Schlimme MalWare auf dem PC? (Keylogger, WesternUnion-Seite)

    habe mit "acer e recovery" punkt "werkseinstellungen für system komplett wiederherstellen" den rechner zurückgesetzt, war überaschend einfach, habe alle wichtigen daten gesichert und dann einfach das programm ausgeführt, angeblich ist der rechner jetzt sauber und er läuft auch wieder etwas schneller. der western union ..... ist auch verschwunden. :mrgreen:

    Klingt vielversprechend. Ja, das soll sehr einfach sein, nur ne Tastenkombi im Startmenü drücken und dann gehts quasi von allein. Wird mich zwar trotzdem des WE kosten aber besser als ich befürchtet hatte. Hoffen wir nur dass die Pisser nichts erhaschen konnten das ihnen nützt.;)

    Kann die keiner zurückhacken?

    IP ausfindig machen?
    Das ist eigentlich einfach mann msu sich nur ein kleines bischen mit sowas auskennen und man kann schon vieles herrausfinden :/

    Zitat von mrkelly

    habe mit "acer e recovery" punkt "werkseinstellungen für system komplett wiederherstellen" den rechner zurückgesetzt, war überaschend einfach, habe alle wichtigen daten gesichert


    Aber hoffentlich nicht, indem Du z.B. einen Wechseldatenträger direkt ans infizierte Windows gestöpselt hast?

    Zitat

    angeblich ist der rechner jetzt sauber


    Wer sagt das? "Angeblich"? Hast Du die Recovery-Prozedur über eine Recovery-DVD angestoßen?

    Zitat

    und er läuft auch wieder etwas schneller. der western union ..... ist auch verschwunden. :mrgreen:


    Selbst wenn dadurch ein vertrauenswürdiger Zustand erreicht worden wäre (hängt vom Vorgehen Deinerseits im Detail ab) - hast Du sofort nach dem Recovery alle Programme auf den neuesten Stand gebracht?

    Soll ich eigentlich die infizierten Programme mal entfernen lassen bevor ich neuinstalliere? Auch bevor ich die Datensicherung mache (die Daten lass ich von meinem Vater checken, der hat berufsbedingt ziemlich hochwertige AntiVirus-Software).

    Zitat von Kotzruebe

    Soll ich eigentlich die infizierten Programme mal entfernen lassen bevor ich neuinstalliere?

    Brauchst du nicht, es wäre nur eine unnötige Zeitverschwendung.
    Mit der Neuinstallation werden eh alle vorliegenden Infektionen entfernt.

    Zitat von Road-Runner

    Wichtig: vor dem Plattmachen erst alle persönlichen Daten (Dokumente, Bilder, Musik usw., aber auch das Profil von Firefox) sichern, sonst sind diese definitiv weg.

    Wichtige Präzision (aus diesem Thread):

    Zitat von mmk

    Wechseldatenträger dürfen unter keinen Umständen direkt an ein infiziertes System (hier in der Regel Windows) gestöpselt werden, da in diesem Moment aktive Malware ebenfalls die Möglichkeit hat, auf die darauf bereits gespeicherten Daten zuzugreifen und zusätzliche Verbreitungsmechanismen (z.B. Autorun) zu etablieren.

    Nachträgliche Datensicherungen sind in begrenztem Maße (nur Daten, keine Programme/Installationsdateien) mittels eines vertrauenswürdigen, nicht infizierten Rettungssystems zu erstellen, z.B. Knoppix, um mal ein klassisches Beispiel zu nennen.

    Zitat von Kotzruebe

    Soll ich eigentlich die infizierten Programme mal entfernen lassen bevor ich neuinstalliere? Auch bevor ich die Datensicherung mache (die Daten lass ich von meinem Vater checken, der hat berufsbedingt ziemlich hochwertige AntiVirus-Software).


    Wichtig ist, dass im Zuge der Neuinstallation auch sämtliche Partitionen aufgelöst (gelöscht) werden. Dies ist erforderlich, weil der Schädling Züge eines Rootkits trägt, welches man durch eine pure Neuinstallation nicht loswerden würde.

    _____________________________________

    Edit:

    Zitat von Kotzruebe

    Ist Auslieferungszustand gleichbedeutend mit Neuinstallation?


    Ja, aber: Das Zurückführen in den Auslieferungszustand reicht hier nicht aus, weil dabei der Master Boot Record (MBR) nicht angetastet wird. Der MBR muss jedoch neugeschreiben werden. Das erreichst du entweder durch das Auflösen sämtlicher Partitionen. Der MBR kann wahlweise auch mit dieser Prozedur erneuert werden: http://www.tippscout.de/master-boot-re…_tipp_2417.html

    OK, also jetzt mal für Dumme:

    Reicht es jetzt aus Auslieferungszustand + MBR-Reperatur/Löschen der Partitionen zu machen oder muss Windows komplett neuinstalliert werden? In letzterem Fall wirds nämlich schwer weil selbst mit einer Boot-CD die mein Laptop erstellt nur der Auslieferungszustand wieder hergestellt werden könnte.


    Zum Thema Datenrettung:
    Wie verhält sich das mit DVDs? Wenn ich die entsprechenden Daten auf ne DVD brenne und diese dann als Zwischenspeicher verwende, wäre das sicherer? Oder kann auch von CDs / DVDs direkt die Malware übertragen werden?

    Zitat

    Reicht es jetzt aus Auslieferungszustand + MBR-Reperatur/Löschen der Partitionen zu machen


    Nein, hier ist eine komplette Neuinstallation erforderlich. Sprich, du musst dir von einem sauberen Rechner aus bei Microsoft die Installations-ISO für Windows 7 (gemäß deiner Lizenz) runterladen.

    wg. Datenrettung / Datensicherung / Neuinstallation:

    Sichere deine persönlichen Daten mit einem Live-System (z. B. Ubuntu, Kubuntu oder Avira Rescue-CD). Damit verhinderst du, dass Schadcode auf das neue System übertragen wird.

    Deine persönlichen Daten kannst du auf CD oder DVD brennen oder vorübergehend auf eine externe Festplatte parken.

    Dann starte die Neuinstallation. Im Zuge der Neuinstallation muss die gesamt Festplatte formatiert werden. Ebenso müssen alle Partitionen aufgelöst (gelöscht) und neu erstellt werden.

    Auch alle externen Festplatten und Wechselmedien (z. B. USB-Sticks, CF-Speichercards etc.), die mit dem verseuchten Rechner verbunden waren, müssen formatiert werden.

    Anschließend installiere das Betreibssystem neu und richte ein eingeschränktes Benutzerkonto ein. Vor dem ersten Onlinegang müssen unbedingt alle Service-Packs (für Windows 7 ist das SP1) und Sicherheitsupdates installiert sein. Und anschließend sofort ein aktuelles AV-Programm draufziehen und ebenfalls updaten.


    Achtung:

    Falls du OnlineBanking betreibst, veranlasse zuerst über den Sperrnotruf 116116 eine Sperre deines OnlineBankings.

    Anschließend musst du alle Kenn- und Passwörter ändern. Dies muss über eine saubere Rechnerverbindung gemacht werden!

    Wie ist das, OnlineBanking betreibe ich nur direkt auf den Webseiten der Banken selbst, hab dort keine PWs hinterlegt und auch seit längerer Zeit keine Aktionen mehr gehabt, schon garnicht seit der Virus drauf ist (kann den Zeitpunkt durch die fatale Facebook-Mail genau datieren). Sollte ich das trotzdem sperren? Weil es laufen laufende Transaktionen ab und ich weiß nnicht inwiefern die weitergehen würden bei einer Sperrug. Aber bevor da was wegkommt.o0

    Ja, unverzüglich sperren.

    Zbot (Banking-Trojaner) ermöglicht Cyberkriminellen einen weitgehend ungehinderten Zugang zu allen persönlichen Daten (u.a. auch zu deinen Kenn- und Passwörtern) auf diesem System.

    Ich kann nicht nachvollziehen, dass du immer noch nichts unternommen hast! Mittlerweile sollte dir doch klar sein, dass du es nicht mit Eierdieben zu tun hast. Du kannst ja mal interessehalber nach Zbot, ZeuS oder SpyEye googeln . Das ist Malware übelster Sorte.

    Derzeit ist es so, dass Cyberkriminelle vollen Zugriff auf deine Legitimationsdaten haben. Das heißt, sie könne mit deiner Identität beliebige Transaktionen ausführen. Darum ist höchste Eile geboten.

    Mit der Sperre verlieren deine Legitimationsdaten ihre Gültigkeit. Somit können Kriminelle nichts mehr damit anfangen.
    Nach der Sperre bekommst du von deiner Hausbank neue Legitimationsdaten. Das solltest du als Chance betrachten, nicht als Unbequemlichkeit!!

    P.S.
    Der Tipp, die Kenn- und Passwörter (z. B. für Ebay, OnlineShopping oder für Social Networks wie Facebook) zu ändern, war kein Witz!

    Ja aber es macht wenig Sinn das zu ändern solang ich an meinem infizierten Laptop bin, ich kann erst heute Abend bei meiner Freunndin eine saubere Verbindung nutzen um alles in die Wege zu leiten. Die Sperrung werde ich durchführen, da hast du Recht, auch wenn selbst mit Legitimationsrechten keine Transaktion ohne weiteres möglich ist, da meine TANs nur analog in meiner Schublade existieren.

    Danke schonmal für alles!

    Zitat

    ich kann erst heute Abend bei meiner Freunndin eine saubere Verbindung nutzen um alles in die Wege zu leiten.


    Das musst du wissen. In deiner Situation würde es sich jedoch lohnen, alles stehen und liegen zu lassen. Bei dir brennt das Dach. In so einem Fall wartet man nicht bis nach Feierabend!!

    btw:
    Aus der Ferne lässt sich kaum beurteilen, wie lange das System bereits infiziert ist.

    Wenn der Rechner deiner Freundin in der Vergangenheit mal mit deinem (infizierten) Rechner verbunden war (z. B. über USB-Stick), oder wenn es einen wie auch immer gearteten Datenaustausch gab, gilt der Rechner deiner Freundin ebenfalls als verseucht. Wenn du die Passwörter über eine Linux Live-CD änderst, wärst du auf der sicheren Seite.

    Zitat von Kotzruebe

    (kann den Zeitpunkt durch die fatale Facebook-Mail genau datieren)

    Du kannst definitiv feststellen, das die Verseuchung durch diese Mail entstand? Wenn ja, melde es (und den Absender) bei Facebook und teile bitte hier mit, was in dieser Mail stand, bzw. wie die Malware auf dein System kam. Z.B. Link zu einer Seite, oder Klick auf einen Anhang etc.etc. Sollte es ein Link zu einer Webseite sein, diese unklickbar hier posten.. Z.B. w.w.malwareeingefangen.com
    Dies dient dazu, andere User zu warnen und uns mehr Hintergrund zu diesem um sich greifenden Phänomen zu liefern. Danke für deine Mitarbeit. :)

    Zitat von abc12


    FOLGENDE SEITE NICHT BESUCHEN[/b][/u]

    diese Seite war’s ht ://w . http://dekieviten.nl/images/gallery…IMG05258191.JPG

    seit dem habe ich diesen Virus... hat jemand den selben Fehler gemacht?

    Edit 2002Andreas
    Link ist nicht mehr klickbar


    1.Da habe ich geschrieben, dort ist der link, der auf die Seite führt die du nicht anklicken darfst. Steht aber schon was länger hier.

    Also ich weiß jetzt nicht genau wie es bei euch war aber. Ich habe mich da ein wenig mehr beschäftigt mit. Ich setzt mein PC neu auf, jedoch weiß ich was der Trojaner ist.

    Es ist der TR/Spy.ZBot.WY der ist noch NICHT bekannt gewesen, deswegen konnte ihn auch kein Virensystem finden. Nachdem ich diese Datei die ich lange gesucht habe namen hulealf.exe bei AVIRA hochgeladen habe haben, die mir nach 1 stunde geschrieben, dass die sofort ein Erkennungsmuster für diesen Virus erstellen, so das es bei dem nächsten Update dabei ist.

    Aufmerksam bin ich auf den Trojaner geworden, weil mir meine Firewall mitteilte das die Verbindungen geblockt werden.
    Es ist ein ganz neuer Virus gewesen.

    Die IP des Servers der Angreifer habe ich auch von meiner Firewall bekommen. IP: 193.27.246.86 (sind wahrscheinlich Russen)