Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Sparkasse Fake Seite nach Login (https://www.trojaner-board.de/45145-sparkasse-fake-seite-login.html)

Custos 27.10.2007 21:02
Sparkasse Fake Seite nach Login
 
Ich habe gerade mal die Forensuche bemüht und dazu nichts gefunden.

Ich gehe mit WinXP und IE7 wie gewohnt auf die Sparkassen Seite und Logge mich ein. Als nächstes erscheint eine Seite auf der Ich 20 unbenutzte TAN eingeben soll. Natürlich alles schön passend im Sparkassen-Design und fast ohne Rechtschreibfehler. Nur die Punkte über dem ü usw. fehlen.

Habe jetzt HJT, AdAware und Avira Antivir PE drüberlaufen lassen und einiges an kritischen Sachen gelöscht. Das HJT Log habe ich über das Formular auf HijackThis Logfileauswertung geprüft und da auch kritische und gefährliche Einträge entfernt.

Trotzdem erscheint immer noch die Seite wenn ich mich auf der Sparkassen Seite einloggen will.

Was kann ich da noch tun? Das Problem tritt übrigens nur im Internet Explorer auf!

Edit: Vielleicht gehört es zum selben Problem. Der IE merkt sich keine Anmeldungen mher. Ich muss mich also nach jedem NEustart in Foren usw. neu einloggen.

http://img267.imageshack.us/img267/7579/bankingqa9.jpg

KarlKarl 27.10.2007 21:07
Hi,

wenn Du dir sicher bist, die richtige Adresse im Browser einzugeben, dann wird auf deinem Computer was umgelenkt. Dazu stelle mal dein Hijackthis Log hier rein, vielleicht ist es da schon erkennbar. Und was wurde dort bereits gelöscht?

Gruß, Karl

Custos 27.10.2007 21:12
Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

TheDarkRaven 27.03.2009 12:01
Bei meiner Frau ist das oben beschriebene Problem auch aufgetreten.

Ich habe mit der Sparkasse telefoniert und die meinten nur, dass lediglich eine Neuinstallation von Windows helfen kann. :eek:

Ich habe folgendes probiert:

1. F-Secure Internet Security > Computer vollständig prüfen = nichts gefunden.
2. DrWeb > Intensiv Prüfen = nichts gefunden.
3. F-Secure Blacklight (Rootkit Scanner) = nichts gefunden.

Mit anderen Scanner habe ich auch nichts gefunden. Da es sich nun also um einen Trojaner handeln muss, der im MBR sitzt, wäre es ja logisch, wenn man den MBR einfach zurücksetzt. Also:

4. Windows XP CD ins Laufwerk, Reparieren gewählt und den Master Boot Record neu schreiben lassen (Befehl: fixmbr).

Ergebnis: es hat zwar alles prima funktioniert (mit dem MBR) und nach einem Neustart ist das System auch wieder hochgefahren, aber die 20 TANs will er immer noch nach den ersten Login haben. Also ist der Trojaner immer noch da. :eek:

Kennt jemand einen Scanner, der mir sagen kann, ob und um welchen Trojaner es sich hier handelt? Ich bin in Sorge, dass der sich in meinem Netzwerk verbreitet hat und ich kann ihn ja nicht nachweisen...

Danke schon mal!

Gruß
Christian

Chris4You 27.03.2009 12:08
@TheDarkRaven
Hi,
für Dich gilt das bereits gesagte, bitte das hier abfackeln!
http://www.trojaner-board.de/69886-a...-beachten.html
Wenn Du ein Netzwerk betreibst, kann der DNS-Changer auf einem anderen Rechner laufen und einen "DNS-Server" simmulieren, auch der Router kann umgestellt sein (falls ein schwaches oder das Auslieferungs-PWD verwendet wurde).
chris

Angel21 27.03.2009 12:15
Probiere es mal hiermit >> rootkit in master boot record

Runterladen und Log hier rein.

yawns 04.03.2010 10:19
Auch wenn dies ein schon recht alter Thread ist, will ich kurz meinen Senf dazu geben. Gefunden habe ich den Thread per google, weil ein Kunden von mir seit ein paar Tagen genau das gleiche Problem hat (bzw hatte). Erschreckend, dass ein Schädling, der augenscheinlich schon seit 2007 bekannt ist, durch den Norton Enterprise Virenschutz (Endpoint) nicht gefunden wird und dass die Phishingprüfung vom IE ebenfalls nicht anschlägt.

In dem Fall meines Kunden hatte ich immer wieder EXE und DLL Dateien in C:\temp. Nach einem Systemscan wurde von Spybot der win32.agent.icb gefunden mit dem Hinweis, dass user32.dll und winlogon.exe befallen sein können. Da ich vorher das Netzwerk deaktiviert hatte, konnte er sich aber nicht mehr nachladen. Nach einem Boot von CD habe ich die user32.dll und winlogon.exe von einem anderen PC kopiert und siehe da, die beiden Dateien waren wesentlich kleiner und älter als die, die auf dem infizierten PC waren. Beide Rechner sind mit XP Pro SP3 ausgestattet.

Ein anschließender Neustart und erneuter Scan hat keine Schädlinge mehr gefunden und auch die "Bitte 20 Tans eingeben" Seite taucht nicht mehr auf, jetzt wird die Anmeldung direkt abgelehnt (haben die Zugangsdaten von der Sparkasse ändern lassen).

Vielleicht hilft es ja jemandem, der das gleiche Problem hat :)

Gruß
Stefan


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:22 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28