|
Plagegeister aller Art und deren Bekämpfung: Online Banking vermutlich Phishing vor LoginWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
17.05.2015, 11:21 | #16 |
/// TB-Ausbilder /// Anleitungs-Guru | Online Banking vermutlich Phishing vor Login Warum hast Du ohne Anweisung Avira installiert? Das steht doch in meinem ersten Posting, dass keine Veränderungen vorgenommen werden sollen! Hat Avira Dateien gelöscht?
__________________ Gruß deeprybka Lob, Kritik, Wünsche? Spende fürs trojaner-board? _______________________________________________ „Neminem laede, immo omnes, quantum potes, iuva.“ Arthur Schopenhauer |
17.05.2015, 11:26 | #17 |
| Online Banking vermutlich Phishing vor Login Nein, zumindest wurde mir nichts dergleichen gemeldet.
__________________edit: Bei der Bank ist das Problem offenbar seit 01/2014 bekannt. Es gibt aber noch keine Lösungsansätze: hxxp://www.bankaustria.at/sicherheit/sicherheitshinweis.jsp |
17.05.2015, 11:32 | #18 | |
/// TB-Ausbilder /// Anleitungs-Guru | Online Banking vermutlich Phishing vor Login Ja, hab ich gestern schon gelesen.
__________________Den Kamerad hier such ich: Zitat:
Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster. Klicke auf OK und kopiere nun den Text aus der Codebox in das leere Textdokument: Code:
ATTFilter cmd: type "C:\QooBox\ComboFix-quarantined-files.txt"
__________________ |
17.05.2015, 12:00 | #19 |
| Online Banking vermutlich Phishing vor Login Bittesehr: Code:
ATTFilter Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 16-05-2015 02 Ran by nina at 2015-05-17 12:55:51 Run:2 Running from C:\FRST Loaded Profiles: nina (Available profiles: nina & Gast) Boot Mode: Normal ============================================== Content of fixlist: ***************** cmd: type "C:\QooBox\ComboFix-quarantined-files.txt" ***************** ========= type "C:\QooBox\ComboFix-quarantined-files.txt" ========= 2015-05-16 21:14:31 . 2015-05-16 21:14:31 900 ----a-w- C:\Qoobox\Quarantine\Registry_backups\AddRemove-25_escape.reg.dat 2015-05-16 21:14:31 . 2015-05-16 21:14:31 702 ----a-w- C:\Qoobox\Quarantine\Registry_backups\AddRemove-LucasArts' Monkey4.reg.dat 2015-05-16 21:14:15 . 2015-05-16 21:14:15 1,050 ----a-w- C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-NortonOnlineBackupReminder.reg.dat 2015-05-16 21:14:15 . 2015-05-16 21:14:15 900 ----a-w- C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-hpqSRMon.reg.dat 2015-05-16 21:14:15 . 2015-05-16 21:14:15 938 ----a-w- C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-HP Software Update.reg.dat 2015-05-16 21:14:15 . 2015-05-16 21:14:15 534 ----a-w- C:\Qoobox\Quarantine\Registry_backups\SafeBoot-MCODS.reg.dat 2015-05-16 21:14:15 . 2015-05-16 21:14:15 546 ----a-w- C:\Qoobox\Quarantine\Registry_backups\SafeBoot-mcmscsvc.reg.dat 2015-05-16 21:14:06 . 2015-05-16 21:14:06 97 ----a-w- C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-NPSStartup.reg.dat 2015-05-16 21:14:05 . 2015-05-16 21:14:05 92 ----a-w- C:\Qoobox\Quarantine\Registry_backups\Toolbar-Locked.reg.dat 2015-05-16 21:11:31 . 2015-05-16 21:11:31 54,019 ----a-w- C:\Qoobox\Quarantine\C\Windows\Temp\logishrd\_LVPrcInj01_.dll.zip 2015-05-16 21:11:26 . 2009-01-16 23:14:08 156,312 ----a-w- C:\Qoobox\Quarantine\G\Setup.exe.vir 2015-05-16 21:11:26 . 2012-02-24 19:02:31 37 ----a-w- C:\Qoobox\Quarantine\G\Autorun.inf.vir 2015-05-16 20:55:50 . 2015-05-16 20:55:50 13,273 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg 2015-05-16 20:49:06 . 2015-05-16 20:49:06 512 ----a-w- C:\Qoobox\Quarantine\MBR_HardDisk0.mbr 2015-05-16 20:46:43 . 2015-05-16 21:11:52 268 ----a-w- C:\Qoobox\Quarantine\catchme.log 2015-05-16 18:46:14 . 2009-10-07 00:47:22 109,080 ----a-w- C:\Qoobox\Quarantine\C\Windows\Temp\logishrd\LVPrcInj01.dll.vir 2014-02-14 15:50:24 . 1996-11-06 11:05:10 302,592 ----a-w- C:\Qoobox\Quarantine\C\Windows\unin0407.exe.vir 2009-10-17 08:31:33 . 2009-02-10 19:23:42 192,484 ----a-w- C:\Qoobox\Quarantine\C\Program Files\Common Files\Acer GameZone online.ico.vir ========= End of CMD: ========= ==== End of Fixlog 12:55:51 ==== |
17.05.2015, 12:36 | #20 |
/// TB-Ausbilder /// Anleitungs-Guru | Online Banking vermutlich Phishing vor Login Danke für den Hinweis. Relevant ist aber nur der Zeitraum nach Erstellung des 1. FRST-Logs. Das ist sicher und bestimmt nicht dumm. Mach bitte aber vorher noch einen Test: Schritt 1
Versuch dann bitte nochmal ein OB-Login. Gibts ne Alarm-Meldung?
__________________ Gruß deeprybka Lob, Kritik, Wünsche? Spende fürs trojaner-board? _______________________________________________ „Neminem laede, immo omnes, quantum potes, iuva.“ Arthur Schopenhauer |
17.05.2015, 13:29 | #21 |
| Online Banking vermutlich Phishing vor Login Ja, alles wie gehabt. Noch irgendwelche Ideen? |
17.05.2015, 13:32 | #22 |
/// TB-Ausbilder /// Anleitungs-Guru | Online Banking vermutlich Phishing vor Login Die Frage war, ob HitmanProAlert irgendwas entdeckt?
__________________ Gruß deeprybka Lob, Kritik, Wünsche? Spende fürs trojaner-board? _______________________________________________ „Neminem laede, immo omnes, quantum potes, iuva.“ Arthur Schopenhauer |
17.05.2015, 13:44 | #23 |
/// TB-Ausbilder /// Anleitungs-Guru | Online Banking vermutlich Phishing vor Login Also der Firefox ist ja manipuliert. Gibts da keine Warnung von HitmanProAlert? Bitte noch diese Schritte ausführen: Schritt 1 Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster. Klicke auf OK und kopiere nun den Text aus der Codebox in das leere Textdokument: Code:
ATTFilter FF NetworkProxy: "autoconfig_url", "https://guardvpn.net/facebook.js"
Schritt 2
Versuch jetzt nochmal das OB-Login bitte.
__________________ Gruß deeprybka Lob, Kritik, Wünsche? Spende fürs trojaner-board? _______________________________________________ „Neminem laede, immo omnes, quantum potes, iuva.“ Arthur Schopenhauer |
17.05.2015, 17:25 | #24 |
| Online Banking vermutlich Phishing vor Login Fixlog: Code:
ATTFilter Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 16-05-2015 02 Ran by nina at 2015-05-17 18:23:48 Run:3 Running from C:\FRST Loaded Profiles: nina (Available profiles: nina & Gast) Boot Mode: Normal ============================================== Content of fixlist: ***************** FF NetworkProxy: "autoconfig_url", "https://guardvpn.net/facebook.js" ***************** Firefox Proxy settings were reset. ==== End of Fixlog 18:23:48 ==== edit: Hitman pro ist aktiv, aber es kommt keine Meldung |
17.05.2015, 17:26 | #25 |
/// TB-Ausbilder /// Anleitungs-Guru | Online Banking vermutlich Phishing vor Login Und beim FF?
__________________ Gruß deeprybka Lob, Kritik, Wünsche? Spende fürs trojaner-board? _______________________________________________ „Neminem laede, immo omnes, quantum potes, iuva.“ Arthur Schopenhauer |
17.05.2015, 17:37 | #26 |
| Online Banking vermutlich Phishing vor Login Search.txt: Code:
ATTFilter Farbar Recovery Scan Tool (x86) Version: 16-05-2015 02 Ran by nina at 2015-05-17 18:26:56 Running from C:\FRST Boot Mode: Normal ================== Search Files: "system.pif" ============= ====== End Of Search ====== spooky! Was mir noch aufgefallen ist. Als die Fehlermeldung kam war ich auf www.bankaustria.at/404.jsp - jetzt komm ich automatisch auf eine "gesicherte" Homepage (Mit Schlüsselsymbol neben der Url) Wars das? |
17.05.2015, 17:46 | #27 | |
/// TB-Ausbilder /// Anleitungs-Guru | Online Banking vermutlich Phishing vor Login Das liegt an Dir. Wenn Du mit der Bereinigung weitermachen willst, dann machen wir weiter. Wenn Du "Neuaufsetzen" willst, dann ist das auch Deine Entscheidung. Mir egal. Zitat:
__________________ Gruß deeprybka Lob, Kritik, Wünsche? Spende fürs trojaner-board? _______________________________________________ „Neminem laede, immo omnes, quantum potes, iuva.“ Arthur Schopenhauer |
17.05.2015, 17:49 | #28 |
| Online Banking vermutlich Phishing vor Login Das neu aufsetzen würde ich mir gerne sparen, weil ich kein Win 7 bei der Hand habe. So gesehen machen wir weiter, bitte |
17.05.2015, 17:50 | #29 |
/// TB-Ausbilder /// Anleitungs-Guru | Online Banking vermutlich Phishing vor Login Schritt 1
__________________ Gruß deeprybka Lob, Kritik, Wünsche? Spende fürs trojaner-board? _______________________________________________ „Neminem laede, immo omnes, quantum potes, iuva.“ Arthur Schopenhauer |
17.05.2015, 20:55 | #30 |
| Online Banking vermutlich Phishing vor LoginCode:
ATTFilter ^ Malwarebytes Anti-Malware www.malwarebytes.org Suchlauf Datum: 17.05.2015 Suchlauf-Zeit: 20:49:54 Logdatei: Administrator: Ja Version: 2.01.6.1022 Malware Datenbank: v2015.05.17.03 Rootkit Datenbank: v2015.05.16.01 Lizenz: Kostenlos Malware Schutz: Deaktiviert Bösartiger Webseiten Schutz: Deaktiviert Selbstschutz: Deaktiviert Betriebssystem: Windows 7 Service Pack 1 CPU: x86 Dateisystem: NTFS Benutzer: nina Suchlauf-Art: Bedrohungs-Suchlauf Ergebnis: Abgeschlossen Durchsuchte Objekte: 418218 Verstrichene Zeit: 34 Min, 3 Sek Speicher: Aktiviert Autostart: Aktiviert Dateisystem: Aktiviert Archive: Aktiviert Rootkits: Aktiviert Heuristik: Aktiviert PUP: Aktiviert PUM: Aktiviert Prozesse: 0 (Keine schädliche Elemente gefunden) Module: 0 (Keine schädliche Elemente gefunden) Registrierungsschlüssel: 1 PUP.Optional.WeDownLoadManager.A, HKU\S-1-5-21-3389578649-474333246-578579119-1006\SOFTWARE\WEDLMNGR, , [5067138145457db9d4749b6439ca17e9], Registrierungswerte: 1 PUP.Optional.Spigot.A, HKU\S-1-5-21-3389578649-474333246-578579119-1006\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{B6449CE3-FAFF-4CF0-A17D-74885FB179FE}|URL, https://at.search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=903578&p={searchTerms}, , [a314d9bb9eecf244c3d6766235ce33cd] Registrierungsdaten: 0 (Keine schädliche Elemente gefunden) Ordner: 3 PUP.Optional.SimilarSites.A, C:\Users\nina\AppData\Roaming\SimilarSites, , [9e19276daddd1d19e9a6931712f19967], PUP.Optional.SiteFinder.A, C:\Users\nina\AppData\LocalLow\SiteFinder, , [6a4d0d873654c47264442e9056ad26da], PUP.Optional.SiteFinder.A, C:\Users\nina\AppData\LocalLow\SiteFinder\UserData, , [6a4d0d873654c47264442e9056ad26da], Dateien: 3 PUP.Optional.Spigot.A, C:\Users\nina\AppData\Roaming\Mozilla\Firefox\Profiles\tcn0t8c3.default\searchplugins\yahoo_ff.xml, , [892e3b591a70d0660b68a740cf34fe02], PUP.Optional.SiteFinder.A, C:\Users\nina\AppData\LocalLow\SiteFinder\UserData\prefs.js, , [6a4d0d873654c47264442e9056ad26da], PUP.Optional.Spigot.A, C:\Users\nina\AppData\Roaming\Mozilla\Firefox\Profiles\tcn0t8c3.default\prefs.js, Gut: (), Schlecht: (user_pref("keyword.URL", "https://at.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&ilc=12&type=903578&p=");), ,[52657a1a4a40db5bfdd96eeefe082ed2] Physische Sektoren: 0 (Keine schädliche Elemente gefunden) (end) |
Themen zu Online Banking vermutlich Phishing vor Login |
anhang, aufforderung, banking, eingabe, erscheint, formation, funktioniert, gestern, handy, handynummer, information, installation, login, online, online banking, phishing, phone, scan, seite, seltsame, software, tans, troja, vermutlich, vorerst |