|
Angriff bei homebanking?! Liebes Forum, Sicher habt Ihr von den im jüngster Zeit stattfindeneden Methoden gehört, die sich manch Zeitgenossen zu Nutze machen um während eine Transaktion beim homebanking an die TAN´s zu kommen. Genau dies scheint vor kurzem bei uns stattgefunden zu haben. Es kam die Meldung, die TAN sei schon verbraucht, jedoch nach Überprüfung der selbigen, war eben dies nicht der Fall. Natürlich haben wir sofort die Liste sperren lassen.Nach dem Trojaner den wir letztens eingefangen hatten(2ndThought.AA.1), war ich hier im Forum auf Hilfe gestoßen und habe zusätzlich zu meinem Virenprogramm und Zonealarm, escan geladen und nach Anweisung durchgeführt. Ferner habe ich bei dingens.org win32sec.exe(Dienste abschalten) heuntergeladen und auch ausgeführt. Bei escan kam außer ALEXA keine weitere Virenmeldung. IE benutze ich schon lange nicht mehr.Nach der Homebankinggeschichte habe ich den Rechner neu fomatiert. Jedoch nur Partition C. Meine zweite Partition mit den eigenen Daten jedoch nicht, da bei nochmaligem scannen auch hier keine Virenwarnung kam. Heute ließ ich, als ich online war, von escan die ports anzeigen. Folgende Meldungen wurden angezeigt: 1. error 10022 in function WSACancelAsyncRequest invalid argument 2. Access violation at adress 00418F79 im module `viewtcp.exe´. Read of adress 64613630 (mehrmals, jedoch mit anderen Zahlen) 3. invalid pointer operation Ferner würde ich gerne fragen was die verschiedenen Farben bei den ports zu bedeuten haben. Da ich mich nach oben genannten Maßnahmen, zumindest einigermaßen im Sicherheit wähnte, bin ich eigentlich jetzt unsicherer als je zuvor :-( Kann sich jemand vorstellen, wie das beim homebankig abgelaufen sein kann, was ich evtl. unterlassen habe, daß dies möglich war oder so? Damit ich da etwas klarer sehen kann, um die Risiken besser einschätzen zu können und entsprechende weitere Maßnahmen zu treffen? Und kann jemand mit den Meldungen aus dem escan etwas anfangen. Bin recht ratlsos und entmutigt :-) :-( LG laguaira |
@laguaira Zitat:
Zitat:
Es gibt auch im Internet mehrere Orte, wo man die Sicherheit seines System einigermaßen prüfen kann, z.B.: www.pcflank.com www.grc.com http://bcheck.scanit.be/bcheck/ |
Hallo, spaßeshalber wäre wohl nicht der richtige Ausdruck und ein konkreter Verdacht liegt nicht vor. Vielmehr haben mich die beschriebenen Ereignisse hellhörig werden lassen und da ich Anfänger bin kann ich mit der einen oder anderen Sache nicht´s anfangen. z.B. die Meldungen von escan beim ports scannen und die Tatsache, daß sich jetzt einige Sachen gehäuft haben und das, nachdem ich gedacht habe, ich hätte meinen Rechner sicherer gemacht. Die Geschichte mit der TAN hat sich nach den vorgenommenen Maßnahmen (außer Formatierung) ereignet. Und da ich nicht richtig dahinter schaue wie das im einzelnen abgelaufen sein kann, frage ich mich ob ich wieder einen TRojaner hatte, ohne es gemerkt zu haben oder von z.B. escan erfasst worden zu sein. Auch die Meldungen beim portscan mit escan. Ich vermute zwar, daß das mit meiner firewall zu tun haben kann, aber ich bin mir eben nicht sicher. Ich traue mich jedenfalls, da ich mitlerweile sehr verunsichert bin keine Aktionen wie onlinebanking oder mal nen download durchzuführen. Ich bin mir sicher, daß mir einiges aus Unwissenheit komisch vorkommt, was vielleicht nichts zu bedeuten hat. z.B. ob die Geschichte mit dem banking und der Trojaner zuvor im Zusammenhang stehen, obwohl ich nach dem ersten Trojaner mit allmöglichen scannen (Virenprogramm, escan, adaware) nichts gefunden hatte. konfuse Grüße laguaira |
|
Ok, mach ich |
Hallo und danke schonmal im voraus Hier das logfile: Logfile of HijackThis v1.99.1 Scan saved at 13:55:45, on 07.05.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Norton Utilities\NPROTECT.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Speed Disk\nopdb.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\LXSUPMON.EXE C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Highjackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://smartsurfer.web.de/client/redirect/?version=3.0 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [CorelCorelDRAW10 Reminder] "C:\Programme\Corel\Graphics10\Register\NAVBrowser.exe" /r /i "C:\Programme\Corel\Graphics10\Register\NavLoad.ini" O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{BE6C5391-8D94-486E-8947-F4D7013F3EAF}: NameServer = 192.168.121.252,192.168.121.253 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton Utilities\NPROTECT.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\Programme\Speed Disk\nopdb.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe LG laguaira |
@laguaira Zitat:
Ansonsten ist dein Log sauber. Wenn du der Meinung bist, dass man eine Firewall braucht, ist Zone Alarm keine gute Wahl. Guck mal hier : http://trojaner-board.de/showthread....light=Firewall http://faq.underflow.de/#SECTION000110000000000000000 |
Hallo Rene-gad, zunächst einmal vielen Dank für die schnelle Hilfe. SP 2 werde ich mir besorgen. Internt Explorer ist im log zwar gelistet, jedoch benutze ich ihn nicht sondern Opera.(?) Danke auch für die interessanten links. Abgesehen von ZA, habe ich entsprechende Dienste abgeschaltet, benutze Opera und habe dort sicherheitsrelevante Einstellungen vorgenommen(Java, Refferer, Plug Ins usw.), scanne und aktualisiere regelmässig mit antivir, surfe nicht als Admin usw. Jetzt die Geschichte mit der Firewall. Wenn ich richtig vestanden habe kann ich bei ausgeschalteten Diensten auf eine solche verzichten. Meinst Du mit SP2 und den getroffenen Maßnahmen ist mein Rechner sicher genug? LG laguaira |
@laguaira Zitat:
Du kannst deinen Rechner mit und ohne FW bei www.grc.com oder www.pcflank.com checken und Ergebnisse vergleichen. Portstand CLOSED ist schon i.O. |
Danke, Du hast mir wirklich weitergeholfen. Alles Gute laguaira |
@laguaira... ...achte bitte beim Onlinebanking im Browsereingabefenster auf https...dann bist du eigentlich auf der sicheren Seite!! lg Tom59 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:56 Uhr. |
Copyright ©2000-2025, Trojaner-Board