen
geladen werden und zumindest bei älteren Modellen wird das WLAN dann
"offen" betrieben. Da auch die meisten Betriebssysteme nach dem
Motto "Hauptsache, es funktioniert" äußerst benutzerfreundlich
agieren, nehmen diese die unverschlüsselte Verbindung ohne zu Murren
(also ohne Hinweis an den Benutzer) an.

Andere geben an, kein WLAN zu benutzen und diese Funktion auch
explizit in Ihrem WLAN-fähigen Endgerät deaktiviert zu haben.
Schauen Sie dennoch besser einmal nach. Viele WLAN-DSL-Router haben
am Gehäuse einen Taster, mit dem man das WLAN ein- und ausschalten
kann. Insbesondere kann man es versehentlich einschalten. Wenn man
das WLAN nicht eingerichtet hat, weil man es selbst nicht benötigt,
dann ist es zumindest bei älteren Geräten automatisch "offen", also
für jedermann in Funkreichweite nutzbar.

Zuletzt ist zu bedenken, dass für die Nutzung von PowerLAN/dLAN/PLC
(hxxp://de.wikipedia.org/wiki/PowerLAN) genau dasselbe gilt. Das ist
zwar kabelgestützt, so dass man annehmen könnte, dass es "automatisch
sicher" sei. Tatsächlich kann die Verbindung von Dritten (u.U. Nachbarn)
genutzt werden, und dies sogar unabsichtlich. Daher muss auch eine
solche Verbindung verschlüsselt werden. Ziehen Sie hierzu ggf. die
Dokumentation des Herstellers Ihrer Adapter zu Rate.

Den Beschwerden zufolge befindet sich in Ihrem LAN mindestens ein mit
der Schadsoftware 'BankPatch' alias 'Multibanker' verseuchter Rechner.

Zuallererst müssen die Schädlinge entfernt werden. Um die Chance zu
erhöhen, auch weniger verbreitete Manipulationen zu finden, empfehlen
wir Ihnen einige kostenlose Tools. Sie müssen zwar nicht alle verwenden,
sollten aber solange fortfahren, bis Sie das Problem gefunden und
beseitigt haben. Es ist zu beachten, dass Schadprogramme häufig den
Aufruf und Download vieler sicherheitsrelevanten Seiten & Tools
blockieren. Ggf. muss der Download daher von einem anderen Rechner aus
erfolgen. Lassen Sie sich ggf. von einem Bekannten helfen!

Zusätzlich zum Virenscanner kann das "Tool zum Entfernen bösartiger
Software" [MRT] von Microsoft geladen und ausgeführt werden. Unter
hxxp://www.microsoft.com/germany/sicherheit/tools/malwareremove.mspx
finden Sie dieses zum Download vor.

Der Scanner von Malwarebytes unter hxxp://www.malwarebytes.org (graue
Schaltfläche [Download Now] für die kostenlose Version), kann ggf.
weitere Schadsoftware aufspüren. Wichtig: Nach der Installation von
Malwarebytes muss diese Software zunächst einmal aktualisiert werden!

Deutschsprachig und einfach in der Anwendung ist der DE-Cleaner, den Sie
unter https://www.botfrei.de finden. Es gibt zwei Varianten des
DE-Cleaners, den "DE-Cleaner powered by Symantec" und den "DE-Cleaner
powered by Kaspersky". Ersterer ist sehr klein und arbeitet nicht wie
ein herkömmlicher Virenscanner, sondern prüft die Reputation der auf
Ihrem Rechner vorhandenen, ausführbaren Dateien. Letzterer ist ein
normaler Virenscanner. Wichtig: Lesen Sie bitte unbedingt die Hinweise
zu den Anwendungen auf der Seite und laden Sie vor der Benutzung bitte
auch die Anleitungen herunter!

Es besteht jedoch auch ein Risiko, dass Ihr Rechner unter multiplen
Infektionen leidet. Denn sobald eine Schadsoftware auf einem Rechner
läuft, hängt es mehr oder weniger nur noch vom Geschick des böswilligen
Programmierers ab, ob sie von einer beliebigen Schutzsoftware, die auch
auf dem "infizierten" System läuft, überhaupt noch entdeckt werden kann.
Ein Rootkit, das bereits beim Booten des Rechners vor dem Betriebssystem
geladen wird, kann sich unsichtbar für dieses Betriebssystem machen.

Speziell für diesen Zweck wurde GMER konzipiert. Sie finden diese kleine
Programm unter hxxp://www.gmer.net ("DOWNLOAD EXE"-Button unten auf der
Seite). GMER ist allerdings ein Tool für Spezialisten.

Das Mittel der Wahl wären dann Boot-CDs bzw. Boot-DVDs, mit denen man
den zu untersuchenden Computer starten kann, ohne dass dessen
Betriebsystem geladen wird. Wir empfehlen die "DE-Cleaner Rettungssystem
CD" von Avira, die Sie unter https://www.botfrei.de/rescuecd.html zum
Download vorfinden. Lesen Sie auch hier bitte unbedingt die Hinweise auf
jener Seite und laden Sie vorher auch die Anleitungen herunter!

Leider haben Sie jedoch nie die Gewissheit, wirklich alles gefunden zu
haben, dann wäre das System womöglich nach kurzer Zeit erneut befallen.
Guten Gewissens können wir Ihnen dann nur noch eine vollständige
Neu-Installation des Betriebssystems empfehlen.

Unter https://www.botfrei.de/neuinstallation.html finden Sie wichtige
Informationen und Anleitungen, die bei einer Neu-Installation beachtet
werden sollten.

Damit die Schädlinge nach der Bereinigung nicht wieder auftauchen,
müssen Sie danach alle (!) Updates für das Betriebssystem und für die
von Ihnen benutzten Anwendungen einspielen und zwar BEVOR Sie auch nur
ein einziges Dokument (Insbesondere PDF-Dateien, aber auch Bilder und
Videos) öffnen oder auch nur einen einzigen USB-Datenträger daran
anschließen. Das sind nämlich Verbreitungswege von 'ZeuS'. Nicht nur
externe Festplatten und Speichersticks kommen in Frage, sondern auch
Digitalkameras und MP3-Player bzw. einfach jedes USB-Gerät mit
beschreibbaren Speicher. Denn erst mit dem Windows-Update Mitte Februar
2011 hat Microsoft diesen Weg insofern erschwert, dass der Autostart für
USB-Datenträger deaktiviert wurde.

Es wäre wirklich frustrierend, wenn man beispielsweise den Rechner in
stundenlanger Arbeit neu aufsetzt und wie zuvor einrichtet, nur um dann
feststellen zu müssen, dass man sich die Urlaubsfotos besser erst nach
dem Neustart nach den letzten Update angeschaut hätte ...

Da der Internet Explorer auch Betriebssystemsdienste zur Verfügung
stellt, sollte er auch dann aktualisiert werden, wenn er nicht zum
Browsen im Web benutzt wird. Für Windows XP ist die aktuelle (und
letzte) Version der Internet Explorer 8.0, für jüngere Windows-Versionen
ist der Internet Explorer 9.0 aktuell.

Eine kleine FAQ zum Thema "Schutzsoftware":

------------------------------------------------------------------------

Meine Antiviren-Software hat keine Bedrohung gemeldet?

Gängige Antiviren-Software erkennt mittels herkömmlicher Methoden
(Signaturen und Heuristik) gerade einmal ca. 40-60% der aktuellen
Bedrohungen. (*) Dies erscheint für die meisten Nutzer mehr als
ausreichend, sofern die Konfiguration auf Maximalwerte eingestellt ist,
Betriebssystem, Software und Add-Ons rechtzeitig aktualisiert werden und
aus vertrauenswürdigen Quellen stammen. Natürlich sollten ferner die
generellen Sicherheitshinweise beachtet werden, also Popups, HTML in
E-Mails, Java, Adobe Flash etc. bestenfalls deaktivieren und nur für
vertrauenswürdige Inhalte aktivieren und niemals Inhalte (Software,
Filme, Dokumente usw.) aus nicht vertrauenswürdigen Quellen verwenden.

Woher weiß ich, ob meine Software aktuell ist?

Nicht jedes Programm auf Ihrem PC hat eine automatische Update-Funktion.
Die für Privatanwender kostenlose Software Secunia PSI scannt Ihre
Festplatte und vergleicht die Versionsnummern mit einer stets aktuellen
Datenbank mehrerer tausend Anwendungen. Die Software zeigt Ihnen den
direkten Downloadlink gleich mit an und unterstützt automatische
Updates: hxxp://www.ct.de/-1156584

Ist es möglich Infektionen generell zu verhindern?

Durch Zusatzsoftware kann man Rechner so konfigurieren, dass der
Anwender quasi in einem sicheren Bereich abgeschottet wird und
Änderungen dort nach Benutzung einfach gelöscht werden können. Für
Windows bietet diese Funktion bspw. das Programm 'Sandboxie'. Für
einzelne Programme konfigurierbar enthält die Security Suite 'Kaspersky
Internet Security 2011' die vergleichbare Funktion "Sichere Umgebung":
hxxp://de.wikipedia.org/wiki/Sandboxie
hxxp://support.kaspersky.com/de/kis2011/securityzone?qid=207621407

Wo finde ich weitere Informationen?

Neben unseren eigenen und zahlreichen fremden Angeboten ist das
Bürger-CERT des Bundesamtes für Sicherheit in der Informationstechnik
sicherlich die beste Anlaufstelle. Das Bürger-CERT informiert und warnt
Bürger und kleine Unternehmen schnell und kompetent vor Viren, Würmern
und Sicherheitslücken in Computeranwendungen – kostenfrei und absolut
neutral. Experten analysieren rund um die Uhr die Sicherheitslage im
Internet und verschicken bei Handlungsbedarf aktuelle Warnmeldungen und
Sicherheitshinweise: hxxp://www.buerger-cert.de

(*) Unabhängige Testergebnisse werden regelmäßig unter
hxxp://www.av-comparatives.org/en/comparativesreviews/detection-test
(englisch) veröffentlicht. Die Erkennungsraten werden durch weitere
Methoden - insbesondere dem 'Behavioral Blocking' - verbessert.
------------------------------------------------------------------------

Wenn Sie Ihr Sicherheitsproblem nicht selbst lösen können, raten wir
Ihnen, einen Experten bzw. eine Computerwerkstatt hinzuzuziehen.

Nachdem Sie Ihre(n) Rechner bereinigt haben, kann weiterer Schaden durch
den Missbrauch bereits gestohlener Zugangsdaten entstehen. Daher raten
wir Ihnen, *alle* Passwörter zu ändern, vergessen Sie dabei nicht
etwaige Passwörter für Onlinebanking, eBay, Amazon & Co., falls Sie
solche Dienste nutzen. (Wichtig: Dies darf nur von einem Rechner aus
erfolgen, der garantiert "sauber" ist, sonst landen die neuen Passwörter
gleich wieder bei einem der Angreifer!)

Zu den mit unseren Diensten benötigten Passwörtern einige gesonderte
Anmerkungen und Tipps:

Ändern Sie bitte alle Passwörter im Kundencenter unter dem URL
https://kundencenter.telekom.de/kundencenter/kundendaten/passwoerter

Ihr 'Persönliches Kennwort' (für den Zugang), das 'Passwort' für
Webdienste, das 'E-Mail-Passwort' und - wenn eingerichtet - auch
das 'FTP-Passwort'

Das neue 'Persönliche Kennwort' nach der Änderung bitte auch für den
Internetzugang z. B. im Router eintragen:

Achtung! Ihr Router würde möglicherweise wiederholt versuchen, sich
mit dem alten Kennwort einzuwählen und nach neun Versuchen - das
dauert maximal eine Minute - würde Ihr Internetzugang wegen dieser
Fehlversuche aus Sicherheitsgründen automatisch bis Mitternacht
gesperrt werden. Um dies zu vermeiden, gehen Sie bitte wie folgt
vor:

Denken Sie sich ein neues 'Persönliches Kennwort' aus: Dies sollte
genau acht Zeichen umfassen, denn mehr sind nicht möglich und
weniger mindern die Sicherheit. Benutzen Sie bitte jeweils
mindestens einen Groß- und Kleinbuchstaben, eine Ziffer und ein
Sonderzeichen:

Ziffern: 0-9
Buchstaben: a-z, A-Z
Erlaubte Sonderzeichen: ! # % & ( ) * + , - . / : ; < = > ? ^ _ $ §

Nachdem das 'Persönliche Kennwort' geändert ist (Bestätigung im
Kundencenter), sollten Sie das Kabel vom Router zum Splitter des
DSL-Anschlusses abstecken und dann das Kennwort auch im Router.
ändern. Erst danach das Kabel wieder einstecken. Dadurch verhindern
Sie, dass Ihr Router versucht, sich mit dem nicht mehr gültigen
'Persönlichen Kennwort' einzuwählen.

Falls ein Speedport-Router verwendet wird, können Sie auf der
Startseite der Routerkonfiguration stattdessen auch einfach auf die
Schaltfläche [Internet sperren] klicken und dieses später wieder
freigeben, dann erübrigen sich die Umstände, mit Kabeln zu
hantieren.

Beachten Sie bitte, dass Ihr persönliches Kennwort das
Masterpasswort ist: Mit diesem Passwort können Sie sich in
Webmail, Kundencenter usw. anmelden, auch wenn dort ein anderes
Passwort eingerichtet wurde!

Das 'Passwort' (für Webdienste) und das 'E-Mail-Passwort' können jeweils
acht bis 16 Zeichen umfassen. Verwenden Sie unterschiedliche, sichere
Passwörter mit Groß- und Kleinschreibung, Zahlen und Sonderzeichen, z.
B. einen Punkt.

Danach sollte eine Fremdnutzung Ihres Account ausgeschlossen sein.

Hinweis zum 'E-Mail-Passwort':

Nachdem Sie das 'E-Mail-Passwort' geändert oder erstmals angelegt
haben, ist eventuell eine Änderung in den Einstellungen Ihres
E-Mail-Programms notwendig. Um Schwierigkeiten zu vermeiden, haben
wir unter hxxp://www.t-online.de/email-passwort Anleitungen
für die beliebtesten E-Mail-Programme zusammengestellt.

Als Teil der Betriebssicherheit besteht unsere Aufgabe wesentlich darin,
Missbrauch der Internet-Anschlüsse unserer Kunden (zumeist durch
unbekannte Dritte) und davon ausgehende Gefahren für andere
Netzteilnehmer zu unterbinden.

Gerne helfen wir Ihnen bei Fragen im Rahmen unserer Möglichkeiten per
E-Mail weiter. Sollten Sie hingegen telefonische oder persönliche
Beratung benötigen, so wenden Sie sich bitte an unseren technischen
Service. Die Kontaktinformationen finden Sie unter:
hxxp://hilfe.telekom.de/hsp/cms/content/HSP/de/3378/faq-45855544

Mit 'IT Sofort-Service Basic' und '-Comfort' bietet Ihnen die Deutsche
Telekom schnelle PC-Hilfe: per telefonischer Hotline, per Fernzugriff
auf Ihren Computer oder per Vor-Ort-Service. Die telefonische Beratung
ist bis zu 30 Minuten im Monat kostenfrei, danach kostenpflichtig.

Kontaktinformationen:
hxxp://hilfe.telekom.de/hsp/cms/content/HSP/de/3378/FAQ/faq-145558196

Produktinformationen und Bestellmöglichkeit:
hxxp://www.telekom.de/it-sofort

(Wenn Sie sich für den 'IT Sofort-Service Comfort' interessieren,
beachten Sie bitte, dass Sie aktuell bei Buchung bis zum 30. September
2012 in den ersten drei Monaten das Grundentgelt sparen.)

Alternativ können Sie sich auch an die Spezialisten der Firma Symantec
wenden, deren Kontaktinformation und Preise finden Sie unter:
hxxp://de.norton.com/support/premium_virus.jsp

Leider können jedoch weder wir, noch unsere Kollegen ohne eine
technische Prüfung sagen, wie und durch welche der mehreren Millionen
Computerschädlinge Ihre ggf. mehreren PCs infiziert wurden. Zudem
verbergen sich die Schädlinge mittels sogenannter Rootkits immer
häufiger so sehr, dass sie ggf. nachträglich von Antiviren-Software
nicht mehr gefunden werden können, insbesondere wenn der Angreifer
länger Zeit hatte, seine Spuren zu verwischen.

Entsprechend können wir Ihnen guten Gewissens nur raten, das
Betriebssystem neu zu installieren und zu konfigurieren bzw. sich durch
einen Fachmann helfen zu lassen. Dies ist oftmals nicht nur die
günstigere Alternative, sondern auch die einzige Möglichkeit mit
Sicherheit auszuschließen, dass auch versteckte Manipulationen des
Angreifers entfernt werden.

So ärgerlich dieser Vorfall für Sie sicherlich ist, vielleicht tröstet
es Sie, dass selbst einige der größten Sicherheitsexperten, die das
Internet aufbieten kann, sich nur deshalb mit diesem Thema beschäftigen,
weil sie selbst davon betroffen waren - jemand ihren Computer zerstört
oder Kreditkarten-Informationen entwendet hat etc.

Bitte denken Sie daran, ggf. verwendete Zahlungsmittel (Kreditkarten,
Onlinebanking etc.) zu sperren und mindestens alle verwendeten Passworte
zu ändern bzw. neue Zugangsdaten anzufordern, da Angreifer häufig erst
diese Daten ausspähen, bevor infizierte Rechner nach außen erkennbar
missbraucht werden.

Mit freundlichen Grüßen
Christine Reimer


Alt 31.07.2012, 20:14   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Gefährlicher Hackerangriff? - Standard

Gefährlicher Hackerangriff?



Code:
ATTFilter
C:\Users\Fabian\AppData\Roaming\AcroIEHelpe.dll (Trojan.Banker)
         
Du hast da min. einen Banking Trojaner im System.
Machst du OnlineBanking mit diesem Rechner und wenn ja, willst du das weiterhin auch sicher mit diesem Rechner unter Windows erledigen?
__________________
--> Gefährlicher Hackerangriff?

Alt 31.07.2012, 20:32   #7
hallohallo1
 
Gefährlicher Hackerangriff? - Standard

Gefährlicher Hackerangriff?



Ich habs auch schon gelesen

Also Online-Banking im Sinne von ich mache Überweisungen oder habe eine Krditkarte, die ich online benutze nicht.

Aber ich bin z.b. bei amazon, ebay und paypal angemeldet.
Mein amazon-pw ist hier nicht gespeichert (und hab mich schon seit 3 Monaten oder so nicht mehr eingeloggt. Da seh ich keine Gefahr)
Aber ebay ist gespeihert und paypal ist zwar nicht gespeichert aber da hab ich mich vor 4 Tagen ca. das letzte mal eingeloggt von dem PC hier aus.

Hm...mir scheint so als wäre es fast das beste einfach alles platt zu machen und neu zu installieren.
Dazu ne Frage: Ich habe es bei anderen Trojaner-Angriffen (war der BKA-Trojaner) schon so gemacht, dass ich eine Systemwiederherstellung gemacht hab zu dem ältesten verfügbaren Zeitpunkt.
Würde das hier helfen in meinem Fall?

Alt 01.08.2012, 19:27   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Gefährlicher Hackerangriff? - Standard

Gefährlicher Hackerangriff?



Eine SWH kann helfen muss aber nicht, wenn du nicht das Risiko von noch mehr Zeitverschwendung eingehen willst, dann jett vernünftig neu installieren
Und anschließend in regelmäßigen Abständen schön Backups auf externe Medien machen
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 01.08.2012, 19:29   #9
hallohallo1
 
Gefährlicher Hackerangriff? - Standard

Gefährlicher Hackerangriff?



Und wie genau geht das?

Also gibt es denn irgendeine Möglichkeit, wie ich meine Musik behalten kann oder ist die unwiderbringlich weg?

Alt 02.08.2012, 14:31   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Gefährlicher Hackerangriff? - Standard

Gefährlicher Hackerangriff?



Zum Thema Datensicherung von infizierten Systemen; mach das über ne Live-CD wie Knoppix, Ubuntu (zweiter Link in meiner Signatur) oder über PartedMagic. Grund: Bei einem Live-System sind keine Schädlinge des infizierten Windows-Systems aktiv, damit ist dann auch eine negative Beeinflussung des Backups durch Schädlinge ausgeschlossen.

Du brauchst natürlich auch ein Sicherungsmedium, am besten dürfte eine externe Platte sein. Sofern du nicht allzuviel sichern musst, kann auch ein USB-Stick ausreichen.

Hier eine kurze Anleitung zu PartedMagic, funktioniert prinzipell so aber fast genauso mit allen anderen Live-Systemen auch.

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 180 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist



4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partitionen wo Windows installiert ist, meistens isses /dev/sda1 und natürlich noch etwaige andere Partitionen, wo noch Daten liegen und die gesichert werden müssen - natürlich auch die der externen Platte (du bekommmst nur Lese- und Schreibzugriffe auf die Dateisysteme, wenn diese gemountet sind)
6. Kopiere die Daten der internen Platte auf die externe Platte - kopiere nur persönliche Dateien, Musik, Videos, etc. auf die Backupplatte, KEINE ausführbaren Dateien wie Programme/Spiele/Setups!!
7. Wenn fertig, starte den Rechner neu, schalte die ext. Platte ab und boote von der Windows-DVD zur Neuinstallation (Anleitung beachten)
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Gefährlicher Hackerangriff?
anhang, autostart, brief, code, compu, computer, daemon, defogger, disable, disabled, erstell, erstellt, falsch, fehlermeldung, gefährlicher, gelaufen, gestern, griff, grund, hackerangriff, reboot, required, richtig, schritte, telekom, tools, würde



Ähnliche Themen: Gefährlicher Hackerangriff?


  1. Windows 10: Gefährlicher Zertifikats-Wirrwarr
    Nachrichten - 14.08.2015 (0)
  2. Symantec Endpoint Protection: Gefährlicher Sicherheitslücken-Cocktail
    Nachrichten - 04.08.2015 (0)
  3. Gefährlicher E-Mail-Virus mit Anhängen von EBay und Amazon
    Log-Analyse und Auswertung - 13.02.2015 (4)
  4. EXTREM GEFÄHRLICHER VIRUS: c6ubmmri.exe
    Plagegeister aller Art und deren Bekämpfung - 04.10.2014 (34)
  5. Web-Seiten von Bund und BSI mit gefährlicher Verschlüsselung
    Nachrichten - 12.11.2013 (0)
  6. gefährlicher virus oder nicht?
    Plagegeister aller Art und deren Bekämpfung - 03.07.2012 (35)
  7. Ist das ein gefährlicher Trojaner Trj/CI.A
    Plagegeister aller Art und deren Bekämpfung - 16.11.2011 (21)
  8. Av AntiRootkit scan - gefährlicher Fund?
    Log-Analyse und Auswertung - 18.01.2010 (13)
  9. Gefährlicher Keylogger
    Plagegeister aller Art und deren Bekämpfung - 18.08.2009 (15)
  10. Gefährlicher Backdoor Trojaner
    Log-Analyse und Auswertung - 29.04.2009 (7)
  11. Hilfe sehr gefährlicher trojaner
    Plagegeister aller Art und deren Bekämpfung - 13.04.2009 (15)
  12. Gefährlicher Virus oder nicht?
    Mülltonne - 18.07.2008 (0)
  13. Virenscanner stürzen alle ab, gefährlicher Trojaner ?
    Log-Analyse und Auswertung - 09.06.2008 (9)
  14. gefährlicher backdoor-trojaner
    Log-Analyse und Auswertung - 19.12.2006 (2)
  15. Gefährlicher CIA Trojaner!!!
    Log-Analyse und Auswertung - 29.01.2006 (12)
  16. Gefährlicher Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 07.10.2005 (9)
  17. Gefährlicher Dialer, oder was?
    Plagegeister aller Art und deren Bekämpfung - 26.05.2005 (4)

Zum Thema Gefährlicher Hackerangriff? - Hi! Ich habe gestern einen Brief von der Telekom bekommen in dem mir mitgeteilt wurde, das von meinem Computer aus Hackerangriffe gemacht werden würden. Ich habe jetzt die hier genannten - Gefährlicher Hackerangriff?...
Archiv
Du betrachtest: Gefährlicher Hackerangriff? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.