TAN Trojaner: Ist mein Zweitsystem GOZI-frei?
 

Hallo Leute!

Ich bin vor ein paar Tagen von einem Bankmanager angerufen worden und informiert worden, dass meine Bankdaten auf einem ausländischen Rechner gefunden wurden, der am Wochenende hochgenommen worden ist... sie vermuten stark, dass mein Rechner mit dem trojaner "gozi" infiziert sei.
Die vorgehensweise sollte jetzt sein:

1. Meinen PC komplett neu aufsetzen
2. von einem "sauberen" rechner aus alle passwörter ändern, die ich habe..

zu diesen 2 schritten habe ich folgende fragen:
zu 1.: muss ich dazu nur die Betriebsplatte, also die partition mit dem WINDOWS ordner formatieren oder komplett ALLE partitionen, die ich habe o0

zu 2.: woran erkenne ich, ob mein zweitpc sauber ist??? gibt es da irgendwelche signifikanten dinge, die darauf hinweisen, dass ich diesen ekel tan-trojaner habe? (zB irgendein spezieller schlüssel in der registry). Mein Antivirus (Microsoft Security Essentials) hat nix gefunden...

weiß nicht, ob es was bringt, aber ich habe einfach mal einen systemscan mit diesem OTL Programm gemacht.

OTL.txt
Extras.txt
vielen dank für eure hilfe!!

kann ich mal n otl log vom ersten pc sehen? der zweite sieht ok aus.

hey, danke für die antwort! kann den bericht von meinem anderen pc leider erst morgen nachreichen, da ich grad wo anders bin.

woran hast du denn gesehen, dass dieser bericht "ok" ist?

wie kann man denn ganz einfach (auch ohne otl) feststellen, dass man gozi hat?

gruß
tagg

wenn man ein antiviren programm findet welches deine variannte erkennt. oder du postest mir die otl.txt des zweiten pcs und ich such schnell :-)

darf ich fragen nach was genau du da dann suchst? ^^

nach schädlichen einträgen, sie können je nach trojaner unterschiedlich sein.

Hallo!

also ich habe jetzt mal meinen Desktop PC, auf dem der trojaner drauf sein soll gescannt.

wenn ihr was findet, könnt ihr mir dann bitte sagen, was genau da jetzt verdächtig ist? dann könnte ich direkt auch alle anderen rechner (die von meinen eltern und meiner freundin ^^) auch noch untersuchen und müsst euch damit net aufhalten :D

naja hier sind die berichte, vielen dank fürs anschauen!!

OTL.txt:

Extras:

gruß
tagg

hi,

die einträge sind je nach schädling unterschiedlich, sie müssen also nicht gleich aussehen, poste ruhig die logfiles, ich sehe sie mir an, dass macht überhaupt nichts, dafür sind wir ja da.
• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
O4 - HKCU..\Run: [hdwwhost] C:\Users\Jan\AppData\Local\Temp\FXSCcomp.DLL ()
:FILES
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort posten.

öffne mein computer, c: _OTL. dort nen rechtsklick auf moved files, und zu moved files.rar oder zip hinzufügen, archiv zu uns hochladen.
archiv zu uns hochladen.
http://www.trojaner-board.de/54791-a...ner-board.html

Hey, wow das ging ja schnell :O

also, hier die verlangte datei:

rar archiv liegt im anhang.

noch was: ich habe, bevor du mir geantwortet hast, MSSE laufen lassen, der hat was gefunden:


Ist das der gesuchte übeltäter? irgend ne idee wie ich mir den eingefangen haben könnte?

vielen dank!!
besten gruß
tagg

hi, das ist ein java downloader, der warscheinlich die malware geladen hatt.
dieses system würde ich neu aufsetzen. ich würde dir dann tipps geben, um das system vernünftig abzusichern.
du kannst ein backup aller daten machen, dass stellt kein problem dar.

aargh so viele fragen ^^

1.was für ein trojaner war das denn nun, war es wirklich gozi, wie prophezeit?

2.also ich habe sämtliche games, eigene dateien wie musik usw auf anderen partitionen (verschlüsselte) gespeichert. nur systemprogramme sind auf meiner windows partition installiert.
reicht es, die windows partition C: platt zumachen? insgesamt habe ich nämlich über 1TB speicherplatz mit allem zusammen, das kann ich nie im leben backuppen. reicht c?

3. hatte dieser \hdwwhost eintrag auch was mit dem java trojaner zu tun? wo könnte ich mir den wohl eingefangen haben?

4.tipps zum absichern wären super! danke :D

gruß tagg

EDIT:

noch ein virenbericht von MSSE gefunden:
E: ist die festplatte, auf der mein image gespeichert ist, das ich mounte, um auf meine eigenen dateien zuzugreifen (truecrypt und so..!) heißt das, dass ich das jetzt auch plattmachen muss?????? :(

ja, es ist der papras trojaner.
ein passwort stealer mit evtl. noch anderen funktionen, malware nachladen etc.
es reicht, wenn du die partition c: formatierst.


dann instalierst du windows, dann evtl. nötige treiber.
dann windows update. unter einstellungen prüfe, das sie automatisch instaliert und geladen werden.

1. solltest du nur noch als eingeschrenkter nutzer arbeiten , das admin konto ist nur für instalationen gedacht.
klicke start, tippe unter suchen (ausführen) systemsteuerung. wähle dort Benutzerkonten hinzufügen/entfernen.
wähle "neues konto erstellen"
Wähle standard benutzer.

die konten sollten mit einem passwort geschützt werden.
dazu auf konto endern klicken und passwörter vergeben.

die uac sollte auf maximum stehen.
klicke auf start, ausführen (suchen) tippe
uac
enter
nachfrage bestätigen, regler auf höchste stufe.
so ist es schwiriger heimlich etwas auf dem pc zu instalieren.
Die folgenden konfigurationen als admin ausführen:
2.
dep für alle prozesse:
Datenausführungsverhinderung (DEP)
• "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:".
wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen.

3.
SEHOP aktivieren:
Aktivieren von SEHOP (Structured Exception Handling Overwrite Protection) in Windows-Betriebssystemen
klicke auf "Feature automatisch aktivieren"
und folge den anweisungen
dieser tipp, gilt auch für windows 7
4.
einer der sichersten browser ist opera.
Opera Webbrowser | Schneller & sicherer | Die neuen Internet-Browser kostenlos herunterladen
in den letzten jahren lag er was die sicherheit angeht weit vor den großen wie dem internet explorer und dem firefox.
außerdem ist er auch noch schneller im seitenaufbau etc.
mit diesem tool lässt sich ein werbeblocker laden
Opera AdBlock Configurator - Freeware - DE - Download.CHIP.eu
zusätzlich kannst du das auch manuell erledigen, falls mal etwas nicht geblockt wird:
Computerbase - Werbung blockieren
auch diese tutorial seite mal ansehen.
Opera Tutorial- Übersicht
hier besonders die abschnitte sicherheit (kookies) und passwort durchlesen

falls dir der opera nicht zusagt, bescheid geben und ich muss die anleitung anpassen.
5.
um das surfen sicherer zu machen, würde ich sandboxie empfehlen.
Download:
http://filepony.de/download-sandboxie/
anleitung:
drop.io
(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.
6.
autorun deaktivieren:
über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab.
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
usb sticks, festplatten etc, sollte man mit panda vaccine impfen:
ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY
so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit.
hake an:
hake an:
run panda usb vaccine automatically when computer boots
automatically vaccine any new insert usb key
enable ntfs file suport

7.
Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt.
instaliere die folgenden update checker.
Secunia:
http://www.trojaner-board.de/83959-s...ector-psi.html
und file hippo update checker:
FileHippo.com Update Checker - FileHippo.com
das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok.
dann doppelklicke file hippo, eine Internetseite wird geöffnet, auf der dier die aktuellsten updates gezeigt werden, diese downloaden und instalieren.

Beide programme sollten im autostart bleiben, und sobald eines der programme updates anzeigt sollten diese umgehend instaliert werden.

8.
regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht.
Acronis True Image 2011 - Festplatten-Backup-Software, Datei-Backup und Disk Imaging, Wiederherstellung von Anwendungseinstellungen, Backup von Musik, Videos, Fotos und Outlook-Mails
außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen.
Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden.
Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll.
so ab jetzt nur noch im standard nutzerkonto arbeiten und dort nur noch in der sandbox surfen.
klicke dazu auf "sandboxed web browser".
10. passwörter endern.

allgemeines.
- verzichte auf tuning programme, sie bringen nichts.
- keine illegalen downloads.
90 % bringen malware mit sich!
- keine streaming seiten wie kino.to sie verbreiten malware.
- wenn möglich, instalationen immer benutzerdefiniert ausführen, dann kannst du unnötiges zeug abwählen.

online banking:

ich würde zu online banking mit chipcard raten, dazu benötigst du, ein lesegerät, lasse dich von deiner bank beraten, es sollte aber mindestens ein klasse2 lesegerät sein, besser sogar ein klasse3 leser, das sind die besten für den privat kunden.
Kartenlesegerät ? Wikipedia

welches av nutzt du, das von ms?

ja ich benutze microsoft security essentials. kann man das lassen? das arbeitet eigentlich recht ressourcenschonend. war mal auf nem kaspersky trip, wurde mir dann aber zu nervig, dass mein pc immer langsamer dadurch wurde.

tuning programme bringen nichts? also ich habe eigentlich mit TuneUp2010 gute erfahrungen gemacht. stellt das eine bedrohung dar..?

würde eigentlich gerne bei firefox bleiben, hab mich jetzt schon ziemlich daran gewöhnt.. :(

gruß tagg

ja sicher kannst du bei mse bleiben, du hast ja noch andere schutzmaßnamen, wenn du alles von mir umsetzt.
wenn du darauf achtest, immer unnötige software zu deinstalieren, den atostart leer zu halten, also wirklich nur das notwendigste zu starten etc, dann erziehlst du genauso gute erfolge, die restlichen funktionen von tuneup sind nutzlos.
es gibt auch gefahren, so funktionieren bei einigen pcs die updates nicht mehr richtig etc.
oder man zerschießt sich die registry.

ok dann für den firefox:

als adon noscript, es werden dadurch einige scripts (java) zb blockiert, du kannst diese dann frei geben, in dem du auf der seite, die freigegeben werden
soll, nen rechtsklick machst, noscript wählst, und temporär alle berectigungen aufheben wählst, somit werden sie für den besuch aufgehoben, oder alle beschrenkungen
aufheben, somit wird die seite freigegeben. das kann man natürlich wieder rückgängig machen.
http://filepony.de/download-noscript//
6.


sandboxie:
den direkten datei zugriff bitte auf firefox.exe und plugin-container.exe
beschrenken, hier kannst du auch noscript und andere plugins eintragen.
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini
bei
Internetzugriff:
firefox.exe und
plugin-container.exe
eintragen
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, firefox.
direkten zugriff auf lesezeichen erlauben auswählen und auf hinzufügen klicken, dann auf ok.

hallo,

vielen dank für deine tipps, ich habe mir jetzt auch mal opera zugelegt, benutze aber hin und wieder noch firefox, da opera bei manchen sachen nicht funktioniert.

neues problem: ich habe bei meinem laptop, den ich hier ja schonmal als zweitsystem angegeben habe und auch schon eine scan datei von otl mitgeschickt habe jetzt noch ein trojaner entdeckt (gerade eben):

Bericht von microsoft Security Essentials:
Trojanername: TrojanDownloader:Java/OpenStream.AM

Was ist das denn nun schon wieder? hab ich mir den bei einem Java update zugezogen? hab ich vor ein paar tagen gemacht. muss ich jetzt SCHON WIEDER alle pws ändern und bei meinem Laptop alles neuinstallieren?!?!?
*bittebittenicht...*

Ich hab das Teil schonmal mit MSSE entfernen lassen, trotzdem hier nochmal der nachträgliche OTL Bericht nach der Entfernung:

OTL.txt
Extras.txt

Vielen Dank für den Rat und die Hilfe!!
Besten Gruß
Tagg