Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Verunsicherung wegen Gen-Bancos (https://www.trojaner-board.de/104442-verunsicherung-wegen-gen-bancos.html)

HolgerSVB 24.10.2011 08:50

Verunsicherung wegen Gen-Bancos
 
Hallo!
Ich bin neu hier…….und gleich vorweg: Ich habe nicht wirklich Ahnung. Von daher verzeiht mir dumme Fragen oder Nachfragen.
Zum Problem: Wir haben eine Mitteilung von T-Online bekommen, dass unsere E-Mailadresse und das Zugangspasswort in einer „Drop Zone“ gefunden wurden. Trojanerbefall läge nahe.
T-Onlinekunden sind wir seit Anfang Sept. nicht mehr. Sämtliche Dienste dort sind deaktiviert.
Wir benutzen einen PC (Lan) und drei Laptops (Wlan). Ich benutze den PC jedes andere Familienmitglied ein Laptop. Sofortige Suche mit „Super Antispy“ zeigt das auf dem Notebok meiner Frau “Gen-Bancos“ war. Alle anderen Rechner waren, auch nach Tests mit „Malwarebites“ und dem"Tool zum Entfernen bösartiger Software" von Microsoft, sauber.
Wir konnten den Trojaner entfernen und um ganz sicher zu gehen habe ich an meinem PC das System neu aufgesetzt und dann alle Passworte geändert.
Soweit so gut: Aber woher hatte der Trojaner die Informationen. E-Mail habe ich nur mit dem PC abgeholt. Zwar tauchen alle Rechner im „Heimnetzwerk“ auf aber wir haben da nichts freigegeben. Kann der Trojaner vom Laptop über Wlan auf die Daten des PC zugreifen?
Ich denke eigentlich nicht bin aber völlig verunsichert!
Tschuldigung, dass es ein so langer Beitrag geworden ist aber ich dachte der Sachverhalt sollte genau beschrieben werden.
Danke

Holger

cosinus 24.10.2011 11:43

Zitat:

habe ich an meinem PC das System neu aufgesetzt und dann alle Passworte geändert.
Du hast deinen PC aber nicht das infizierten Notebook neu installiert? Wieso? :wtf:
Den Trojaner habt ihr vom Notebook entfernt und dann den PC neu installiert...wie wurde der Schädling denn angeblich entfernt?

HolgerSVB 24.10.2011 14:18

Zitat:

Zitat von cosinus (Beitrag 712515)
Du hast deinen PC aber nicht das infizierten Notebook neu installiert? Wieso? :wtf:
Den Trojaner habt ihr vom Notebook entfernt und dann den PC neu installiert...wie wurde der Schädling denn angeblich entfernt?

Hallo!
Wollte nicht zu weit ausholen! Notebook wird z. Z. nur zum "surfen" benutzt.
Es erfolgen also keine Passworteingaben, alle gespeichten Passworte sind ja jetzt nicht mehgr gültig. Werde ich heute oder morgen neu aufsetzen.
Außerdem hat uns T-Online mitgeteilt, dass vermutlich "SpyKey" aktiv war. Vielleicht war der "Bancos" gar nicht der Schuldige.

Entfernt haben wir ihn folgendermaßen: Löschen mit "Super Antispy", danach startete Windows nicht mehr. Systemwiederherstellung. Trojaner wieder da. Regestry mit "CC-Cleaner" gereinigt. Erneut mit "Super Antispy" gelöscht.
Diesmal lief Windows nach dem Systemstart. Seitdem mindesten 7 oder 8 Scans mit "Super...", "Malwarebyts" (auch im abgesichtern Modus) und dem "Tool zum Entfernen bösartiger Software" . Jeweils mit und ohne Internetverbindung. Kein Fund mehr.
Ich werde ihn trotzdem neu aufsetzen.

Die Frage ist kann bzw. konnte der Trojaner über das "Heimnetzwerk" auf meinen PC zugreifen obwohl ich nichts freigegeben habe?
Gruß

Holger

cosinus 24.10.2011 14:55

Zitat:

Die Frage ist kann bzw. konnte der Trojaner über das "Heimnetzwerk" auf meinen PC zugreifen obwohl ich nichts freigegeben habe?
So mit Freigaben muss das nicht unbedingt was zu tun haben. Außerdem sind auf jedem Windows immer Freigaben aktiv, die administrativen Freigaben. Wie ist denn die Windows-Firewall auf den Rechnern eingestellt, ist da Datei- und Druckerfreigabe erlaubt?

Wie der SpyEyes/SpyKeys das Ausspähen genau geschafft hat, kann ich natürlich nich hellsehen :glaskugel: aber es könnte sein:

1.) Logindaten wurde doch auf dem infizierten System eingetippt nur du weißt es nicht mehr
2.) Desktop-Rechner war ebenfalls verseucht
3.) der SpyEyes hat es irgendwie geschafft, die Logindaten vom anderen Rechner abzufangen (halte ich eher für unwahrscheinlich)

SpyEyes ist ein gefährlicher Keylogger und Datenklauer, den damit infizierten Rechner solltest du ebenfalls komplett formatieren und neu installieren.

HolgerSVB 24.10.2011 15:20

Zitat:

Zitat von cosinus (Beitrag 712604)
Wie ist denn die Windows-Firewall auf den Rechnern eingestellt, ist da Datei- und Druckerfreigabe erlaubt?

Gar nicht. Ich nutze die kostenlose "Zonealarm"

Zitat:

Zitat von cosinus (Beitrag 712604)
1.) Logindaten wurde doch auf dem infizierten System eingetippt nur du weißt es nicht mehr
2.) Desktop-Rechner war ebenfalls verseucht
3.) der SpyEyes hat es irgendwie geschafft, die Logindaten vom anderen Rechner abzufangen (halte ich eher für unwahrscheinlich)

1. Mit Sicherheit! Ist aber mindestens schon 8 Wochen her. Kann der Datendiebstahl so lange zurück liegen?
2. Habe ich auch befürchtet. Zwar nichts gefunden, aber trotzdem neu aufgesetzt.
3.Das war eben die Frage, denn dann könnte der PC ja schon wieder (nach24 Stunden) verseucht sein.

Zitat:

Zitat von cosinus (Beitrag 712604)
SpyEyes ist ein gefährlicher Keylogger und Datenklauer, den damit infizierten Rechner solltest du ebenfalls komplett formatieren und neu installieren.

Wenn es denn Spykey war. Gefunden habe ich ihn ja nicht.
"Formatieren und installieren".......habe die "Resque DVDs" genutzt die ich bei Inbetriebnahme des PC hergestellt habe. Danach war der Auslieferungzuzstand wieder hergestellt. (auf "C". Die Daten auf "D" sind erhalten geblieben. Da sind keine exeDateien oder Prograsmme drauf).
Das reicht doch hoffentlich ?!
Gruß

Holger

cosinus 24.10.2011 15:26

Zitat:

Gar nicht. Ich nutze die kostenlose "Zonealarm"
ZoneAlarm ist kontraproduktiver Müll, bitte umgehend deinstallieren und die Windows-Firewall einschalten!

Zitat:

Das reicht doch hoffentlich ?!
Ja sollte so reichen, sofern wirklich nur reine Datendateien übernommen werden. Und achja, prüf auch mal noch den MBR:

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

HolgerSVB 24.10.2011 15:43

Hallo!
Erstmal Danke für die raschen Antworten.
Hier das Ergebnis des Scans:

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-10-24 16:37:34
-----------------------------
16:37:34.686 OS Version: Windows x64 6.1.7600
16:37:34.686 Number of processors: 4 586 0x2A07
16:37:34.687 ComputerName: HOLGER-PC UserName: Holger
16:37:35.780 Initialize success
16:38:21.912 AVAST engine defs: 11102401
16:38:27.908 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
16:38:27.910 Disk 0 Vendor: WDC_WD10 80.0 Size: 953869MB BusType: 3
16:38:27.921 Disk 0 MBR read successfully
16:38:27.924 Disk 0 MBR scan
16:38:27.929 Disk 0 Windows 7 default MBR code
16:38:27.933 Service scanning
16:38:30.486 Service Vsdatant C:\Windows\system32\DRIVERS\vsdatant.sys **LOCKED** 32
16:38:31.055 Modules scanning
16:38:31.059 Disk 0 trace - called modules:
16:38:31.076 ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll
16:38:31.080 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa80065ed060]
16:38:31.084 3 CLASSPNP.SYS[fffff8800120143f] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa800484f050]
16:38:33.245 AVAST engine scan C:\Windows
16:38:35.078 AVAST engine scan C:\Windows\system32
16:39:34.067 AVAST engine scan C:\Windows\system32\drivers
16:39:40.944 AVAST engine scan C:\Users\Holger
16:40:04.288 AVAST engine scan C:\ProgramData
16:40:18.560 Scan finished successfully
16:40:45.448 Disk 0 MBR has been saved successfully to "C:\Users\Holger\Desktop\MBR.dat"
16:40:45.454 The log file has been saved successfully to "C:\Users\Holger\Desktop\aswMBR.txt"



Gruß
Holger

cosinus 24.10.2011 17:35

Zitat:

16:38:27.929 Disk 0 Windows 7 default MBR code
Der MBR ist ok.

Zitat:

16:38:30.486 Service Vsdatant C:\Windows\system32\DRIVERS\vsdatant.sys **LOCKED** 32
Von ZoneAlarm solltest dudoch die Finger lassen...

HolgerSVB 25.10.2011 06:29

Zitat:

Zitat von cosinus (Beitrag 712701)
Der MBR ist ok.



Von ZoneAlarm solltest dudoch die Finger lassen...

Hallo!
Vielen Dank, aber was ist eine MBR ?
Kann ich jetzt beruhigt sein?

Und ZoneAlarm habe ich abgestellt und die Windowsfirewall wieder eingeschaltet (man ist ja lernfähig ;-).
Gruß

Holger

cosinus 25.10.2011 07:35

Zitat:

Vielen Dank, aber was ist eine MBR ?
Master Boot Record

Zitat:

Der Master Boot Record (kurz: MBR) ist bei BIOS-basierten Computern der x86-Architektur der erste Datenblock (512 Byte) eines in Partitionen aufgeteilten Speichermediums, wie beispielsweise einer Festplatte. Der MBR enthält eine Partitionstabelle, die die Aufteilung des Datenträgers beschreibt, und optional einen Boot-Loader, ein Programm, das ein Betriebssystem auf einer der Partitionen startet.

HolgerSVB 25.10.2011 08:54

Hallo!
Danke für die Aufklärung!
Mir als PC-Dummie bleibt allerdings verschlossen warum dieser Scan Auskunft über den Trojanerbefall gibt.
Aber egal, ich entnehme dem, dass ich nun beruhigt sein kann!
Ach ja, das Laptop wird nicht mehr "online" benutzt. War eh schon uralt.........also eine gute Gelegenheit bei einem Schnäppchenangebot eines hiesigen Elektrohändlers zuzuschlagen:rolleyes:
Danke für die freundliche Hilfe.
Gruß

Holger

cosinus 25.10.2011 12:25

Zitat:

warum dieser Scan Auskunft über den Trojanerbefall gibt.
Der MBR beinhaltet ausführbaren Code - den Bootloader - ein Programm, das ein Betriebssystem auf einer der Partitionen startet. Und ausführbarer Code kann bösartig sein. Es gibt zB den TDSS/TDL oder Sinowal, der den MBR schadhaft manipuliert.

HolgerSVB 26.10.2011 07:58

Aha.............
Danke für die Erklärung :daumenhoc

Holger


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:32 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131