|
20 TAN Trojaner versteckt sich irgendwo Hallo! Ein Arbeitskollege hat sich irgendwo einen 20 TAN Trojaner eingefangen. Bisher konnten wir ihn allerdings noch nicht lokalisieren. Kann jemand weiterhelfen? Code: Logfile of Trend Micro HijackThis v2.0.2 |
hi, 1. bank anrufen, online banking sperren. 2. hab ich ihn schon gesehen. das beste ist aber dann nachher neu aufzusetzen um ganz sicher zu sein, ich möchte aber noch dateien einsenden, um sie an antivirus hersteller einzusenden, damit alle besser geschützt sind. ich helfe euch dann, den pc für die zukunft abzusichern, er hat ihn sich warscheinlich über ne sicherheitslücke gefanen. 3. bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
Sorry, aber ich komme an den PC erst nächste Woche wieder dran. Könntest du etwas genauer werden mit deinem "gesehen"? 1. Online Banking ist schon lange gesperrt 2. Sicherheitslücke eigentlich nicht...war alles aktuell 3. Also ich habe ja so meine Hemmungen mit "Fremdprogrammen" und wie gesagt komme erst nächste Woche dazu |
hi, was ist denn hjt, ist doch auch nen programm und das allein würde niemals ausreichen das problem zu lösen. wenn ich dir sage, das hier noch offene sicherheitslücken sind, kannst du mir das ruhig glauben. O4 - HKCU\..\Run: [Arm32] C:\Users\stefan schneider\AppData\Roaming\Adobe\Update\wid32.exe da ist eine infizierte datei, aber das wird bestimmt net die einzige sein und bitte nicht löschen sie muss analysiert werden evtl. warum kann dein bekannter sich nicht selbst anmelden, dann gehts schneller |
...weil der sich nur auf Musik hören und Videos gucken beschränkt :crazy: |
na und, wir hatten schon sehr viele hier die behaupteten sie könnens net, am ende habens 99 % selbst hinbekommen. man, oder die leute selbst, trauen sich immer viel weniger zu als sie dann hinterher zeigen. |
Das Combofix-Log wird wohl morgen irgendwann kommen... |
ok. also bis dann :-) |
Code: ComboFix 10-09-16.04 - stefan schneider 16.09.2010 23:03:45.1.2 - x86 |
start programme zubehör editor, kopiere rein: Killall:: File:: c:\users\stefan schneider\AppData\Roaming\Adobe\Update\wid32.exe datei speichern unter, ort dort wo sich combofix.exe befindet, typ alle dateien, name cfscript.txt ziehe cfscript auf combofix, programm startet, log posten. |
Code: ComboFix 10-09-16.07 - stefan schneider 18.09.2010 0:23.2.2 - x86 |
ok rechtsklick avira schirm, guard deaktivieren. öffne arbeitsplatz, c:\qoobox und dort rechtsklick auf quarantaine und zu quarantaine.rar oder zip hinzufügen, archiv geht an uns. http://www.trojaner-board.de/54791-a...ner-board.html |
Und danach dann Neuinstallation oder was? |
genau so ists |
Muss ich noch vorher den MBR irgendwie fixen? |
nein. nach dem formatieren sofort windows update aufsuchen, servicepacks + internet explorer 8 drauf. dann avira. http://www.trojaner-board.de/54192-a...tellungen.html bitte so konfigurieren wie beschrieben. 1. solltest du nur noch als eingeschrenkter nutzer arbeiten , das admin konto ist nur für instalationen gedacht. klicke start, tippe unter suchen (ausführen) systemsteuerung. wähle dort Benutzerkonten hinzufügen/entfernen. wähle "neues konto erstellen" Wähle standard benutzer. die konten sollten mit einem passwort geschützt werden. dazu auf konto endern klicken und passwörter vergeben. Die folgenden konfigurationen als admin ausführen: 2. dep aktivieren: dep für alle prozesse: Datenausführungsverhinderung (DEP) • "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:". wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen. 3. sehop aktivieren: SEHOP aktivieren: Aktivieren von SEHOP (Structured Exception Handling Overwrite Protection) in Windows-Betriebssystemen klicke auf "Feature automatisch aktivieren" und folge den anweisungen dieser tipp, gilt auch für windows 7 4. als browser den firefox nutzen: Webbrowser Firefox | Schneller, sicherer & anpassbar | Mozilla Europe 5. als adon noscript, es werden dadurch einige scripts (java) zb blockiert, du kannst diese dann frei geben, in dem du auf der seite, die freigegeben werden soll, nen rechtsklick machst, noscript wählst, und temporär alle berectigungen aufheben wählst, somit werden sie für den besuch aufgehoben, oder alle beschrenkungen aufheben, somit wird die seite freigegeben. das kann man natürlich wieder rückgängig machen. http://filepony.de/download-noscript// 6. adblock+ um werbung zu blockieren: http://filepony.de/download-adblock_firefox// hier gibt es noch filterlisten: Bekannte Filterlisten für Adblock Plus hier würde ich 2 oder 3 deutsche filter auswählen. unter sonstiges die malware blocklist. 7. um das surfen sicherer zu machen, würde ich sandboxie empfehlen. Download: Sandboxie Download anleitung: drop.io (als pdf) hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar. den direkten datei zugriff bitte auf firefox beschrenken, hier kannst du auch noscript und andere plugins eintragen. OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini plugin-container.exe bei Internetzugriff: firefox.exe und plugin-container.exe eintragen wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. ab sofort also nur noch in der sandbox surfen bitte. 8. autorun für usb deaktivieren: über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab. Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de usb sticks, festplatten etc, sollte man mit panda vaccine impfen: ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit. hake an: hake an: run panda usb vaccine automatically when computer boots automatically vaccine any new insert usb key enable ntfs file suport 9. updates: Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt. instaliere die folgenden update checker. Secunia: http://www.trojaner-board.de/83959-s...ector-psi.html und file hippo update checker: FileHippo.com Update Checker - FileHippo.com das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok. 10. regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht. Acronis True Image 2011 - Festplatten-Backup-Software, Datei-Backup und Disk Imaging, Wiederherstellung von Anwendungseinstellungen, Backup von Musik, Videos, Fotos und Outlook-Mails außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen. Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden. Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll. so ab jetzt nur noch im standard nutzerkonto arbeiten und dort nur noch in der sandbox surfen. klicke dazu auf "sandboxed web browser". 11. passwörter endern. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:37 Uhr. |
Copyright ©2000-2025, Trojaner-Board