Hi,

die Geschichte wurde folgendermaßen an mich berichtet:
Die Bank ruft bei jemanden an, weil sein Rechner mit einem Trojaner infiziert sei! Ich solls jetzt richten :biggrin:
Auf dem Rechner ist Drecks-XP installiert, legale Version mit Updates und allem Scheiß, sogar ein kostenpflichtiger Virenscanner läuft, hat aber nix gemeldet bisher (welches Produkt ist noch unbekannt). Online-Banking wird NUR über den Browser betrieben, ich befürchte IE.
1. Kann die Bank wirklich wissen, was auf dem Rechner los ist?
2. Wie komme ich an Router vorbei an den Zielrechner, um mir mal ein Bild zu machen? Teamviewer? Ich setzte nat. OSX 10.6 ein
3. Gab es nicht so eine Online-Seite die man aufrufen kann, die dann einen Bericht liefert ob der Rechner infiziert ist? Sollte man sowas machen?

Gruß

Die Bank weiß das auf dem PC was nicht in Ordnung ist weil die Logindaten benutzt wurden, und zwar von einer IP-Adresse, die auf der Trojaner-Blackliste ist.

Onlinescanner könnt ihr mal drüber laufen lassen:
http://www.pandasecurity.com/activescan/index/

Ums Neuaufsetzen kommt man trotzdem nicht rum. (auch mit HijackThis Checks nicht!)

1. Kann die Bank wirklich wissen, was auf dem Rechner los ist?

Das wüsste ich auch gern. Nem Kollegen ist das vor paar Monaten auch passiert.

3. Gab es nicht so eine Online-Seite die man aufrufen kann, die dann einen Bericht liefert ob der Rechner infiziert ist? Sollte man sowas machen?mmm...

Von fast jedem Hersteller gibt es eine Seite, die einen Onlinescan erlaubt. Aber das System solltet ihr trotzdem neu aufsetzen. Mittlerweile gibt es alle paar Tage Updates für Trojaner, weshalb es unwahrscheinlich ist, dass das System so wieder gesäubert werden kann. Aus purer Neugier: Welcher Virenscanner läuft auf dem System?

Warum sollte eine Bank das nicht können, wen dein Nutzungsprofil z.b. sagt, das Du immer mit einer IP aus dem Raum München dich einlogst und dabei Überweisungen in maximal dreistelliger Höhe tätigst, dann dürfte da bei dir was faul sein, wen von einer russischen IP gerade versucht wird, was vierstelliges zu bewegen.

Fällt aus dem Rahmen, kann untersucht werden auf Trojanertätigkeit + gegebenfalls Rückrufaktion per Telefon.

... mit Updates und allem Scheiß, sogar ein kostenpflichtiger Virenscanner läuft, hat aber nix gemeldet bisher (welches Produkt ist noch unbekannt).
Und was ist mit der restlichen Software, allen voran natürlich der Kram der via Plugin im Browser hängt!?

- Adobe Flash
- Adobe PDF
- Sun Java
- Apple Quicktime
- ect...

Ansonsten:
Einziger beinahe narrensicherer Scan ist ein Offlinescan: http://www.avira.com/de/support-download-avira-antivir-rescue-system

MfG
Rooter

zu 2.: Ja, teamviewer klappt, auch durch Router hinweg.
Aber anschauen wird nichts bringen. :D

Ich würde mal Hijackthis laufen lassen. Und wenn das nichts böses zeigt, dann gmEr (http://www.gmer.net/). Natürlich ist ein offline-Scan (also von einem anderen System heraus) auch immer hilfreich, aber das kann einen Laien überfordern - je nachdem, wie fit jemand in Sachen PC ist.

Die Bank merkt das meist an typischem Virusverhalten und untypischem Nutzerverhalten. So wird beispielsweise mehrfach eine TAN angefordert, womit zuerst der Maximalbetrag für's Onlinebanking erhöht und dieser dann zu transferieren versucht wird. Die Bank zieht dann die Notbremse.

Die meisten aktuellen Viren dieser Art basieren auf ein und demselben Footprint. Der 1BL des Virus sitzt im MBR, der aus dem nicht zugeordneten Bereich der Platte einen Treiber in die Bootkette bis ins System schleust. Du kannst die Partition formatieren wie du willst, das schadet dem Virus nicht im geringsten.

Hast du zu dem mal einen Link? Klingt nett.

kann man den MBR nicht mit der Reparaturkonsole von einer Windows-Intallations-CD überbügeln?
Ich dachte sowas hab ich schon mal gemacht.
Verflucht ich hab schon 4 oder 5 Jahre an keinem Windows-PC mehr gefrickelt.

Kann Windows ein virenfreies Backup aller Daten/Benutzerdaten dieses Rechners anlegen, das ich bei Neuinstallation wieder einspielen kann?

Danke für den avira-Link zum Offline-Scan. Den werd ich mal auf eine CD backen, wenn ich eine finde... Wie ich das alte Zeug hasse

kann man den MBR nicht mit der Reparaturkonsole von einer Windows-Intallations-CD überbügeln?
Ich dachte sowas hab ich schon mal gemacht.
Verflucht ich hab schon 4 oder 5 Jahre an keinem Windows-PC mehr gefrickelt.

Kann Windows ein virenfreies Backup aller Daten/Benutzerdaten dieses Rechners anlegen, das ich bei Neuinstallation wieder einspielen kann?mmm...

Jein, die Frage ist, ob der Virus schlau genug war, sich in der Sicherung des MBRs ebenfalls abzulegen. Falls ja, kommst du mit fixmbr nicht weit. Fixboot soll einen neuen Schreiben, aber ich würde hier eher ein Lowlevelformat vorziehen. Bei XP und niedriger muss dazu ein Herstellertool genommen werden. Ab Vista führt es eine Mid- Level- Formatierung durch, wobei alle Bereiche mit einer 0 überschrieben werden.
http://de.wikipedia.org/wiki/Formatierung#High-Level-Formatierung

Dazu müsste man wissen, wo sich der Schädling überall eingenistet hat. Ich würde eher Knoppix nehmen und damit die Daten auf ein USB- Stick oder externe/ andere HDD kopieren.

Warum nicht die Polizei bemühen?

Fixmbr hilft schon. Zur Sicherheit könnte man den unpartitionierten Bereich auch noch plätten. Aus Windows heraus sollte man aber nichts unternehmen, solange der Virus die Oberhand hat.

Edit: Der MBR hat keine Sicherung.

Man kann z.B. auch mal den laufen lassen:

http://www.microsoft.com/security/scanner/en-us/default.aspx

Ist ein Offlinescanner von Microsoft. Ich würde aber trotzdem alles killen. Wenn's um "meine" Bankdaten ginge, dann ist mir nichts sicher genug...

Massenware ist nicht zu empfehlen. Die kleinen, gezielten Tools sind besser. Das muss man im konkreten Fall entscheiden.

Das ist eine empfehlenswerte Anlaufstelle für Betroffene:
http://www.trojaner-board.de

Wir (Sparkasse, electronic banking-Abteilung) bekommen diese Informationen von unserem Rechenzentrum. Das wiederum bekommt diese Informationen von internationalen Behörden, welche Phishing-Server geschlossen haben. Die Informationen beinalten nur den Anmeldenamen, das Log-Datum und die Bezeichnung des Trojaners. Anhand des Anmeldenamens können wir dann den Kunden identifizieren und informieren, dass der Rechner, von dem an den geloggten Tagen, Online-Banking gemacht wurde, mit einem Schädling infiziert ist.
Ob das nun der Kundenrechner ist, oder der Kunde an dem Tag bei einem Bekannten war und dessen Rechner befallen ist, können wir als Banker erstmal nicht feststellen. Nur zur Info, quasi aus erster Hand. ;o)