Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Sparkassen-Trojaner mit 40er TAN-Abfrage (https://www.trojaner-board.de/101032-sparkassen-trojaner-40er-tan-abfrage.html)

rstatnik 05.07.2011 11:21
Sparkassen-Trojaner mit 40er TAN-Abfrage
 
Guten Tag,

das Problem stellt sich wie folgt dar: Mein Kollege (schreibe von meinem Rechner aus) bekommt beim Versuch, sich online bei der Sparkasse anzumelden ein Popup mit einer 40er TAN-Abfrage; ist also offensichtlich mit einem Trojaner infiziert. Meine Vorgehensweise war wie folgt:

1. Anti-Vir

-> kein Fund

2. Malwarebytes

Code:
Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 7018

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05.07.2011 10:05:54
mbam-log-2011-07-05 (10-05-54).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 292663
Laufzeit: 2 Stunde(n), 1 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{7D74BF4E-6FAA-5E81-2129-A6638C9BBDD1} (Spyware.Password) -> Value: {7D74BF4E-6FAA-5E81-2129-A6638C9BBDD1} -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> Value: load -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\4E3E0230AEBB4E96 (Trojan.SpyEyes) -> Value: 4E3E0230AEBB4E96 -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Value: Shell -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer (PUM.Bad.Proxy) -> Value: ProxyServer -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\***\anwendungsdaten\Ofba\efdoe.exe (Spyware.Password) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\***\lokale einstellungen\Temp\jar_cache4690968178947359707.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\***\lokale einstellungen\temporary internet files\Content.IE5\1AZDGHML\windows-update-sp3-kb95634-setup[1].exe (Spyware.Password) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\***\lokale einstellungen\temporary internet files\Content.IE5\MAC45BY4\load[1].htm (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\***\anwendungsdaten\Adobe\shed\thr1.chm (Malware.Trace) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\***\anwendungsdaten\Adobe\plugs\mmc188.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\***\anwendungsdaten\Adobe\plugs\mmc47.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
3. Schritte 1 bis 3 laut Anleitung im Forum

Die entsprechenden Log-Dateien befinden sich im Anhang. Ich hoffe mir kann jemand helfen. Vielen Dank im Voraus.

PS: Arbeiten in einem kleinem Büronetzwerk mit 3 Rechnern. Besteht die Gefahr, dass das gesamte Netzwerk schon infiziert ist? Wie kann ich ggf. erste Schritte einleiten, um das zu verhindern?

markusg 05.07.2011 11:30
hi, dieses system gehört neu aufgesetzt, hier war ja schon ne menge anderer malware aktiev.
habt ihr denn keine backups in der firma die ihr bei malware befall nutzt um die pcs sauber zurück zu setzen?
es besteht nach jedem malware befall die möglichkeit, das reste zurück bleiben und evtl. firmengeheimnisse ausspähen können, oder die pcs für sonst was verwenden.
also:
1. daten sichern.
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
2. pc formatieren, falls anleitung nötig bekommst du die.
3. pc absichern, anleitung bekommst du.
4. alle passwörter endern.

rstatnik 05.07.2011 12:12
Danke erst mal für die schnelle Antwort. Ich hab es zwar befürchtet, aber das System neu aufsetzen wollte ich zunächst tunlichst vermeiden. Daten sind zwar gesichert (auf Server), jedoch die einzelnen Anwendungsprogramme auf dem lokalen Rechner müsste ich wieder in mühevoller Arbeit aufspielen, da reicht eine Kanne Kaffee und ein Wochenende nicht aus. Kann ich zunächst mal ein paar Bereinigungsversuche starten? Das System kann ich dann ja immer noch killen, wenn daraus nichts wird.

markusg 05.07.2011 13:47
nein, kannst du nicht.
was ist dir wichtiger, evtl. arbeit zu investiern, oder daten der firma zu verlieren, und dass sogar wissendlich.
oder evtl. sogar das ganze netzwerk in gefahr zu bringen, falls der pc weitere malware oben hatt.
wir werden das system neu aufsetzen und ich zeige dir, wie du in zukunft solche probleme vermeidest.
kauf dir ne packung kafee, dann müssens eben 2 kannen werden :-)

rstatnik 06.07.2011 07:35
ja dann werde ich das wohl oder übel machen müssen :(
eine hilfestellung wäre nicht schlecht.

markusg 06.07.2011 10:45
ok. sind noch daten, lizenzschlüssel etc zu sichern? oder passt das alles und wir können formatieren?

rstatnik 06.07.2011 11:04
ist alles gesichert. kannst du mir aber bitte quasi eine komplettanleitung geben, die ich dann schritt für schritt (übers wochenende) abarbeiten kann? sollten fragen oder probleme auftauchen kann ich ja wieder rücksprache hier im thread halten oder nicht?

markusg 06.07.2011 11:38
ok, müsste noch wissen ob du ne windows cd, recovery cd oder ne recovery partition nutzt, falls letzteres, von welchem hersteller ist dein gerät und den typen brauche ich.

rstatnik 06.07.2011 12:38
windows xp cd inkl. sp2

markusg 06.07.2011 14:48
ok, cd einlegen, pc von cd starten.
also neustart und dann sollte das cd rom laufwerk anlaufen.
dann schritten folgen, zuerst formatieren!
dann windows neu instalieren.
falls daten nach windows.old verschoben werden, ist was beim formatieren falsch gelaufen.
dann evtl. vorhandene treiber cds nutzen.
dann gehts weiter, ich weis, ist viel aber nötig.
nichts überspringen, bei problemen melden.

http://www.trojaner-board.de/96344-a...-rechners.html
hier alles unter windows xp und allgemeines abarbeiten!
außerdem den abschnitt
Maßnahmen für ALLE Windows-Versionen abarbeiten.

als antivirus kannst du zb avast nutzen. pdf zur anleitung gibts hier:
Bremer Treff - Downloads - Anleitungen - Installation und Einstellung von avast 6 Free Edition
denke die haben das beste gesammt angebot für kostenlose produkte.
als browser opera.
falls er dir nicht zusagt, passe ich die anleitung für nen andern browser an
um das surfen sicherer zu machen, würde ich sandboxie empfehlen.
Download:
http://filepony.de/download-sandboxie/
anleitung:
Sandbox*Einstellungen |

(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.

eine sandbox ist eine isulierte umgebung aus der kein programm raus kommt.

um die volle wirkung zu erreichen muss alles umgesetzt und eingehalten werden.
alle benötigten verknüpfungen fürs eingeschrenkte konto nach
c:\benutzer\Default\desktop bzw \startmenü
kopieren. so sind sie für alle sichtbar
wenn du fragen hast, probleme, oder erfolgreich warst, melde dich bitte.
wenn du online banking betreibst, lese den passenden abschnitt, die card reader gibts verbilligt bei den banken. ist ein sehr sicheres verfahren.


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:38 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131