| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: W7: Phising-Page bei Onlinebanking in FF + Trojan.GenericKD.1659055 ?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
11.05.2014, 12:14
| #1 |
| /// TB-Ausbilder /// Anleitungs-Guru  |  W7: Phising-Page bei Onlinebanking in FF + Trojan.GenericKD.1659055 ? Hallo, ich gehe davon aus, dass mit dem Backup der Fall geschlossen werden kann. Retrospektive Analysen bringen nicht viel. Du kannst aber versichert sein, dass wir hier nicht blind zu irgendwelchen Tools greifen. Es gab klare Indizien für eine ZBot-Infektion. Es gab mehrere Gründe warum ich z.B. nochmal einen MBAM-Scan wollte: a) es könnte was nachgeladen worden sein b) wurde mit aktuellen Datenbanken gescannt? c) mit welchen Einstellungen wurde gescannt (Rootkits etc.) Darüber hätte ich gerne ein Testat gehabt. Eine aktive ZBot-Infektion würde mit Scans von MBAM und ESET entdeckt und beseitigt werden können. Solange ich am Ende der Bereinigung verantwortlich bin und entscheiden muss ob clean oder nicht, würde ich auch gerne das Vorgehen festlegen. Kann ich das Thema jetzt als erledigt betrachten? Bitte um kurze Rückmeldung. 
__________________ Gruß deeprybka  Lob, Kritik, Wünsche? Spende fürs trojaner-board? _______________________________________________ „Neminem laede, immo omnes, quantum potes, iuva.“ Arthur Schopenhauer |
|
13.05.2014, 00:44
| #2 | ||||
| | W7: Phising-Page bei Onlinebanking in FF + Trojan.GenericKD.1659055 ?Zitat:
Zitat:
 Dass da nichts blind passiert will ich ja mal hoffen & glaube ich nicht  Zitat:
Also ich scanne immer mit aktueller Datenbank ... anders machst ja keinen Sinn Wollte ja eh schon schreiben, dass eine sooo detaillierte Angabe bisschen übertrieben ist ... aber sind denke ich mal Templates, deshalb hab ich mir nichts gedacht. Zitat:
Naja aber bevor ich fragen konnte, wurde die Aktion sowieso gestoppt  Aber wie gesagt, mich würde es immer noch interessieren (jenachdem wo was aufgefallen ist) Sonst kann man es als abgeschlossen sehen. |
|
14.05.2014, 13:01
| #3 |
| /// TB-Ausbilder /// Anleitungs-Guru | W7: Phising-Page bei Onlinebanking in FF + Trojan.GenericKD.1659055 ? Hallo,
__________________wie gesagt es ist nicht nur unsachlich, sondern auch müßig sich retrospektiv über erfolgte Infektionen Gedanken zu machen, welche nicht durch aktuelle Logs dokumentiert werden können. Zudem erfolgten nicht nachvollziehbare Löschvorgänge. Daher möchte ich nur noch abschließend und kurz darauf eingehen: Dass Telefonmodule geladen werden sollen um die Zwei-Faktor-Authentifizierung zu umgehen, sowie die Tatsache, dass nur das entsprechende Benutzerkonto infiziert wird, sind Indizien für die neueren ZBot-Varianten. Angesichts der Vielzahl an Varianten von Online-Banking-Trojanern ist es aber nicht möglich das jetzt genau festzustellen. Einige sind z.B. mit Necurs kombiniert, ein Rootkit, dessen Vorhandensein wesentlichen Einfluss auf das Infektionsgeschehen haben kann. Da auf dem PC offensichtlich mehrere Infektionen stattgefunden haben, und ein Scanner alleine (MBAM kann die von Dir hochgeladene Datei z.B. nicht detektieren ) evtl. nicht alle Schädlinge detektieren/beseitigen kann, verwenden wir auf die vermuteten Infektionen abgestimme Tool-Setups. Combofix z.B. macht abseits des sichtbaren, eine Vielzahl von Bereinigungsschritten. Wenn Dich das Thema weiter interessiert, dann gibt es im Internet viel Material über Zeus, Spyeye & Co. Alles Gute! Und stets sicheres Onlinebanking in der Zukunft! 
__________________ Geändert von deeprybka (14.05.2014 um 13:34 Uhr) |
|
16.05.2014, 15:45
| #4 |
| | W7: Phising-Page bei Onlinebanking in FF + Trojan.GenericKD.1659055 ? Lang und breit Quatschen wollt ich es eh auch nicht, weil eben nichts mehr nachgeprüft werden soll. Nur würde mich interessieren ob es in den bereits gezogenen Logs irgend welche Hinweise - und welche gegeben hat. Das Einer nicht alles kann ist mir auch gewahr, weshalb ich auch immer mit verschiedenne scanne (immer mal wieder auch ohne Verdacht). Zum RootKit: Wenn es ein solches wäre, wäre es dann nicht sinnvoll/logisch wenn auch andere Nutzer Accounts betroffen wären? Danke soweit. |
|
16.05.2014, 18:19
| #5 | |
| /// TB-Ausbilder /// Anleitungs-Guru | W7: Phising-Page bei Onlinebanking in FF + Trojan.GenericKD.1659055 ?Zitat:
 Z.B. dieser hier https://www.virustotal.com/en/file/b...8f35/analysis/ mit Admin-Rechten gestartet, ergibt es das hier: Code:
ATTFilter ==================== Registry (Whitelisted) ==================
HKLM\...\Run: [VMware User Process] => C:\Program Files\VMware\VMware Tools\vmtoolsd.exe [74320 2013-10-17] (VMware, Inc.)
HKU\S-1-5-21-4025654228-2714508878-1478901788-1001\...\Run: [Sudya] => "C:\Users\7 normaluser\AppData\Local\Temp\Yrbe\sudya.exe" <===== ATTENTION
HKU\S-1-5-21-4025654228-2714508878-1478901788-1001\...\Run: [Ovozvu] => C:\Users\7 normaluser\AppData\Local\Temp\Ahwiga\ovozvu.exe [430592 2014-05-16] () <===== ATTENTION
==================== Internet (Whitelisted) ====================
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://de.msn.com/?rd=1&ucc=DE&dcc=DE&opt=0&ocid=iehp
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0xD1195CBDE56CCF01
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = en-us
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
Tcpip\Parameters: [DhcpNameServer] 192.168.18.2
FireFox:
========
==================== Services (Whitelisted) =================
Locked "bfdd065b1a3dcd6d" service could not be unlocked. <===== ATTENTION
R2 lmhosts; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
R2 NlaSvc; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
R2 nsi; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
R3 TPAutoConnSvc; C:\Program Files\VMware\VMware Tools\TPAutoConnSvc.exe [509776 2013-10-17] (Cortado AG)
S3 TPVCGateway; C:\Program Files\VMware\VMware Tools\TPVCGateway.exe [566096 2013-10-17] (Cortado AG)
R3 vmvss; C:\Windows\SysWOW64\dllhost.exe [7168 2009-07-14] (Microsoft Corporation)
==================== Drivers (Whitelisted) ====================
U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
U5 bfdd065b1a3dcd6d; C:\Windows\System32\Drivers\bfdd065b1a3dcd6d.sys [79288 2014-05-16] () <===== ATTENTION Necurs Rootkit?
Ohne Admin-Rechte: Code:
ATTFilter ==================== Registry (Whitelisted) ==================
HKLM\...\Run: [VMware User Process] => C:\Program Files\VMware\VMware Tools\vmtoolsd.exe [74320 2013-10-17] (VMware, Inc.)
HKU\S-1-5-21-4025654228-2714508878-1478901788-1001\...\Run: [Sudya] => "C:\Users\7 normaluser\AppData\Local\Temp\Yrbe\sudya.exe" <===== ATTENTION
HKU\S-1-5-21-4025654228-2714508878-1478901788-1001\...\Run: [Ovozvu] => C:\Users\7 normaluser\AppData\Local\Temp\Ahwiga\ovozvu.exe [436224 2014-05-16] () <===== ATTENTION
==================== Internet (Whitelisted) ====================
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://de.msn.com/?rd=1&ucc=DE&dcc=DE&opt=0&ocid=iehp
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0xD1195CBDE56CCF01
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = en-us
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
Tcpip\Parameters: [DhcpNameServer] 192.168.18.2
FireFox:
========
==================== Services (Whitelisted) =================
R2 lmhosts; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
R2 NlaSvc; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
R2 nsi; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
R3 TPAutoConnSvc; C:\Program Files\VMware\VMware Tools\TPAutoConnSvc.exe [509776 2013-10-17] (Cortado AG)
S3 TPVCGateway; C:\Program Files\VMware\VMware Tools\TPVCGateway.exe [566096 2013-10-17] (Cortado AG)
S3 vmvss; C:\Windows\SysWOW64\dllhost.exe [7168 2009-07-14] (Microsoft Corporation)
==================== Drivers (Whitelisted) ====================
U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
R1 Serial; C:\Windows\System32\DRIVERS\serial.sys [94208 2009-07-14] (Brother Industries Ltd.)
R2 VMMEMCTL; C:\Program Files\Common Files\VMware\Drivers\memctl\vmmemctl.sys [22096 2013-10-17] (VMware, Inc.)
R3 vmusbmouse; C:\Windows\System32\DRIVERS\vmusbmouse.sys [15512 2013-10-17] (VMware, Inc.)
R0 vsock; C:\Windows\System32\drivers\vsock.sys [73296 2013-10-08] (VMware, Inc.)
==================== NetSvcs (Whitelisted) ===================
__________________ Gruß deeprybka Lob, Kritik, Wünsche? Spende fürs trojaner-board? _______________________________________________ „Neminem laede, immo omnes, quantum potes, iuva.“ Arthur Schopenhauer Geändert von deeprybka (16.05.2014 um 19:09 Uhr) |
|
| Themen zu W7: Phising-Page bei Onlinebanking in FF + Trojan.GenericKD.1659055 ? |
| adware, autoruns, bitdefender, datei, defender, ebanking, einloggen, fehler, festgestellt, file, internet, kaspersky, leer, neue, online banking, onlinebanking, phishing, problem, problem mit dem pc, prozess, registry, scan, security, system, umleitung, update, verbindung |
Hybrid-Darstellung
