Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Onlinebanking-Trojaner: "Bitte Warten, prüfen wir die letzte Sitzung" (https://www.trojaner-board.de/103489-onlinebanking-trojaner-bitte-warten-pruefen-letzte-sitzung.html)

arnolde 17.09.2011 21:36
Onlinebanking-Trojaner: "Bitte Warten, prüfen wir die letzte Sitzung"
 
Hallo,

heute hat es mich auch erwischt, nach dem Klick auf ein Button in einer angeblichen Facebook-Freundschaftsanfrage per Email (ohne wie sonst auf die Ziel-URL zu gucken) öffnete mein Firefox eine Facebook-ähnlich aussehende Seite mit der Meldung: "Ihre Version von Macromedia Flash Player ist zu alt, um fortzufahren. Downloaden und installieren Sie die neueste Version von Adobe Flash Player." - gleichzeitig erscheint unten links in der Statuszeile "Applet .... started" und der Avira schlägt Alarm.

Hab den Browser geschlossen und Avira zum Löschen aller gefundenen Vorkommnisse angewiesen.

Einige Minuten später, ich hatte es schon vergessen, wollte ich mich bei Onlinebanking einloggen, einmal bei Comemrzbank und einmal bei der Deutschen Bank. Und bei BEIDEN fiel mir auf: Das Laden der Seiten war extrem langsam, und dann erschien bei beiden (!) die Meldung: "Bitte Warten, prüfen wir die letzte Sitzung" (der Schreibfehler war mir zunächst nicht mal aufgefallen). Ausserdem war die Seite der Commerzbank teilweise fehlerhaft (falsche Schriftarten).


http://rc-autopilot.de/wiki/images/t...ojan-email.jpg

http://rc-autopilot.de/wiki/images/t...ook-mockup.jpg

http://rc-autopilot.de/wiki/images/t...ge-changed.jpg

http://rc-autopilot.de/wiki/images/t...en-sitzung.jpg

Ein Scan mit Malwarebytes fand dann diverse Registryeinträge und Dateien:

Code:
Files Infected:
c:\Users\arnolde\AppData\Local\Temp\jar_cache62866.tmp (Trojan.Agent) -> No action taken.
c:\Users\arnolde\AppData\Local\Temp\jar_cache62867.tmp (Trojan.Agent) -> No action taken.
c:\Users\arnolde\AppData\Local\Temp\jar_cache62868.tmp (Trojan.Agent) -> No action taken.
c:\Users\arnolde\AppData\Local\Temp\jar_cache62870.tmp (Trojan.Agent) -> No action taken.
c:\Users\arnolde\AppData\Local\Temp\jar_cache62871.tmp (Trojan.Agent) -> No action taken.
Ein Entfernen aller verdächtigen Sachen, Neustart, erneuter Scan mit Fund, erneuted Entfernen und Neustart beseitigte dann alles, und die Bank-Seiten verhalten sich auch wieder normal. Habe natürlich meine PINs sofort geändert, TANs hatte ich keine eingegeben.

Bemerkenswert fand ich, daß ein einfacher URL-Klick diesen Trojaner bei mir installiert hat und trotz mehrfacher Aktionen von Antivir es weiterhin aktiv blieb. Ich bin in der IT-Sicherheit tätig und schon immer sehr sensibel bei Änderungen, Verlangsamungen, etc. gewesen, aber es ist das erste Mal in 15 Jahren wo ich mir tatsächlich nur durch eine URL etwas gefährliches eingefangen hatte.

Ich vermute es ist dasselbe wie er hier hatte:
http://www.trojaner-board.de/95322-p...ngefangen.html

viele Grüße,
E.Arnold

cosinus 19.09.2011 12:48
Zitat:
Ein Scan mit Malwarebytes fand dann diverse Registryeinträge und Dateien:
Unvollständige Logfiles machen genau KEINEN Sinn. Wenn immer alles vollständig posten.
Außerdem solltest du alle Logs von AntiVir nachreichen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:40 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131