Mein PC läuft wieder, aber zur Sicherheit werde ich das System heute noch neu aufspielen.
Ich konnte herausfinden, dass der Trojaner sich über gestohlene Sicherheitszertifikate einnistet und deshalb nicht erkannt wird. Ärgerlich. Wie schützt ihr euch denn davor? Updates sind bei mir immer aktuell, mein Fehler war wohl, dass ich den IE zum Surfen genutzt habe, oder?
Könnt ihr mir vielleicht noch einige Fragen beantworten, bevor ich das System neu aufspiele?
Mich interessiert, wie lange der Trojaner wohl auf dem PC ist, bevor er das erste Mal aufpoppt. Geht es hier um Minuten / Sekunden oder ist er schon Stunden da? Das ist insofern interessant, alsdass ich einige Weihnachtseinkäufe erledigte und ich derzeit überlege, meine Kreditkarte sperren zu lassen.
Setzt der Trojaner sich nur in das System oder geht er auch in andere Dateien? Muss ich mir beispielsweise Sorgen um meine externe Platte machen, die zu der Zeit angeschlossen war?

Zitat:

Zitat von Gormain

mein Fehler war wohl, dass ich den IE zum Surfen genutzt habe, oder?

Eher die Seiten auf denen du gesurft hast
Prinzipiell lässt sich aber abseits der Zertifikatssache der FF dank Add-ons besser sicherer einstellen ohne allzuviel an Nutzbarkeit einzubüßen und ein Browser wie Opera hat wegen seines geringen Marktanteiles weniger üblich Angriffspunkte die auf browserspezifische Schwachstellen zielen.

Zitat:

Zitat von Gormain

Mich interessiert, wie lange der Trojaner wohl auf dem PC ist, bevor er das erste Mal aufpoppt. Geht es hier um Minuten / Sekunden oder ist er schon Stunden da? Das ist insofern interessant, alsdass ich einige Weihnachtseinkäufe erledigte und ich derzeit überlege, meine Kreditkarte sperren zu lassen.

Kann ich dir nicht beantworten, ich hab's nicht so mit dem Einfangen von Malware. Möglicherweise solltest du dir aber erst einmal klar darüber werden, was ein "Trojaner" ist bzw. beschreibt. "Trojaner" hat nur mit dem Verbreitungsweg zu tun. Was fachferne Presse wie ComputerBild, Süddeutsche Zeitung oder Tagesschau als Trojaner gerne bezeichnen ist ein Backdoor, Remote-Access-Tool (RAT). Dies kann auch ein Trojaner sein, aber ein Trojaner ist eben eher nur in den wenigeren Fällen ein Backdoor/RAT. Der echte (staatliche) "Bundestrojaner" dürfte wohl eher genau kein Trojaner in fachsprachlichen Sinn sein (wobei er u.U. den gesamten PC dadurch zum Trojanischen Pferd macht.)
Meines Wissens ist diese Fake-Software in der Regel nur genau dieses, der Versuch echtes Geld unter Vortäuschung falscher Meldungen zu erpressen, es ist aber niemals auszuschließen, dass in einer Malwareverbreitung auch noch andere Sachen aktiv sind bzw. wenn du in entsprechenden Gebieten herumgesurft bist, auch noch anderes "unabhängig" davon dir installiert hast.
Rechtlich gesehen fürchte ich (glaube ich) müsstest du die Kreditkarte sperren lassen, denn sollte irgendwas sein, dann hast du sonst die A...karte gezogen. Wobei ich ebenfalls glaube, dass diese Fake-Alert-Malware (vorausgesetzt du hattest NUR diese auf dem PC!) mit dem ersten Reboot aktiv und sichtbar wird (das Risiko der Erkennung durch AV-Programme wäre auch zu hoch).

Hallo Gormain,

Du schreibst:

Zitat:

Zitat von Gormain

Ich konnte herausfinden, dass der Trojaner sich über gestohlene Sicherheitszertifikate einnistet und deshalb nicht erkannt wird. Ärgerlich. Wie schützt ihr euch denn davor? Updates sind bei mir immer aktuell, mein Fehler war wohl, dass ich den IE zum Surfen genutzt habe, oder?

War selbst betroffen; habe auf fremden PC mit Firefox gesurft. Also

1. Am IE hat es nicht gelegen. Allenfalls daran, dass beim IE die Browser-Einstellung "hohe Sicherheit" nur vorgaukelt, sicher zu surfen. Bei dieser Einstellung ist z.B. "active Scripting" weiter aktiviert.

2. Was die gestohlenen Sicherheitszertifikate angeht, so kenne ich Deine Nachrichtenquelle nicht, halte das aber für plausibel. Dies erklärt jedoch nur, warum der IE die gefährliche Seite überhaupt angezeigt, bzw. deine Antiviren-Guard keine Warnung ausgegeben hat.

3. Die eigentliche Infektion muss dann z.B. durch ein "bösartiges" Skript, Plug-In oder Active-X-Control erfolgt sein. Wie hier "Ukash/Bundespolizei" arbeitet, müssten die Experten mal klären.

4. Die unangenehmen Folgen, also aufwendige Trojanerbeseitigung und ein nicht mehr vertrauenswürdiges System, sind m.E. aber nur deshalb eingetreten, weil Du als ADMIN im Web unterwegs warst. Wie ich aus eigener Erfahrung weiß, genügt es bei einer Ukash-Infektion als normaler Benutzer den PC ein/-auszuschalten und alles läuft wieder.

5. Wie sicher jetzt Dein System ist, ob Du also z.B. weiter Deine Kreditkartendaten bei Einkäufen bedenkenlos eingeben kannst, dazu kann Dir eigentlich keiner einen verlässlichen Rat geben. Dass ein sog. Keylogger (protokolliert Tastatureingaben, die nach irgendwo in der Welt versendet wrden) heimlich installiert wurde, glaube ich eher weniger. Das wäre inzwischen sicher bekannt.
Einen Port-Scan (sucht nach Löchern in der Firewall) habe ich selbst gestartet. Ergebnis: negativ. Ob andere Hintertürchen (neudeutsch Backdoors) jetzt offenstehen, die einem anderen Virus/Trojaner den Angriff erleichtern, weiß natürlich keiner. Nicht mehr als ADMIN im Web sich zu bewegen, ist hierzu natürlich die erste und einfachste Absicherung.

Gruß DV-Opa

Zitat:

Zitat von Gormain

Mich interessiert, wie lange der Trojaner wohl auf dem PC ist, bevor er das erste Mal aufpoppt. Geht es hier um Minuten / Sekunden oder ist er schon Stunden da?

Habe in einem anderen Forum gelesen, dass eine Ukash/Gema-Variante zwei Wochen auf dem System war, bevor sie sich bemerkbar machte. Jedenfalls musste ein Betroffener so weit zurückgehen, um ein trojanerfreies Backup zu finden.

Gruß DV-Opa

Zitat von oben " zu 3. Die eigentliche Infektion muss dann z.B. durch ein "bösartiges" Skript, Plug-In oder Active-X-Control erfolgt sein. Wie hier "Ukash/Bundespolizei" arbeitet, müssten die Experten mal klären."


also bislang habe ich nicht so viele Probleme gehabt. ich nutze MS essentional aber die bundespolizei nervt schon sehr und hat mich viel zeit gekostet. komme nur umständlich mit einem Neustart in die Rücksicherung und muss dann viele updates laufen lassen.

Wie kann man dies verhindern oder sich effizient schützen? Ich surfe mit Firefox 11. als admin. Adminrechte raus und gut ist?

Gruß chris