Onlinebanking Trojaner (Delfsnif.DX.81) – Zur Formatierung erst in zwei Wochen Zeit, wie verhalten?
 

Hallihallo liebes Forum,

wenn man es am wenigsten gebrauchen kann, erschwischt es einen natürlich. (Murphy und sein Gesetz lassen grüßen...) :(

Via Google bin ich auf den Thread "Banking Trojaner Sparkasse/ Trojaner Delfsnif.DX.81" (* siehe unten) aufmerksam geworden. Genau dieses Problem scheint ich auch zu betreffen (gleich Eingabemaske etc.).
Als die Frage nach den 20 TANs gestern aufpopte, war ich verunsichert und habe zunächst "Sophos Anti-Virus 7.6.20" (bezogen über die Uni) angeworfen und einen kompletten Systemscan gemacht.

Obwohl Sophos einen Trojaner in Quarantäne verfrachtet hat, tritt das Problem mit den "20 TANs" weiterhin auf.
Ich vermute, dass Sophos den betreffenden "Delfsnif.DX.81" überhaupt nicht gefunden hat. :(


Aus Gründen der Sicherheit würde ich das System am Liebsten sofort neu aufsetzen. (Nach dem Vorgehen, das hier von markusg (* siehe unten) beschrieben wurde.)
Leider fehlen mir dazu im Moment die nötige Zeit und Muße, da ich mich mitten in der Prüfungsphase befinde. :(


Ich habe noch ein nicht infiziertes Zweitsystem, ein kleines Netbook, das mir zur Überbrückung dienen kann.
Dennoch möchte ich keine Fehler begehen und bitte euch um Rat, wie ich mich am Besten verhalten soll.

Was ich bisher getan habe:

• Sparkassen TAN-Liste von Zweitsystem aus gesperrt
• Kundenservice der Sparkasse (leider übers Wochenende nur per Mail erreichbar) in Kenntnis gesetzt
• Passwörter für Bezahldienste (z.B. Paypal) von Zweitsystem geändert
• Onlinebanking-PIN von anderen Bankkonten geändert und auch danach die dortige TAN-Liste gesperrt

Ich kann leider im Moment nicht alle Passwörter aller Onlineshops, die z.B. auch Bezahlung per Lastschrift/Bankeinzug unterstützen ändern. Das folgt nach der Klausurphase :(

Weitere Fragen:

• Muss das Sparkassenkonto zwangsläufig gesperrt werden? Oder reicht es den Online-PIN vom Kundenberater ändern zu lassen? (Natürlich wird vom infizierten System aus keinerlei Onlinebanking mehr betrieben!)
• Wie sicher kann ich sein, dass die Datenbestände meines Systems nicht betroffen sind?
  Ein letztes Datenbackup von vor 2 Wochen besteht, aber ich benötige für die bevorstehenden Klausuren leider auch aktuell erstellte Dokumente. Kann ich diese ohne Bedenken nutzen? (Zum Teil in den letzten Tagen auf den Festplatten gespeichert, aber auch auf USB-Sticks gesichert)
• Vorgegriffene Frage zum Aufsetzen des Systems in zwei Wochen:
  In diesem Thread (* siehe unten) ist u.a. die Rede davon, dass reine Daten (Dokumente, Bilder, Musik, etc.) nicht betroffen sind, sondern lediglich salopp gesagt "Windows-Dateien"? Könnte es unter Umständen ausreichen die Systemplatte platt zu machen und den Rest gemäß der Beschreibung im Thread zu untersuchen?

Vielen Dank! :(

Liebe Grüße


edit: bei den mit * markierten Begriffen waren Links zu folgendem Thread vorgesehen:
hxxp://www.trojaner-board.de/89652-banking-trojaner-sparkasse-trojaner-delfsnif-dx-81-a-2.html

Das wird Die die Sparkasse besser beantworten können. ich denke aber, die raten Dir ein Neuaufsetzen des Systems, wenn sich der Befall bestätigt. Es liegt dann an Dir ob Du das Risiko einer Bereinigung eingehen willst, die nicht unbedingt schneller als eine Neuinstallation des kompletten Systems sein muss :rolleyes:


Reine Daten kannst Du immer problemlos sicher. Problematisch sind nur Dateien, die ausführbaren Code enthalten. Schädlinge sind auch nichts weiter als Programme, Programmcode der aber bösartige Routinen hat. Reine Daten haben keinen ausführbaren Code, sind definitionsgemäß also schädlingsfrei.

Das das reicht idR aus. Aber alles Ausführbare auf den anderen Partitionen sollte gelöscht werden, nur das ist konsequent wenn man kein Risiko eingehen kann.


Also nun formatieren oder bereinigen??

Gut, aber es gibt doch auch „Viren“, die andere Dateien befallen? (Ich bitte um Entschuldigung, wenn die Formulierung nicht dem Fachjargon entspricht.) Jedenfalls hört man immer wieder davon.

Wie kann ich jetzt sicher sein, dass dies im vorliegenden Fall nicht so ist?

Gut, das werde ich dann so machen.

Demnach wird nach Sepration und Sicherung der Daten formatiert.

Viren tun das per Definition. Sie heften ihren Schadcode an andere ausführbare Dateien dran.
Viren waren früher verbreiteter, v.a. zu DOS-Zeiten, mittlerweile kursieren jetzt fast nur noch Trojaner oder Würmer. Die befallen idR keine anderen ausführbaren Dateien, gibt aber auch welche die das tun; als Beispiele dafür wären die Fileinfektoren Virut und Sality zu nennen.

Im Grunde garnicht. Es sei denn Du hast von allen Dateien eine Prüfsumme vor der Infektion gemacht und vergleichst diese mit den neu errechneten Prüfsummen der Datendateien vom infizierten System. Ist ziemlich aufwändig bzw. unmöglich wenn Du keine Prüfsummen vorher erstellt hast. Sonst kann man nur noch auf das Backup vor der Infektion zurückgreifen, sofern Du eins hast :rolleyes:
Ansonsten musst Du mit dem Restrisiko leben, da Du auf die Datendateien ja nicht verzichten kannst. :kloppen:

Ok, dann wünsche ich viel Erfolg :)
Denk später mal an regelmäßige Backups auf externe Medien.

Umfassende Komplett-Backups erstelle ich regelmäßig seit meinem ersten Headcrash bedingten Datenverlust. (Damals noch ne 20GB IBM Platte...prägendes Erlebnis.)

Mittlerweile habe ich zwei 1,5TB Platten zu Backupzwecken. Eine als Netzlaufwerk kurzfristig verfügbar, die andere per eSATA bei Bedarf. Was den Datenbestand betrifft sind diese identisch.

Ein Komplettbackup erstelle ich i.d.R. alle 2 Wochen. Gibt es große Veränderungen an den Daten auch häufiger.
Das letzte Backup liegt klausurbedingt leider bereits 2 Wochen zurück.

Aktuelle relevante Daten („des Tagesgeschäfts“) sind i.d.R. immer (Truecrypt verschlüsselt) mit der Dropbox synchronisiert, besonders Wichtiges wandert manuell nochmal auf einen USB-Stick.


Also diesbezüglich bin ich ganz gut aufgestellt, denke ich.
Lediglich der Zeit- und Komfortverlust beim erneuten Aufsetzen des Systems ist jetzt ärgerlich. Der Großteil der verwendeten Software ist problemslos von der Uni neu zu beziehen, nur das Einrichten wird dauern. Nunja..

Die Daten wiederherzustellen ist soweit kein Problem, es existiert ja schließlich eine Art „Backuproutine“, mit dem ich persönlich ganz gut zurecht komme und die unabhängig von irgendwelcher Wiederherstellungssoftware ist.
...ich war mir nur nicht sicher, ob die Datenbestände nun nicht auch infiziert sind. Über diese lasse ich gerade Avira 10 Free laufen, das sollte doch ein Restrisiko minimieren? (Ja, gänzlich auszuschließen wird es nicht sein. ;))

Die letzten, wichtigen Dokumente für die nächsten Klausuren lagen auf einem Stick, der soweit von Avira und Sophos als „in Ordnung“ eingestuft wurde...das Risiko musste ich eingehen diese Daten bereits auf dem Zweitsystem zu verwenden.


Soviel dazu :)
lg


PS: Mich irritiert gerade etwas, dass Avira 10 Free mehr zu finden vermag als das vom Rechenzentrum unserer Uni in höchsten Tönen gelobte Sophos?

Ok, dann hast Du ja ein gutes Backupkonzept. Es gibt manche, die sichern rein garnichts und lassen alles nur auf der internen Platte und wenn was passiert ist das Geschrei riesengroß :stirn:

Das ist alles eine Glaubensfrage. Du kannst 10 verschiedene Menschen in einer Fußgängerzone fragen und jeder schwört auf einen anderen Virenscanner.
Fakt ist, dass jeder Virenscanner prinzipielle Schwächen hat. Keiner erkennt alle Schädlinge, und was der eine Scanner zu erkennen vermag, erkennt der andere nicht und andersrum.

Ich habe gerade Sophos und Avira Free parallel aktiv im System.
Abgesehen von der Tatsache, dass sie sich gegenseitig nicht aufeinander zugreifen lassen, sehe ich da im Moment keine Probleme.

Ist das nur ein gedankliches Relikt aus früheren Tagen, das mir mit erhobenem Zeigefinger sagt: "Betreibe nie zwei Virenscanner (mit aktiver Überwachung) parallel", oder vielleicht wirklich etwas Wahres dran?

Liebe Grüße

Nein, Virenscanner parallel zu betreiben ist eine ganz schlechte Idee. Außer Malwarebytes und SASW, die sind für Parallelbetrieb konzipiert worden.

Wie ich schon sagte ist das definitiv nicht zu empfehlen. Außerdem verschenkst Du unglaublich viel Leistung, irgendwann sind Probleme vorprogrammiert. Entscheide Dich entweder für Sophos ODER AntiVir!