Trojaner URLZone auf PC - aber auf welchem?
 

Liebe Experten,
ich hoffe auf Eure Hilfe.

Wie schon bei anderen usern hier im Forum sind meine beiden Online-Bankkonten gesperrt worden, und zwar mit dem Hinweis, die Bank habe den Trojaner URLZONE auf meinem System entdeckt.

Ich nutze allerdings sowohl meinen Heim-Laptop fürs Banking als auch meinen Firmen-PC. Beide allerdings durch professionelle Software (Symantec 360) und Firewall geschützt.

Ich nehme natürlich eher an, dass das Problem auf meinem Heimrechner liegt, da wir einen sehr professionellen IT Supprt in der Firma haben.
Bevor ich aber das ganze System lösche, wäre ich froh, wenn man den Verdacht bestätigen könnte.
Ist das anhand der logs möglich?
Ist löschen des Systems wirklich nötig, oder gibt es effektive "Remover" Programme für diese Schädlinge?
Ich muss zugeben, dass mich die Infos im Internet etwas verwirren, da es ja angeblich auch so etwas wie Fake-Hilfeforen und Fake-Hilfsprogramme gibt.
Euer Forum wurde mir allerdings von IT Profis empfohlen :-)

Anbei meine Logs gemäss der Anleitung für Neulinge im Board....
Ich hoffe auf Hilfe und bedanke mich im voraus bei allen Experten, die sich hier so engagieren.

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Hallo cosinus,
danke für Deine Antwort....

ich habe vorher nicht mit Malwarebytes gearbeitet... daher keine älteren Reports verfügbar.

Ich habe aber heute früh die Version aktualisiert und einen Vollscan durchgeführt.
Den Report hänge ich hier an.
Sieht ja unverdächtig aus.. ist der Rechner damit "clean", oder kann es sein, dass der URLzone nicht durch dieses Tool entdeckt werden kann?

Beste Grüsse
Frosty

Sieht alles noch unaufällig aus.
Machst du nur Onlinebanking von diesem PC aus oder auch mit anderen Windows-Rechnern?

Hallo cosinus bzw Arne,

ausser dem Rechner, von dem die Protokolle sind, nutze ich manchmal meinen Firmen-Laptop, den ich aber wegen unseres hochprofessionellen IT-supports für "wasserdicht" gehalten hätte (ich arbeite selbst bei einem grossen IT-Unternehmen.. also sollten unsere Experten eigentlich Ahnung haben .. und wir haben auch ein automatisiertes Software-Updatesystem, VPN, Firewalls etc).
Auf dem Firmenrechner kann/darf ich formal nicht all diese Programme installieren und laufen lassen, die man zur Analyse braucht.
Natürlich nutze ich den auch nicht zum Surfen auf dubiosen Internetseiten, aber ich kann natürlich nicht ausschliessen, mal eine "Fun-Mail" von einem Kollegen oder Geschäftspartner geöffnet zu haben.... wenn die Berichte im Web stimmen, dann versteckt sich der URLZone ja wohl gerne mal in ansonsten unverdächtig wirkenden Dateianhängen von e-mails wie z.B. pdf's.

Wenn die Analysen des privaten Rechners bis jetzt unverdächtig sind.. heisst das denn, dass der wirklich sicher ist, oder gibt es noch weitere Untersuchungsmöglichkeiten?
Sollte ich den jetzt sicherheitshalber trotzdem neu aufspielen?

Eine Idee, die mir jetzt erst kommt... vielleicht kann mir sogar die Bank sagen, mit welchem Rechner (IP-Adresse) ich mich eingeloggt hatte, als sie mir den Zugang wegen des verdächtigen Datenverkehrs gesperrt haben...?

Einen wirklichen Anlass seh ich dazu nicht ist aber wenn man sichergehen will oder muss die letzte Konsequenz.
Prinzipiell hast du mit installierten Betriebssystemen ein höheres Risiko (v.a. Windows), du nutzt es ja auch für die tägliche Arbeit. Da wäre vllt ein Live-System wie Bankix evtl was für dich oder du installierst dir parallel noch eine Linuxdistro deiner Wahl.

Du kannst ja schonmal Daten sicher, falls noch noch nicht gemacht und dann könnten wir unter deinem Windows noch nen Lauf mit CF durchführen.

Wäre ne Idee. Wenn kann dir die Bank aber auch nur die WAN-IP nennen, hast du also mit einem anderen Rechner Onlinebanking gemacht, der im gleichen Subnetz war wie der Rechner den wir jetzt prüfen, hilft das nicht weiter.

OK, danke für die Tipps... ich lerne ja ständig dazu, aber mich mit Linux auseinander zu setzen habe ich mich noch nicht getraut, weil ich kein Programmierer bin, der die Vor- und Nachteile wirklich einschätzen kann.

Bzgl der IP-Adresse - ich arbeite nicht nur von zu Hause (wo beide Rechner in Betrieb sind), das heisst wenn die IP Adresse auf das Büro verwiesen würde, dann wäre auf jeden Fall der Firmenrechner der "Schuldige".

Daten gesichert habe ich aber laufend (über ein Western Digital NAS Laufwerk, das an meinem WLAN Router hängt)... also das ist kein Problem.
Das heisst dann aber auch gleichzeitig, die schädlichen Programme können sich nicht irgendwo in den iTunes-Daten verstecken oder so und über das NAS verbreiten?
:-)

Was meinst Du mit einem "Lauf mit CF" durchführen?
Das sollte ich dann wohl sicherheitshalber machen.

Wieso denn Programmierer??
Du musst doch auch kein Programmierer sein, um Windows zu benutzen!
Wenn man sich noch nichtmal irgendwie traut etwas auszuprobieren dann wird das auch nichts...

Nicht "der" Firmenrechner, sondern ein x-beliebiger Rechner aus der Firma würde in Frage kommen.

Ich bitte um Nachsicht... ich bin nicht mehr der Allerjüngste (knapp 40) und erinnere mich noch an die Zeit, als Linux nur ein Geheimtipp für echte Computerexperten war, so richtig mit zeilenbasierter Befehlseingabe und so... Windows gibt einem Enduser wie mir immerhin die Illusion, dass man mit Befehlscode nicht umgehen können muss und trotzdem alles im Griff hat.
Wohin das führt, sehe ich ja jetzt...

Probier doch einfach mal Ubuntu aus...
Das ist IMHO einfacher als WinXP ;)