Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Volksbank Online-Banking fordert Tan-Liste (https://www.trojaner-board.de/100398-volksbank-online-banking-fordert-tan-liste.html)

kimba87 16.06.2011 15:00
Volksbank Online-Banking fordert Tan-Liste
 
Hallo,

wollte mich gerade in mein Volksbank Onlinebanking-Konto einloggen und direkt danach kam diese Fehlermeldung hier:

http://www.imgbox.de/users/public/images/iHpkRKCkL1.JPG

Das hat mich natürlich direkt stutzig gemacht und ich habe den Browser geschlossen und natürlich nichts eingegeben.

Hab ich mir jetzt einen Trojaner eingefangen? Wenn ja, welchen und was kann ich dagegen tun? Antivir Virenscann überprft gerade die Festplatte, hat aber bis jetzt noch nichts gefunden.

Ich hoffe ihr könnt mir weiter helfen.:confused:

markusg 16.06.2011 15:01
ja hast du.
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten

kimba87 16.06.2011 15:12
Okay, danke für die Antwort. Der Scan läuft gerade durch.

Hab jetzt durch Google herausgefunden, dass vermutlich das System wieder neu installiert werden muss.

Nistet sich so ein Trojaner zwangsläufig in der C Partition ein oder kann der auch auf einer anderen sein?
Ich habe nämlich auf der D Partition so viele Daten, das würde ewig dauern, die auf eine externe zu verfrachten.

@Edit: Hab nochmal versucht mit einzuwählen und jetzt kommt die Fehlermeldung nicht mehr.
War das jetzt falscher Alarm oder ist der Trojaner doch noch da?

markusg 16.06.2011 15:24
woher soll ich dass denn alles wissen, ohne ein log gesehen zu haben? mein name ist nicht Nostradamus :-)

kimba87 16.06.2011 15:31
Okay, der Scan ist ja jetzt fertig. Wusste ja nicht wie lange sowas dauert.

Log-Files sind im Anhang!

markusg 16.06.2011 15:33
der trojaner ist nicht weg :-(
achtung!
dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.


:OTL
O4 - HKU\S-1-5-21-3864853065-1546197679-330043757-1000..\Run: [2F7ZUJ7G2IWWVYYDXQBDLDLHJTI] C:\SystemData\217FA966DB1.exe (KRNn)
:Files
C:\SystemData
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]


• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.

öffne computer, öffne E: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
http://www.trojaner-board.de/54791-a...ner-board.html

kimba87 16.06.2011 15:45
Ich kann die Datei nicht hier hochladen, weil sie zu groß ist.
In dem MovedFiles ist eine Firefox-Profil-Datei, die ca. 1,5mb groß ist.
Brauch man die auch oder soll ich die einfach weglassen?

markusg 16.06.2011 15:47
und, hab ich denn geschrieben das sie im forum angehangen wird, nein, lies den link der da steht, die datei soll in den upload channel, oder möchtest du das sich leute mit deiner malware infizieren?

kimba87 16.06.2011 15:48
Okay, lade die Datei mit dem Firefox-Kram gerade auf dem Upload-Channel hoch.

Sorry, da hatte ich was falsch verstanden :crazy:

markusg 16.06.2011 15:51
aber nicht hier im forum sondern im upload channel, bitte lade das archiv komplett dort hoch, also moved files packen und hochladen.
mach nicht so ne hektik, arbeite richtig.

kimba87 16.06.2011 15:55
Okay, habs verstanden!

Zitat:
Datei: MovedFiles.rar_1 empfangen

Vorgang erfolgreich abgeschlossen.

markusg 16.06.2011 16:06
sehr gut.
du hast einen spyeye trojaner auf dem pc.
deine daten auf der anderen partition sind nicht in gefahr.
das system muss aber, nach datensicherung aller wichtigen daten auf c: formatiert werden und neu aufgesetzt.
dazu bekommst du, falls nötig, ne anleitung.
weiterhin erkläre ich dir dann, wie man das system sicherer macht.
dann müssen alle passwörter geendert werden

kimba87 16.06.2011 16:09
Okay, danke für deine Mühen.:daumenhoc

Also kann ich die Daten auf Partition D, E und der externen einfach so belassen und installiere einfach Windows neu?

Ich werd mich direkt mal an die Arbeit machen und mich dann nachher wieder melden, um mein System sicher zu machen.

Vielen Dank!!!

kimba87 16.06.2011 17:16
So, Windows läuft wieder, die Fehlermeldung beim Onlinebanking ist weg und ich bin gerade am Programme am installieren.

Wie kann ich mich in Zukunft am besten gegen solche Viren und Trojaner schützen?

markusg 16.06.2011 17:21
befor man programme instaliert, wird erst mal der pc richtig gemacht.
start suchen, windows update eintippen.
instaliere so lange wichtige und optionale updates, bis es keine mehr gibt. also auch nach neustart.
dann unter einstellungen so konfigurieren das updates automatisch geladen werden.
dann gehts weiter:

http://www.trojaner-board.de/96344-a...-rechners.html
hier alles unter vista / windows 7 und allgemeines abarbeiten!
außerdem den abschnitt
Maßnahmen für ALLE Windows-Versionen abarbeiten.

als antivirus kannst du zb avast nutzen. pdf zur anleitung gibts hier:
http://www.trojaner-board.de/127580-...igurieren.html
denke die haben das beste gesammt angebot für kostenlose produkte.
als browser opera.
falls er dir nicht zusagt, passe ich die anleitung für nen andern browser an
um das surfen sicherer zu machen, würde ich sandboxie empfehlen.
Download:
http://filepony.de/download-sandboxie/
anleitung:
Sandbox*Einstellungen |

(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.

eine sandbox ist eine isulierte umgebung aus der kein programm raus kommt.

um die volle wirkung zu erreichen muss alles umgesetzt und eingehalten werden.
alle benötigten verknüpfungen fürs eingeschrenkte konto nach
c:\benutzer\Default\desktop bzw \startmenü
kopieren. so sind sie für alle sichtbar
wenn du fragen hast, probleme, oder erfolgreich warst, melde dich bitte.
wenn du online banking betreibst, lese den passenden abschnitt, die card reader gibts verbilligt bei den banken. ist ein sehr sicheres verfahren.

kimba87 16.06.2011 17:59
Danke für die detailierte Aufklärung.

Also ich bin mit Opera noch nie richtig zufrieden gewesen und hab mich eigentlich schon so an Firefox gewöhnt, den möchte ich nur ungerne missen.

markusg 16.06.2011 18:11
ok.
dann passe ichs an.
setze aber den rest um!
das ist wichtig wegen onlinebanking, die trojaner werden gefährlicher, schwerer aufzuspüren und zahlreicher, da muss man als user nach ziehen.
als adon noscript, es werden dadurch einige scripts (java) zb blockiert, du kannst diese dann frei geben, in dem du auf der seite, die freigegeben werden
soll, nen rechtsklick machst, noscript wählst, und temporär alle berectigungen aufheben wählst, somit werden sie für den besuch aufgehoben, oder alle beschrenkungen
aufheben, somit wird die seite freigegeben. das kann man natürlich wieder rückgängig machen.
http://filepony.de/download-noscript//
6.

adblock+ um werbung zu blockieren:
http://filepony.de/download-adblock_firefox//
hier gibt es noch filterlisten:
Bekannte Filterlisten fr Adblock Plus
hier würde ich 2 oder 3 deutsche filter auswählen.
unter sonstiges die malware blocklist.

um das surfen sicherer zu machen, würde ich sandboxie empfehlen.
Download:
http://filepony.de/download-sandboxie/
anleitung:
Sandbox*Einstellungen |
(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar.
den direkten datei zugriff bitte auf firefox.exe und plugin-container.exe
beschrenken, hier kannst du auch noscript und andere plugins eintragen.
geht auch unter
c:\windows\sandboxie.ini
unter dem eintrag defauld box
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini
bei
Internetzugriff:
firefox.exe und
plugin-container.exe
eintragen
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, firefox.
direkten zugriff auf lesezeichen erlauben auswählen und auf hinzufügen klicken, dann auf ok.
wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.
nur noch in der sandbox surfen, mit klick auf sandboxed web browser

kimba87 16.06.2011 18:38
Okay, werd ich dann nachher auch noch alles machen.

Und vielen Dank nochmal!!!

markusg 16.06.2011 18:40
wenns irgendwelche unklarheiten gibt, fragen, dann finden wir sicher die passende antwort /lösung.


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:02 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131