Banking-Trojaner

  • Avira und TDSSKiller hab ich durchlaufen lassen, Logs anbei. Avira hat im Nachgang noch was in 'System Volume Information' gefunden und entfernt, Report habe ich mit beigefügt.


    Links gelöscht.


    Malwarebytes ist leider nicht mehr fertig geworden. Mache ich dann morgen abend. Muss jetzt los.
    Danke

    Einmal editiert, zuletzt von EstherCH ()

  • Das Script im PPFScanner ausführen:

    Nichts tun, bis der Scanner sich beendet hat.
    Das noch tun - aber erst alles hier durchlesen:

    • Ordner C:\PPFS_Sicherung löschen, wenn der noch nicht gelöscht wurde. Papierkorb leeren.
    • Alle Scanner löschen bzw. deinstallieren, die wir verwendet haben und die du nicht mehr benötigst.
    • Wie hier beschrieben Systemwiederherstellung deaktivieren. Alle Wiederherstellungspunkte löschen: Systemwiederherstellung deaktivieren in Windows 7
    • Danach Systemwiederherstellung wieder aktivieren.
    • Passwörter vorsichtshalber alle ändern (EBAY, Email...).


    Was ist passiert:
    Am 08.05.2013 ist scheinbar ein Trojan Downloader auf dem PC abgelegt worden. Es sieht für mich im Augenblick auch so aus, als wäre das beim Öffnen einer Mail passiert. Avira hat Blackole Exploits gefunden. Die waren in Werbung für Ferienhäuser. Wurde an dem Tag so etwas angesehen, dürfte der Downloader daher stammen.
    Der Downloader hat sich einen Blublik Trojaner nachgeladen. Das geschah das erste Mal am 08.05.2013 - das letzte Mal am 11.05.2013.
    Bublik nutzt RootKitfunktionen. Auf dem Rechner wurde zuerst nach dem Login ein Injektor gestortet. Dieser Injektor infizierte den laufenden WindowsExplorer (explorer.exe) im Speicher mit eigenem Code, um weitere Prozessstarts abzufangen und seinen Code in allen danach gestarteten Prozessen abzulegen und auszuführen - der Trojaner lief also in fast allen Prozessen auf dem Rechner. Desweiteren wurden einige wichtige APIs der NTDLL bei den befallenen Prozessen im Speicher gepatched. Das könnte dazu dienen, den Trojaner nach einem Löschversuch im Usermode erneut nachladen zu lassen.



    Sowohl bei dem Downloader als auch bei der EXE des Banking Trojaners war etwas merkwürdiges festzustellen. Scheinbar nutzt er eine Technik, um herauszufinden, ob er in einem automatischen Diagnosesystem läuft - der will scheinbar passend darauf reagieren und tut dort nicht alles, was er normalerweise tut.


    Wichtig: Aufgrund dieser oben beschriebenen Sache kann ich nicht hundertprozentig sagen, ob wir alles erwischt haben, was der Trojaner auf dem Rechner versteckt hat. Ein (wenn auch in dem Fall kleines) Restrisiko bleibt also.

    Das Paar sollte sich also überlegen (gerade wenn sie weiter Onlinebanking machen), ob sie den Rechner nicht besser neu aufsetzen. Das, was wir hier durchgeführt haben, ist zwar schon recht sicher - wenn es um das eigene Geld geht, würde ich aber nicht leichtsinnig sein - wie gesagt, gut überlegen. Wenn du dir das oben durchliest, wirst du feststellen, dass dort sehr ausgefeilte Techniken verwendet werden, um den Rechner auszuhebeln. Die das programmieren, sind keine Idioten.



    Damit sich die Wahrscheinlichkeit einer erneuten Infektion vergeringert, solltest Du folgende Anleitung gründlich durchlesen und abarbeiten.
    Sich nur auf einen Virenscanner zu verlassen, reicht heutzutage nicht mehr aus!
    Anleitung: Das sichere Windows System

  • Alles erledigt. Vielen Dank für deine fachkundige Hilfe.


    Noch mal zur Infektion...
    Die Vermutung war ja, dass der Trojaner über die Mail eines Vermieters von Ferienwohnungen kam, bei welcher Buchungsbestätigung und Rechnung als Anhang beigefügt war. In unmittelbarem zeitlichen Zusammenhang (auch am Morgen des 08.05.) wurde aber auch noch dessen Webseite bzw. das Vermieterportal (über welches er seine Wohnungen vermietet) besucht und darum als zweite Möglichkeit ein DriveBy-Download von dieser Webseite in's Auge gefasst. Der Mailabsender wurde mittlerweile informiert. Die Frage ist nun ob man vorsorglich auch das Vermieterportal informieren sollte.


    Den PC neu aufzusetzen war eh meine erste Intention gewesen. Der PC-Besitzer hat mir dafür auch, wenn's garnicht mehr anders geht, grünes Licht gegeben. Zu meinem Erstaunen hat er sogar vorsichtig gefragt ob es dann nicht besser wäre gleich Windows7 zu nehmen. Na ja, vor längerer Zeit hatte ich den PC schon mal in der Mache. Damals hatte ich dem Konto der Frau nur Benutzerrechte gegeben (hat der Hausherr wohl wieder geändert), hatte eindringlich geraten den Internetexplorer nicht zu verwenden (sie hält sich da wie es ausschaut nicht dran) und generell empfohlen das unselige XP Home auszurangieren. Mal sehen ob der Schuss vor den Bug was bewirkt...


    Nochmal...Danke für deine Hilfe...ich hoffe so schnell brauch ich sie nicht wieder.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!