Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   newporto.cn - Online Banking Tan Abfrage (https://www.trojaner-board.de/91359-newporto-cn-online-banking-tan-abfrage.html)

yasou 01.10.2010 16:00
newporto.cn - Online Banking Tan Abfrage
 
Guten Tag,

Seit einigen Tagen zeigt mir Avast Regelmäßig eine Warnung das eine Schädliche Seite geblockt wurde. Hier der Avast log:
Code:
28.09.2010  18:25:16  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/options.cgi?user%5fid=793048598&version%5fid=3099&passphrase=fkjvhsdvlksdhvlsd&socks=0&version=3099&crc=00000000 [ C:\Program Files (x86)\Mozilla Firefox 4.0 Beta 1\firefox.exe ( 8448 ) ]
28.09.2010  18:31:41  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/options.cgi?user%5fid=793048598&version%5fid=3099&passphrase=fkjvhsdvlksdhvlsd&socks=0&version=3099&crc=00000000 [ C:\Program Files (x86)\Mozilla Firefox 4.0 Beta 1\firefox.exe ( 8448 ) ]
28.09.2010  18:38:49  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/options.cgi?user%5fid=793048598&version%5fid=3099&passphrase=fkjvhsdvlksdhvlsd&socks=0&version=3099&crc=00000000 [ C:\Program Files (x86)\Mozilla Firefox 4.0 Beta 1\firefox.exe ( 8448 ) ]
28.09.2010  18:46:56  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/options.cgi?user%5fid=793048598&version%5fid=3099&passphrase=fkjvhsdvlksdhvlsd&socks=0&version=3099&crc=00000000 [ C:\Program Files (x86)\Mozilla Firefox 4.0 Beta 1\firefox.exe ( 8448 ) ]
28.09.2010  18:52:36  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/options.cgi?user%5fid=793048598&version%5fid=3099&passphrase=fkjvhsdvlksdhvlsd&socks=0&version=3099&crc=00000000 [ C:\Program Files (x86)\Mozilla Firefox 4.0 Beta 1\firefox.exe ( 8448 ) ]
28.09.2010  19:32:56  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/options.cgi?user%5fid=793048598&version%5fid=3099&passphrase=fkjvhsdvlksdhvlsd&socks=0&version=3099&crc=00000000 [ C:\Program Files (x86)\Mozilla Firefox 4.0 Beta 1\firefox.exe ( 8988 ) ]
28.09.2010  19:38:38  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/options.cgi?user%5fid=793048598&version%5fid=3099&passphrase=fkjvhsdvlksdhvlsd&socks=0&version=3099&crc=00000000 [ C:\Program Files (x86)\Mozilla Firefox 4.0 Beta 1\firefox.exe ( 8988 ) ]
28.09.2010  19:45:47  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/options.cgi?user%5fid=793048598&version%5fid=3099&passphrase=fkjvhsdvlksdhvlsd&socks=0&version=3099&crc=00000000 [ C:\Program Files (x86)\Mozilla Firefox 4.0 Beta 1\firefox.exe ( 8988 ) ]
28.09.2010  19:51:22  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/options.cgi?user%5fid=793048598&version%5fid=3099&passphrase=fkjvhsdvlksdhvlsd&socks=0&version=3099&crc=00000000 [ C:\Program Files (x86)\Mozilla Firefox 4.0 Beta 1\firefox.exe ( 8988 ) ]
28.09.2010  19:58:14  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/cmd.cgi?user%5fid=793048598&version%5fid=3099&passphrase=fkjvhsdvlksdhvlsd&socks=0&version=3099&crc=00000000 [ C:\Program Files (x86)\Mozilla Firefox 4.0 Beta 1\firefox.exe ( 8988 ) ]
28.09.2010  20:05:15  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/options.cgi?user%5fid=793048598&version%5fid=3099&passphrase=fkjvhsdvlksdhvlsd&socks=0&version=3099&crc=00000000 [ C:\Program Files (x86)\Mozilla Firefox 4.0 Beta 1\firefox.exe ( 8988 ) ]
28.09.2010  20:12:30  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/options.cgi?user%5fid=793048598&version%5fid=3099&passphrase=fkjvhsdvlksdhvlsd&socks=0&version=3099&crc=00000000 [ C:\Program Files (x86)\Mozilla Firefox 4.0 Beta 1\firefox.exe ( 8988 ) ]
28.09.2010  20:54:44  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/options.cgi?user%5fid=793048598&version%5fid=3099&passphrase=fkjvhsdvlksdhvlsd&socks=0&version=3099&crc=00000000 [ C:\Program Files (x86)\Mozilla Firefox 4.0 Beta 1\firefox.exe ( 8304 ) ]
28.09.2010  21:14:53  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/forms.cgi [ C:\Program Files (x86)\Mozilla Firefox 4.0 Beta 1\firefox.exe ( 8304 ) ]
28.09.2010  21:24:08  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/forms.cgi [ C:\Program Files (x86)\Mozilla Firefox 4.0 Beta 1\firefox.exe ( 8304 ) ]
28.09.2010  21:25:07  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/forms.cgi [ C:\Program Files (x86)\Mozilla Firefox 4.0 Beta 1\firefox.exe ( 8304 ) ]
28.09.2010  21:50:01  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/options.cgi?user%5fid=793048598&version%5fid=3099&passphrase=fkjvhsdvlksdhvlsd&socks=0&version=3099&crc=f50dee09 [ C:\Program Files (x86)\Mozilla Firefox 4.0 Beta 1\firefox.exe ( 3200 ) ]
28.09.2010  22:05:03  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/cmd.cgi?user%5fid=793048598&version%5fid=3099&passphrase=fkjvhsdvlksdhvlsd&socks=0&version=3099&crc=00000000 [ C:\Program Files (x86)\Mozilla Firefox 4.0 Beta 1\firefox.exe ( 3200 ) ]
28.09.2010  22:27:46  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/forms.cgi [ C:\Program Files (x86)\Mozilla Firefox 4.0 Beta 1\firefox.exe ( 3200 ) ]
29.09.2010  01:43:33  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/options.cgi?user%5fid=793048598&version%5fid=3099&passphrase=fkjvhsdvlksdhvlsd&socks=0&version=3099&crc=f50dee09 [ C:\Program Files (x86)\Mozilla Firefox 4.0 Beta 1\firefox.exe ( 7292 ) ]
29.09.2010  10:14:53  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/forms.cgi [ C:\Program Files (x86)\Mozilla Firefox 4.0 Beta 1\firefox.exe ( 6664 ) ]
29.09.2010  10:35:11  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/forms.cgi [ C:\Program Files (x86)\Mozilla Firefox 4.0 Beta 1\firefox.exe ( 6664 ) ]
29.09.2010  11:14:24  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/cmd.cgi?user%5fid=793048598&version%5fid=3099&passphrase=fkjvhsdvlksdhvlsd&socks=0&version=3099&crc=00000000 [ C:\Program Files (x86)\Mozilla Firefox 4.0 Beta 1\firefox.exe ( 8760 ) ]
29.09.2010  12:22:27  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/cmd.cgi?user%5fid=793048598&version%5fid=3099&passphrase=fkjvhsdvlksdhvlsd&socks=0&version=3099&crc=00000000 [ C:\Program Files (x86)\Mozilla Firefox 4.0 Beta 1\firefox.exe ( 8840 ) ]
29.09.2010  12:46:42  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/forms.cgi [ C:\Program Files (x86)\Mozilla Firefox 4.0 Beta 1\firefox.exe ( 8840 ) ]
29.09.2010  13:02:30  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/cmd.cgi?user%5fid=793048598&version%5fid=3099&passphrase=fkjvhsdvlksdhvlsd&socks=0&version=3099&crc=00000000 [ C:\Program Files (x86)\Mozilla Firefox 4.0 Beta 1\firefox.exe ( 8840 ) ]
29.09.2010  13:32:33  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/options.cgi?user%5fid=793048598&version%5fid=3099&passphrase=fkjvhsdvlksdhvlsd&socks=0&version=3099&crc=f50dee09 [ C:\Program Files (x86)\Mozilla Firefox 4.0 Beta 1\firefox.exe ( 8840 ) ]
29.09.2010  14:51:33  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/forms.cgi [ C:\Program Files (x86)\Mozilla Firefox 4.0 Beta 1\firefox.exe ( 8840 ) ]
29.09.2010  16:12:43  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/options.cgi?user%5fid=793048598&version%5fid=3099&passphrase=fkjvhsdvlksdhvlsd&socks=0&version=3099&crc=f50dee09 [ C:\Program Files (x86)\Internet Explorer\iexplore.exe ( 5276 ) ]
29.09.2010  16:22:42  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/cmd.cgi?user%5fid=793048598&version%5fid=3099&passphrase=fkjvhsdvlksdhvlsd&socks=0&version=3099&crc=00000000 [ C:\Program Files (x86)\Internet Explorer\iexplore.exe ( 6940 ) ]
29.09.2010  17:04:08  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/forms.cgi [ C:\Program Files (x86)\Mozilla Firefox\firefox.exe ( 8960 ) ]
29.09.2010  17:25:45  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/forms.cgi [ C:\Program Files (x86)\Mozilla Firefox\firefox.exe ( 8960 ) ]
29.09.2010  17:53:11  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/cmd.cgi?user%5fid=793048598&version%5fid=3099&passphrase=fkjvhsdvlksdhvlsd&socks=0&version=3099&crc=00000000 [ C:\Program Files (x86)\Internet Explorer\iexplore.exe ( 7088 ) ]
29.09.2010  18:03:27  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/options.cgi?user%5fid=793048598&version%5fid=3099&passphrase=fkjvhsdvlksdhvlsd&socks=0&version=3099&crc=f50dee09 [ C:\Program Files (x86)\Internet Explorer\iexplore.exe ( 6940 ) ]
29.09.2010  18:54:35  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/cmd.cgi?user%5fid=793048598&version%5fid=3099&passphrase=fkjvhsdvlksdhvlsd&socks=0&version=3099&crc=00000000 [ C:\Program Files (x86)\Internet Explorer\iexplore.exe ( 2968 ) ]
29.09.2010  19:25:20  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/options.cgi?user%5fid=793048598&version%5fid=3099&passphrase=fkjvhsdvlksdhvlsd&socks=0&version=3099&crc=f50dee09 [ C:\Program Files (x86)\Internet Explorer\iexplore.exe ( 7088 ) ]
29.09.2010  19:35:45  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/cmd.cgi?user%5fid=793048598&version%5fid=3099&passphrase=fkjvhsdvlksdhvlsd&socks=0&version=3099&crc=00000000 [ C:\Program Files (x86)\Internet Explorer\iexplore.exe ( 5276 ) ]
29.09.2010  20:36:09  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/cmd.cgi?user%5fid=793048598&version%5fid=3099&passphrase=fkjvhsdvlksdhvlsd&socks=0&version=3099&crc=00000000 [ C:\Program Files (x86)\Internet Explorer\iexplore.exe ( 6940 ) ]
29.09.2010  21:06:44  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/cmd.cgi?user%5fid=793048598&version%5fid=3099&passphrase=fkjvhsdvlksdhvlsd&socks=0&version=3099&crc=00000000 [ C:\Program Files (x86)\Internet Explorer\iexplore.exe ( 5276 ) ]
29.09.2010  21:36:44  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/options.cgi?user%5fid=793048598&version%5fid=3099&passphrase=fkjvhsdvlksdhvlsd&socks=0&version=3099&crc=f50dee09 [ C:\Program Files (x86)\Internet Explorer\iexplore.exe ( 7088 ) ]
29.09.2010  22:17:31  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/options.cgi?user%5fid=793048598&version%5fid=3099&passphrase=fkjvhsdvlksdhvlsd&socks=0&version=3099&crc=f50dee09 [ C:\Program Files (x86)\Internet Explorer\iexplore.exe ( 6940 ) ]
29.09.2010  22:17:35  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/cmd.cgi?user%5fid=793048598&version%5fid=3099&passphrase=fkjvhsdvlksdhvlsd&socks=0&version=3099&crc=00000000 [ C:\Program Files (x86)\Mozilla Firefox\firefox.exe ( 5132 ) ]
29.09.2010  22:59:13  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/forms.cgi [ C:\Program Files (x86)\Mozilla Firefox\firefox.exe ( 5132 ) ]
29.09.2010  23:08:14  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/cmd.cgi?user%5fid=793048598&version%5fid=3099&passphrase=fkjvhsdvlksdhvlsd&socks=0&version=3099&crc=00000000 [ C:\Program Files (x86)\Mozilla Firefox\firefox.exe ( 5132 ) ]
30.09.2010  02:28:36  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/options.cgi?user%5fid=793048598&version%5fid=3099&passphrase=fkjvhsdvlksdhvlsd&socks=0&version=3099&crc=f50dee09 [ C:\Program Files (x86)\Internet Explorer\iexplore.exe ( 6940 ) ]
30.09.2010  23:38:54  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/forms.cgi [ C:\Program Files (x86)\Mozilla Firefox\firefox.exe ( 1508 ) ]
01.10.2010  12:46:23  Network Shield: blocked access to malicious site newporto.cn/cgi-bin/cmd.cgi?user%5fid=793048598&version%5fid=3099&passphrase=fkjvhsdvlksdhvlsd&socks=0&version=3099&crc=00000000 [ C:\Program Files (x86)\Internet Explorer\iexplore.exe ( 1488 ) ]

Heute wurde ich nach dem einloggen beim Online-Banking nach ca. 20 Tans abgefragt.


Habe Malwarebytes downgeloadet und habe einen QuickScan gemacht. LOG:
Code:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Database version: 4727

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

01.10.2010 17:56:18
mbam-log-2010-10-01 (17-56-18).txt

Scan type: Quick scan
Objects scanned: 157104
Time elapsed: 4 minute(s), 14 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 1
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\control panel\ConnectionsTab (Hijack.ConnectionControl) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

OTL logs liegen als ZIP Archiv bei.


Wie soll ich weiter verfahren??


Velen Vielen Dank

yasou

markusg 01.10.2010 16:25
1. sofort die bank anrufen, und online banking sperren lassen!
2. solltest du den pc neu aufsetzen das ist das sicherste, ich möchte nur vorher ne datei einsammeln.

• Starte bitte die OTL.exe.
• Kopiere nun das Folgende in die Textbox.

:OTL
O36 - AppCertDlls: labetend - (C:\Windows\system32\fixmHost.dll) - C:\Windows\SysWOW64\fixmHost.dll ()
:FILES
C:\Windows\SysWOW64\fixmHost.dll
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument dieses posten


öffne mein computer, c:\_OTL rechtsklick auf moved files und zu moved files.rar oder zip hinzufügen.
archiv zu uns hochladen.
http://www.trojaner-board.de/54791-a...ner-board.html


3. lasse dich mal von der bank beraten, das pin/tan verfahren ist nicht mehr das sicherste, ich würde auf chipcard umsteigen, dazu gibt es ein lesegerät. ich würde ein lesegerät der klasse 3 nehmen, da dies dies die sichersten sind:
Kartenlesegerät ? Wikipedia
kosten höchsten 50 €, die bank gibt da meist einen zuschuss.
zum weiteren absichern des pcs gibt es dann noch tipps

yasou 01.10.2010 16:42
Vielen Dank für deine Hilfe!

hier erstmal der OTL Log:
Code:
All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\labetend:C:\Windows\system32\fixmHost.dll deleted successfully.
C:\Windows\SysWOW64\fixmHost.dll moved successfully.
========== FILES ==========
File\Folder C:\Windows\SysWOW64\fixmHost.dll not found.
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: Administrator
->Flash cache emptied: 0 bytes
 
User: All Users
 
User: Default
 
User: Default User
 
User: Gast
->Flash cache emptied: 0 bytes
 
User: Public
 
User: yasou
->Flash cache emptied: 434 bytes
 
Total Flash Files Cleaned = 0,00 mb
 
 
[EMPTYTEMP]
 
User: Administrator
->Flash cache emptied: 0 bytes
 
User: All Users
 
User: Default
 
User: Default User
 
User: Gast
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
User: yasou
->Temp folder emptied: 10248577 bytes
->Temporary Internet Files folder emptied: 8129976 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 352 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 18,00 mb
 
 
OTL by OldTimer - Version 3.2.14.1 log created on 10012010_182954

Files\Folders moved on Reboot...
C:\Users\yasou\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File\Folder C:\Users\yasou\AppData\Local\Temp\mpengine.dll not found!
File\Folder C:\Users\yasou\AppData\Local\Temp\TMP00000001BA1C5CDB9E3948B6 not found!
File move failed. C:\Windows\temp\_avast5_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...
Auf Chipcard umsteigen hört sich natürlich interessant an. Leider bin ich jemand der viel rumreist.

Übrigens hab ich natürlich keine tans eingegeben.
Passwort und benutzername hab ich von einem anderen PC auch geändert.


Den PC formatieren ist leider etwas unpraktisch, da ich wieder morgen ins Ausland gehe. Was könnte ich ansonsten noch machen?


Mit freundlichen Grüßen

yasou

yasou 01.10.2010 16:59
Guten Tag,

die TAN Abfrage erscheint übrigens nicht mehr.

mfg

yasou

markusg 01.10.2010 17:04
naja das lesegerät kann man doch mit nehmen, du machst doch nicht etwa von fremden pcs aus online banking, das wäre ziemlich fahrlässig, oder kannst du immer mit 100 %iger sicherheit sagen, dass von diesen pcs keine gefahr aus geht?
naja wenn du diesen pc zum online banking nutzen willst wäre neu aufsetzen das aller sicherste, oder benötigst du ihn da nur zum arbeiten, dann können wir ihn so weit bereinigen und du müsstest ihn danach formatieren.

yasou 01.10.2010 17:08
Hallo,

Ich brauche meinen PC zum Arbeiten. Online-Banking ist nur eine Nebensache.

Wie könnte man den PC weiter bereinigen?


Vielen Dank

yasou

markusg 01.10.2010 17:11
naja du wirst ihn wie gesagt neu machen müssen oder kannst dann von dem pc aus nie wieder online banking betreiben.
Free ESET Online Antivirus Scanner
bitte eset ausführen log posten

markusg 01.10.2010 17:13
ich hatte dich doch gebeten _OTL zu packen und hochzuladen, bitte tu das noch

yasou 01.10.2010 17:19
Ich führe gerade den Scan durch.

Das formatieren muss halt nach der Reise warten.


Gibt es keine möglichkeit zu überprüfen ob der Trojaner nun weg ist oder nicht?

Z.B. erscheint die Abfrage der Tans nicht mehr.

Und auch wenn Trojaner immernoch da ist und mein Passwort ausspioniert, ohne tans kann der doch nichts anfgangen. Oder lieg ich da Falsch?

Ich habe übrigens mein Konto größtenteils gelehrt und habe nur einen Minimalbetrag darauf gelassen.

Mit freundlichen Grüßen

yasou

markusg 01.10.2010 17:21
bitte brich den scan doch erst mal kurz ab, ich möchte zu erst _OTL hochgeladen bekommen
wie ichs bereits weiter oben geschrieben hab.
na und, du hast doch sicher noch andere passwörter, und trojaner können nicht nur passwörter aus spähen, sondern spam versenden, deinen pc in einen server für illegale dateien verwandeln etc.
und wie schnell wir mit der prüfung durch sind, kann ich dir nicht sagen, hab ja auch noch andere user.

yasou 01.10.2010 17:44
Hallo,

Tut mir leid. Hatte den _OTL Ordner total vergessen.


Was hält ihr eigentlich von folgendem:

Online Banking auf einem in Virtual Box installiertem Ubuntu. Wäre das sicherer?

Das hat zumindest der Sicherheitsmitarbeiter bei der Bank gemeint.


Vielen Dank

yasou

markusg 01.10.2010 17:45
das wäre auch sicherer. aber auch hier sollte man mit card reader arbeiten können. und du würdest trotzdem, ohne dich nerfen zu wollen, im entefekt nicht über das neu aufsetzen kommen.

yasou 01.10.2010 17:54
Okay. Vielleicht schaff ich das formatieren noch morgen.

Übrigens: Wie wahrscheinlich ist es das dieser Trojaner auch andere Daten ausspioniert. Ich hatte heute morgen, bevor ich das mit dem Online Banking gemerkt hab, mit meiner Visa Karte etwas bezahlt. (Bei einer eher unbekannten aber sichere Seite)

Hab ich jetzt ein Problem?

markusg 01.10.2010 18:12
ja, auch dieser zugang muss geendert werden. alles an zahlungen, passwort eingabn ist an dem pc nicht mehr sicher, also anstatt jetzt noch zu scannen solltest du dich sofort ans daten sichern machen, denn die zeit wird, wenn du weg willst, eher knapper als mehr, wenn du also jetzt anfängst kannst du es noch einigermaßen in ruhe über die bühne bringen, ich geb dir, wie gesagt, noch tipps zum absichern.

yasou 01.10.2010 19:06
Ok danke.

Habt ihr aus Erfahrung vielleicht eine Liste von Sachen/Seiten wo man seine passwörter/pins ändern sollte?

Vielen Dank

yasou

markusg 01.10.2010 19:31
also auf jeden fall alles was mit shopping zu tun hatt, ich persönlich würde aber alle passwörter endern, die ich so habe!

wenn du neu aufsetzt, beachte folgendes.
1. solltest du nur noch als eingeschrenkter nutzer arbeiten , das admin konto ist nur für instalationen gedacht.
klicke start, tippe unter suchen (ausführen) systemsteuerung. wähle dort Benutzerkonten hinzufügen/entfernen.
wähle "neues konto erstellen"
Wähle standard benutzer.

die konten sollten mit einem passwort geschützt werden.
dazu auf konto endern klicken und passwörter vergeben.

die uac sollte auf maximum stehen.
klicke auf start, ausführen (suchen) tippe
uac
enter
nachfrage bestätigen, regler auf höchste stufe.
so ist es schwiriger heimlich etwas auf dem pc zu instalieren.
Die folgenden konfigurationen als admin ausführen:
2.
dep aktivieren:
dep für alle prozesse:
Datenausführungsverhinderung (DEP)
• "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:".
wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen.

3. sehop aktivieren:
SEHOP aktivieren:
Aktivieren von SEHOP (Structured Exception Handling Overwrite Protection) in Windows-Betriebssystemen
klicke auf "Feature automatisch aktivieren"
und folge den anweisungen
dieser tipp, gilt auch für windows 7
4.
einer der sichersten browser ist opera.
Opera Webbrowser | Schneller & sicherer | Die neuen Internet-Browser kostenlos herunterladen

er ist weit sicherer als der firefox, und er läuft bei mir und bei den meisten andern die ich kenne auch wesendlich schneller.
5.
um das surfen sicherer zu machen, würde ich sandboxie empfehlen.
Download:
Sandboxie Download
anleitung:
drop.io
(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.
6.
autorun für usb deaktivieren:
über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab.
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
usb sticks, festplatten etc, sollte man mit panda vaccine impfen:
http://filepony.de/download-panda_usb_vaccine/
so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit.
hake an:
hake an:
run panda usb vaccine automatically when computer boots
automatically vaccine any new insert usb key
enable ntfs file suport
7.
Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt.
instaliere die folgenden update checker.
Secunia:
http://www.trojaner-board.de/83959-s...ector-psi.html
und file hippo update checker:
FileHippo.com Update Checker - FileHippo.com
das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok.
dann doppelklicke file hippo, eine Internetseite wird geöffnet, auf der dier die aktuellsten updates gezeigt werden, diese downloaden und instalieren.

Beide programme sollten im autostart bleiben, und sobald eines der programme updates anzeigt sollten diese umgehend instaliert werden.
regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht.
Acronis True Image 2011 - Festplatten-Backup-Software, Datei-Backup und Disk Imaging, Wiederherstellung von Anwendungseinstellungen, Backup von Musik, Videos, Fotos und Outlook-Mails
außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen.
Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden.
Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll.
bitte arbeite und surfe ab sofort nur noch im standard nutzerkonto, und nutze dort sandboxie, zu erreichen mit klick auf "sandboxed browser"
ps noch was vergessen, dein antivirus programm musst du natürlich noch instalieren :-)

yasou 01.10.2010 19:42
Vielen Dank noch mal für deine Hilfe.

Apropos Anti-Virus Programm.

Ich hatte ja avast drauf während das ganze passiert ist.

Gibt es da ein besseres das du mir empfehlen würdest?

Ich hab kein Problem damit auch eins zu kaufen, der Grund warum ich avast benutze ist dass es eigentlich gute reviews hatte und schnell ist.

Was würdest du empfehlen.

yasou

markusg 01.10.2010 19:47
avast ist ein gutes programm, niemand erkennt 100 %.
es ist auch ein wenig an dir, dass heißt, keine illegalen downloads, streaming seiten torrents. die von mir genannten maßnamen einhalten. und mit regelmäßign backups hat man das problem mit dem aufsetzen ja in 5 minuten gelöst :-)

yasou 01.10.2010 19:57
Übrigens wäre es dumm wenn ich mein altes Windows Profil beibehalte nach dem Formatieren, und nur z.B. Firefox und IE Daten lösche?

Was ist mit Thunderbird?

Was ist mit D und E, sollte ich da auch Maßnahmen ergreifen?

danke

yasou

markusg 01.10.2010 20:10
welches profil willst du beibehalten? du musst die komplette partition auf der sich windows befindet neu machen.
was soll mit thunderbird sein? das instalierst du einfach wieder nach dem alles neu aufgesetzt ist. wenn du meinst, ob du deine mails sichern kannst, klar kein problem, du kannst alles an persönlichen daten sichern.
und was ist d und e :d

yasou 01.10.2010 20:24
sorry, es ist schon etwas spät :)

Ich hab mein Windows Profil nicht auf C, sondern komplett auf D. Firefox und Thunderbird profile auch.

Normalerweise wenn ich formatieren würde, z.B. wenn Windows kaputt geht, dann tue ich mein ganzes Profil wieder verwenden.

Meine Frage:
Gibt es in den Profilen noch spuren von dem Trojaner?

Vielen Dank

yasou

markusg 01.10.2010 20:26
sollte funktionieren.
aber wie gesagt würd ich mal den opera probieren, der ist
1. viel sicherer als der ff
2. bringt er schon alles an funktionen mit, welche man beim ff noch nachrüsten muss.
und zu mindest bei mir
3. ist er schneller.

yasou 01.10.2010 20:57
gut. Kann ich ja mal machen.

Die Sache ist nur dass der Trojaner nicht zurück kommt nachdem ich formatiere, nur weil ich das Gleiche Profil benutze.

Vielen Dank nochmal für deine Hilfe

mfg

yasou

markusg 02.10.2010 11:20
nein kannst du nutzen.
ja eben, anschauen kann man und wenns einem nicht gefällt dann nutzt man ihn eben nicht.

yasou 02.10.2010 11:26
Wie steht denn Google Chrome in Sachen Sicherheit da?

markusg 02.10.2010 11:43
von der sicherheit ok denke ich, aber google und datenschutz hinterlässt natürlich einige fragen, ich würd lieber auf den opera setzen...
sag mal bescheid, welchen browser du nutzt. ich musss dann die sandboxie anleitung von mir anpassen


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:31 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131