Trojaner auf dem Rechner. TAN Nummern Phishing Attacke. Was tun?

LordSmile

gehört zum Inventar
Hallo,

ich nutze für das Internetbanking PIN und TAN.

Und ich hätte nie gedacht, dass mir so etwas passieren kann.

Als ich das letzte mal üder die WebSite meiner Bank online gehen wollte, erschien das in der Anlage befindliche Fenster in meinem Browser.

Und das ist auch noch gut gemacht.

Wie werde ich diesen Wurm/Trojaner wieder los, ohne den ganzen Rechner neu aufzusetzen? Habe einen Online Scan über Trend Mirco gemacht.
Nix gefunden.
 

Anhänge

  • Trojaner.jpg
    Trojaner.jpg
    259 KB · Aufrufe: 1.771
Hi,

um das Neuaufsetzen des Systems zu umgehen, dann
- mit Hijackthis eine Erstprüfung (hilft in den meisten Fällen)
- mit Spybot SD Die Seite von Spybot-S&D! eine weitere Prüfung durchführen
- die laufenden Prozesse überprüfen
- Einträge in der Registry unter HKEY_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run
(alternativ auch RunOnce & RunOnceEx prüfen)

Weitere Analysetools: Programme zur Systemanalyse unter Windows
Allgm. Infos zu Trojaner: Trojaner - Viren - Spyware - entfernen - Trojaner-Info.de

Wenn DU dann immer noch merh als eine TAN eingeben musst, war wohl wieder das Huhn schneller ;) - Datensicherung & Reinstallation folgen!

Mfg - der hexenmeister69
 
naja als erstens würde ich dir empfehlen den Trojaner vom Rechner zu bekommen, bevor du nochmal Online-Banking machst! :D:D

Am besten nimmst du dir dafür erstma den McAffee Stinger! Der findet so ziemlich alles! Als nächste würde ich dir empfehlen irgendeinen Anti-Virus, ist egal welcher, sollte aber aktuell sein mit Live-CD zu besorgen und zudem beim Systemstart die Boot-Sektoren zu scannen! Macht der Stinger zwar auch, aber sicher ist sicher!

Hast du dies gemacht und wurde was gefunden ist das schon mal ein Schritt, als Nächstes solltest du dir, sofern du keine hast, eine Linux Live-CD besorgen. Linux hiervon booten und nochmals einen Antivirus durchlaufen lassen, denn ein Anti-Virus bei Linux findet meist mehr als bei Windows, da sich die Würmer, Trojaner, Viren, usw. dort besser "verstecken"!

Bist du damit fertig und du denkst alles ist wieder ok kannst du Windows wieder booten! Bevor du nun irgendwelche Kaufgeschäfte oder sonst irgendwas im Internet abwickelst solltest du (ich weiß nicht welchen AntiVirus und/oder welche Firewall du einsetzt) die COMODO Firewall Pro runterladen! Ist eigentlich die beste und sicherste Firewall die man als Freeware bekommen kann! Wenn du Internet über einen Router hast, dann wäre ein Firmwareupdate auch nicht verkehrt.. welchen Router setzt du ein?

Nach diesen Schritten solltest du eigentlich wieder sicher im Internet sein!

Auch würde ich dir empfehlen die Internetverbindung dann über einen gesonderten Proxyserver laufen zu lassen! (google mal danach) Dies bringt auch noch ein bisschen mehr Sicherheit! Dauert aber eben ein wenig beim "richtigen" Einrichten!

Gruß,
Ludacris
 
Neiien!
Bitte nicht empfehlen, einen Rechner von Trojanern zu befreien und danach weiter zu surfen! :wand

Wenn das Drecksteil Nachladefunktionen hatte (was mittlerweile die meisten gefährlichen haben) kann sich alles mögliche eingenistet haben. Nur weil man den Trojaner entfernt hat, heißt das noch nicht, dass man das System auch wieder dicht gemacht hat, die Mistdinger können Einstellungen im System so verändern und tun das auch. Dadurch ergeben sich Angriffs- und Fernsteuermöglichkeiten. Kaum kommt man das nächste Mal auf eine päparierte Seite - was verdammt schnell gehen kann - hat man sich trotz Anti-irgendwas ein neues Teil eingefangen oder der Rechner wird schlicht und ergreifend über eine "erlaubte" Remote Verbindung ferngesteuert, die sich der Trojaner engerichtet hat. Die Möglichkeiten dazu sind alle im System enthalten und werden nicht von Antivirensoft erkannt, da sie zum Originalsystem gehören. Wenn so etwas einmal geschieht, ist der Rechner locker fernsteuerbar.

Auch Microsoft empfiehlt, ein einmal kompromittiertes System zu PLÄTTEN!
Alles lesen und sich danach richten hilft, die schlimmsten Fehler zu vermeiden

Fazit: befreien ja, aber nur um saubere Backups der Dateien erstellen zu können. Danach Rechner plätten und das System und die Programme sauber neu aufspielen. Dann Backups der Dateien vor dem erneuten Aufspielen mit externen Scannern überprüfen und erst dann, wenn die als sauber gemeldet wurden, wieder auf den Rechner lassen.

PS: Sicheres online Banking kann man ganz prima mit der Surf CD des BSI machen, wenn man sich an deren Vorgaben hält.


@LordSmile: Lass mich raten: Du verwendest den IE6 unter XP und surfst als Administrator?
 
Zuletzt bearbeitet:
Für mich ist das Problem eigentlich noch viel schlimmer.
Es handelt sich nicht am einen privaten PC, sondern um ein Notebook von meinem Arbeitgeber. Und ich sag euch lieber nicht, wer mein Arbeitgeber ist.
Sonst fällt das Forum vor Lachen vom Stuhl. :cry:

Dieses Notebook nutze ich halt auch über WLAN zum surfen in meiner Zweitwohnung. Dort habe ich eine FritzBox mit aktiver Firewall.
Auf dem Rechner ist McAfee installiert. Die Firma nutzt IE 6.002 und XP mit SP2.

Surfen ist eigentlich auch ausserhalb des Firmennetzwerkes (z.B. Hotel) erlaubt. Ich surfe als lokaler Admin. Das muss ich wohl ändern lassen, damit sich nicht heimlich was installiert.

Langsam muss ich wohl mal beim Admin beichten gehen. :cry:

Was das auch für ein Teil ist.

Stinger findet nix
Online Virenscanner TrendMicro auch nicht
S&D zeigt auch nix an

Logfile hab ich, kann es aber aufgrund Datenschutz hier nicht posten.
 
Zuletzt bearbeitet von einem Moderator:
Schon klar, aber das mit dem Admin ist eine gute Idee...

Zumal er Dir dann bei der Neuinstallation auch gleich einen zusätzlichen eingeschränkten Benutzer und zumindestens mal den IE7 zum Surfen einrichten kann, falls Du das nicht selbst darfst/kannst weil per Gruppenrichtlinien usw. verboten...

Der 6er ist löchrig wie ein Schweizer Käse...

Ansonsten bietet sich halt zum Banking ein Stick mit Opera@USB oder Firefox Portable - möglichst ohne Extensions, da da Wackelkandidaten bei sein können - an, falls die USB Unterstützung nicht - wie es bei einem wirklich paranoid gesicherten System der Fall sein sollte - aus dem System entfernt wurde (wie bei unseren Firmenschleppies ;)).
 
Ruf' Deinen Admin an und mach die Kiste platt. Keine andere Chance, gerade nicht bei einem Rechner, auf dem wichtige Daten einer Firma liegen.
 
ot:
wie ist das eigentlich mit WLAN, reicht eine WPA2 Verschlüsselung oder lassen sich da PIN und TANs mitsniffen? Es wird ja auch noch SSL verschlüsselt.
 
ot:
Grundsätzlich machbar - aber bei Erfolg hat man als Angreifer auf die Art zwar die PIN, aber nur eine verbrauchte TAN (ich weiss jetzt nicht ob man durch einen Algorithmus an andere TAN kommen kann, meine Bank verneinte mir dies allerdings) - und der Aufwand soweit zu kommen dürfte recht hoch sein. Es würde mich wundern, wenn jemand so vorgehen würde.
 
Die SEB benutzt ein neues TAN System. Die TAN Liste verbraucht sich nicht. Und die TANs werden damit nicht ungültig.

Man bekommt eine TAN Liste mit 40 TANs.
Bei jeder Zahlung fragt das System nach Zufall einer der 40 TAN Nummern ab.

Der Angreifer fragt ja nur vier TANs ab. Diese aber mit der genauen Nummer auf der TAN Liste. Will er eine Zahlung ausführen, muss das Banksystem durch Zufall auch nach einer der vier geklauten TAN Nummern fragen.

Ich weiss nicht, wie oft man eine falsche TAN für Zahlungen eingeben darf, bevor das System den Zugang sperrt.

Mein Notebook wurde nur innerhalb der Firma eingesetzt und das Netzwerk dort hat die allerhöchste Sicherheitsstufe.
Privat hab ich nur über WLAN WPA2 fritzbox inkl. Firewall und aktuellem Virenprogramm gesurft.

Wüsste zu gerne, wie das Teil reingekommen ist und warum kein Programm beim scannen was findet.
 
4 Tans? Heilige scheiße... würd ich niemals eingeben.
Ich bin bei der (naja egal)-Bank und da mach auch online meine Überweisungen... aber wenn ich mal was überweisen will werde ich expliziet nach der jew. Nummer der jeweiligen TAN gefragt...
Einfach so, wahllos, irgendwelche TAN's eingeben is nich.
 
Wessen Bank das anbietet, der sollte sie sich eh per SMS zuschicken lassen. Für jede Tätigkeit am Konto, die irgendwelches Geld bewegt, bekommt man eine neue TAN zugeschickt.

Dann kann man den Dieben nur noch viel Spaß beim gleichzeitigen hacken der Internet- und der Handy-Verbindung wünschen ;)
 
Au JA !! Prima !!

Zitat von LordSmile :
Die SEB benutzt ein neues TAN System. Die TAN Liste verbraucht sich nicht. Und die TANs werden damit nicht ungültig.

Man bekommt eine TAN Liste mit 40 TANs.
Bei jeder Zahlung fragt das System nach Zufall einer der 40 TAN Nummern ab.

Hallo zusammen

Also besser kann man eigentlich gar nicht zum TAN sniffing aufrufen !!

Spass mal beiseite . Es geht nicht darum ob und wie der Account (F BOX Verschlüsselung etc) geschützt ist , sonder darum das diese Trojaner Deine
Überweisungen , PINS , TANS usw. im Klartext übermitteln . Hier hilft wirklich nur Plattmachen und Neu installieren. Wir haben mal vor 1 Monat einen Kunden PC "sauber" gemacht und wieder ins LAN eingebunden aber der Auffwand war Immens. Würde ich auch in anderen Fällen nicht empfehlen
.. Kosten und Nutzen .

liebe Grüße

Andy
 
Wessen Bank das anbietet, der sollte sie sich eh per SMS zuschicken lassen. Für jede Tätigkeit am Konto, die irgendwelches Geld bewegt, bekommt man eine neue TAN zugeschickt.

Dann kann man den Dieben nur noch viel Spaß beim gleichzeitigen hacken der Internet- und der Handy-Verbindung wünschen ;)

mh... meine Bank bietet das zwar an, aber dann fallen jedes mal die Kosten für eine SMS an, da ich keine frei-SMS habe und auch öfter Überweisungen mit wenig Geld mache denke ich nicht, dass es sich für mich lohnt.
Wer mein Konto hackt macht sowieso keinen großen Fang ;)
 
Wer mein Konto hackt macht sowieso keinen großen Fang ;)
Solange Du Deine Millionen nicht in anderen Anlageformen angelegt hast, ist das aber im Prinzip genau die Situation, in der man auf das wenige, was drauf ist, besonders geachtet werden muss.

Evtl bietet ja die Bank auch ein Security Token an (diese kleinen Dönjes, die immer eine neue TAN berechnen, die man dann eingeben kann). Das wäre eine einmalige Investition in Sicherheit und ebenfalls deutlich sicherer als das normale mit der Liste...
 
Admin hat sich gefreut. Rechner neu aufgesetzt und Wurm ist weg.

Zwei User einrichten geht nicht. Hab also weiter lokale Admin Rechte.
Wegen Pointsec oder so.

Und leider auch nur IE6 möglich.

Hab mir nun Firefox runtergeladen und will ausserhalb des Firmennetzwerkes damit surfen. Habt ihr einen Links mit Tipps für die "optimalen" Einstellungen in Bezug auf Sicherheit?

Wenn ich wieder sowas einfange, krieg ich ein Problem.
 
Prima Lordsmile (y) Grüße an den Admin :)

Also wir haben bei dem Kunden AVG 8.0 und Spybot eingerichtet somit ist bis jetzt poch auf Holz nichts mehr vorgekommen .. im gegensatz zu avira oder antivir die dann doch was durchgelassen habe ...ups war das nen trojaner ??? egal erstmal update ...lol


Liebe Grüße Andy
 
Oben