Trojaner/Rootkit - Datenklau? - Forum

quad-prozzi-fan

I do it my way.....

Registered: Oct 2005
Location: NÖ - Petzenkirc..
Posts: 5221

05.07.2009 - 18:32

Hi @ll

Ich habe mir gestern aus meiner eigenen Dummheit einen Trojaner bzw ein Rootkit eingefangen.
Bekomm den nicht weg und die einzige Möglichkeit ist wohl neu aufsetzen.

Über den PC der befallen ist, habe ich meine Online Banking Tätigkeiten abgewickelt.

Jetzt wollt ich fragen ob mir wer sagen kann, ob ich da in Aktion treten sollte und mit der Bank reden das ich ein neues Account oder so bekomme.

Habe ein Lesezeichen eingerichtet wo ich dann den PIN eingebe und dann bin ich drin. Transaktionen werden über Tans abgewickelt wo die Liste bei mir zu Hause liegt.

Weiters hab ich ein paar Passwörter im Firefox gespeichtert vom Mail Account und Foren. Ich nehme an es wäre empfehlenswert die zu ändern?

tia lg quad

nexus3729

serendipity

Registered: Dec 2002
Location: Wien
Posts: 1349

05.07.2009 - 18:37

wie wärs einfach mit login passwort wechsel bevors jmd anderer tu

Burschi1620

24/7 Santa Claus

Registered: Apr 2004
Location: Drüber da Donau
Posts: 6792

05.07.2009 - 18:37

Das mit der Bank ist kein Problem, im leichtesten Fall sagst einfach, du hast den Pin vergessen - dann bekommst du ohnehin einen neuen.

ferry32

OC Addicted

Registered: Jun 2009
Location: Wien 21
Posts: 683

05.07.2009 - 18:43

Hallo!

Würde Dir zur Wahrung Deiner restlichen Privatsphäre raten, nach dem "Desinfizieren" des Rechners alle Passwörter zu ändern.

Auch solltest Du Dir neue Online-Banking Zugangsdaten zuweisen lassen. es ist zwar unwahrscheinlich, daß Geld abgebucht wird, jedoch sollte niemand, außer Dir und der Bank, über Kontostand und Buchungen etwas wissen.

Grüße!
ferry32

evrmnd

OC Addicted

Registered: Nov 2002
Location:
Posts: 3534

05.07.2009 - 19:09

Zitat von ferry32
Hallo!

Würde Dir zur Wahrung Deiner restlichen Privatsphäre raten, nach dem "Desinfizieren" des Rechners alle Passwörter zu ändern.

Würde ich unbedingt machen, kannst ziemlich sicher davon ausgehen, das du nen stealer drauf hattest.
Es müssen nich nur persönliche Daten sein, oft werden auch gleich alle CD-Keys bzw spiele Accounts gestohlen.

Du könntest aber auch das ganze nochmal in ner VM starten, die FTP Daten (sollte es soch gemacht sein) rausfiltern, und deine Files löschen bzw das Passwort vom FTP Account ändern.

Meistens ist es so das die FTP server dann sowieso von hunderten Daten befüllt sind, es ist also sehr wahrscheinlich das er deine Daten noch garnicht gesehen hat.

Oft ist es auch so, das genau das schon jemand vor dir gemacht hat und deine Daten nie auf dem Server gelandet sind.
Wie gesagt, am besten mal die Daten sniffen und selbst überprüfen.

EDIT: Wenn dich mit Sniffen net gut auskennst, kannst auch was simplifiziertes (kann man das so schreiben?) wie SniffPass nehmen.
http://www.nirsoft.net

Bearbeitet von evrmnd am 05.07.2009, 19:18

Skatan

peace among worlds!

Registered: Feb 2004
Location: Trieben
Posts: 4245

05.07.2009 - 19:21

wie fängt man sich sowas ein, und wie merkt man dann das man sowas hat?

quad-prozzi-fan

I do it my way.....

Registered: Oct 2005
Location: NÖ - Petzenkirc..
Posts: 5221

05.07.2009 - 19:27

Danke für eure tipps, hab den pc gestern schon vom Internet abgehängt, werde trotzdem alles änderen.

@Skatan: ich war/bin komplett selber schuld, hab mir über torrent eine Software herunter geladen und installiert, tja und seit dem hat Anitvir mich darauf aufmerksam gemacht, leider bringt Avira das ganze nicht weg.

lg

evrmnd

OC Addicted

Registered: Nov 2002
Location:
Posts: 3534

05.07.2009 - 20:04

Zitat von quad-prozzi-fan
Danke für eure tipps, hab den pc gestern schon vom Internet abgehängt, werde trotzdem alles änderen.

@Skatan: ich war/bin komplett selber schuld, hab mir über torrent eine Software herunter geladen und installiert, tja und seit dem hat Anitvir mich darauf aufmerksam gemacht, leider bringt Avira das ganze nicht weg.
lg

Das abstecken bringt dir leider nur insofern was, das er nicht aktiv in einen botnetz arbeitet, wenn ein Stealer am werk war, reichen abhängig vom upload ein paar Sekunden im inet aus, die meisten löschen sich nach dem schicken automatisch.

Wie gesagt, würde ich wirklich mal den traffic sniffen.
1. Du siehst genau was gestohlen worden ist.
2. Du bekommst die Daten des Servers, wenns per Mail verschickt wurde hast pech gehabt, könntest höchsten noch probieren auf den account zu kommen wo es hingeschickt wird. (meiner erfahrung nach verwenden die meisten kiddys ftp server)
3. Du kannst deine Daten auf seinen server löschen und ihn selber gleich aussperren, bzw den Admin des servers informieren, da die meinstens auch gestohlen/ausgeborgt sind

Meistens ist es so, das du eines von vielen opfern bist, von daher ist es je nach alter des stealers (nachdem er nicht mehr FUD ist, wird er wohl schon älter sein) immer wahrscheinlicher das die Serverdaten schon längst geändert worden sind, und eben nie etwas von dir raus ging.

Mich würde es so lange jucken bis ich genau wüsste was da mit meinen Daten passiert ist, deswegen empfehle ich dir auch das so zu machen

Wenn willst könntest die file auch mir schicken, allerdings habe ich dann auch deine Daten

quad-prozzi-fan

I do it my way.....

Registered: Oct 2005
Location: NÖ - Petzenkirc..
Posts: 5221

05.07.2009 - 20:20

Das Prob ist ich finde die Datei nicht mal in dem Verzeichnis was mir Antivir sagt, ist im System32 ordner, hab natürlich auch schon die Ordneroption so eingestellt dass alle dateien angezeigt werden, aber find es einfach nicht unter dem Namen.

evrmnd

OC Addicted

Registered: Nov 2002
Location:
Posts: 3534

05.07.2009 - 20:35

Zitat von quad-prozzi-fan
Das Prob ist ich finde die Datei nicht mal in dem Verzeichnis was mir Antivir sagt, ist im System32 ordner, hab natürlich auch schon die Ordneroption so eingestellt dass alle dateien angezeigt werden, aber find es einfach nicht unter dem Namen.

Am besten den ganzen vorgang nochmal in einer VM nachmachen, also damit anfangen das die rars extrahiert oder die Software installiert wird.

Wo und was dann gemacht wird, kannst du genau beobachten, indem du die richtigen monitoring tools verwendest.
zb Regmon und Filemon - ich glaube die wurde zumindest zum teil vom Process Explorer abgelöst.

ich würde auf deinem gerät auch gleich nochmal die offenen Verbindungen mit "netstat -a"ansehen, wenn was ungewöhnliches findest, kannst du die verbindung einer PID zuordnen mit "netstat -ano".

InfiX

she/her

Registered: Mar 2002
Location: Graz
Posts: 14362

05.07.2009 - 21:01

du warst nicht zufällig auf torrentreactor?

http://torrentfreak.com/torrentreac...-attack-090702/

quad-prozzi-fan

I do it my way.....

Registered: Oct 2005
Location: NÖ - Petzenkirc..
Posts: 5221

05.07.2009 - 21:05

nein war @ http://www.ubb.to

evrmnd

OC Addicted

Registered: Nov 2002
Location:
Posts: 3534

06.07.2009 - 00:09

Das einzige Problem ist, das er einen VM Detektor eingebaut hat, und die VBox erstmal übelst abstürzt

Es wäre also schon noch möglich das mit einen test System zu machen, da wird mir das ganze aber schon zu anstrengend

Hoffend wir mal das ich jetzt nicht Gedost werde

Jaja die schweden

% Information related to '79.136.112.0[whois][trace][reverse ip] - 79.136.115.15[whois][trace][reverse ip]'

inetnum: 79.136.112.0[whois][trace][reverse ip] - 79.136.115.15[whois][trace][reverse ip]
netname: BAHNHOF-SE-PIO
descr: Stockholm Datacenter
country: SE
admin-c: BD856-RIPE
tech-c: BD856-RIPE
status: ASSIGNED PA
mnt-by: BAHNHOF-NCC
mnt-lower: BAHNHOF-NCC
mnt-routes: BAHNHOF-NCC
source: RIPE # Filtered

role: Bahnhof DBM
address: Box 6220
address: 10234 Stockholm
e-mail: [whois][trace][reverse ip]
admin-c: BD856-RIPE
tech-c: BD856-RIPE
nic-hdl: BD856-RIPE
mnt-by: BAHNHOF-NCC
source: RIPE # Filtered

% Information related to '79.136.0.0[whois][trace][reverse ip]/17AS8473'

route: 79.136.0.0[whois][trace][reverse ip]/17
descr: Bahnhof Internet, Sweden
origin: AS8473
mnt-by: BAHNHOF-NCC
source: RIPE # Filtered

quad-prozzi-fan

I do it my way.....

Registered: Oct 2005
Location: NÖ - Petzenkirc..
Posts: 5221

06.07.2009 - 00:56

so ein sack

blöd das mitn VM Detektor, trotzdem vielen dank EVERMIND

quad-prozzi-fan I do it my way..... Registered: Oct 2005 Location: NÖ - Petzenkirc.. Posts: 5221	05.07.2009 - 18:32 Hi @ll Ich habe mir gestern aus meiner eigenen Dummheit einen Trojaner bzw ein Rootkit eingefangen. Bekomm den nicht weg und die einzige Möglichkeit ist wohl neu aufsetzen. Über den PC der befallen ist, habe ich meine Online Banking Tätigkeiten abgewickelt. Jetzt wollt ich fragen ob mir wer sagen kann, ob ich da in Aktion treten sollte und mit der Bank reden das ich ein neues Account oder so bekomme. Habe ein Lesezeichen eingerichtet wo ich dann den PIN eingebe und dann bin ich drin. Transaktionen werden über Tans abgewickelt wo die Liste bei mir zu Hause liegt. Weiters hab ich ein paar Passwörter im Firefox gespeichtert vom Mail Account und Foren. Ich nehme an es wäre empfehlenswert die zu ändern? tia lg quad
nexus3729 serendipity Registered: Dec 2002 Location: Wien Posts: 1349	05.07.2009 - 18:37 wie wärs einfach mit login passwort wechsel bevors jmd anderer tu
Burschi1620 24/7 Santa Claus Registered: Apr 2004 Location: Drüber da Donau Posts: 6792	05.07.2009 - 18:37 Das mit der Bank ist kein Problem, im leichtesten Fall sagst einfach, du hast den Pin vergessen - dann bekommst du ohnehin einen neuen.
ferry32 OC Addicted Registered: Jun 2009 Location: Wien 21 Posts: 683	05.07.2009 - 18:43 Hallo! Würde Dir zur Wahrung Deiner restlichen Privatsphäre raten, nach dem "Desinfizieren" des Rechners alle Passwörter zu ändern. Auch solltest Du Dir neue Online-Banking Zugangsdaten zuweisen lassen. es ist zwar unwahrscheinlich, daß Geld abgebucht wird, jedoch sollte niemand, außer Dir und der Bank, über Kontostand und Buchungen etwas wissen. Grüße! ferry32
evrmnd OC Addicted Registered: Nov 2002 Location: Posts: 3534	05.07.2009 - 19:09 Zitat von ferry32 Hallo! Würde Dir zur Wahrung Deiner restlichen Privatsphäre raten, nach dem "Desinfizieren" des Rechners alle Passwörter zu ändern. Würde ich unbedingt machen, kannst ziemlich sicher davon ausgehen, das du nen stealer drauf hattest. Es müssen nich nur persönliche Daten sein, oft werden auch gleich alle CD-Keys bzw spiele Accounts gestohlen. Du könntest aber auch das ganze nochmal in ner VM starten, die FTP Daten (sollte es soch gemacht sein) rausfiltern, und deine Files löschen bzw das Passwort vom FTP Account ändern. Meistens ist es so das die FTP server dann sowieso von hunderten Daten befüllt sind, es ist also sehr wahrscheinlich das er deine Daten noch garnicht gesehen hat. Oft ist es auch so, das genau das schon jemand vor dir gemacht hat und deine Daten nie auf dem Server gelandet sind. Wie gesagt, am besten mal die Daten sniffen und selbst überprüfen. EDIT: Wenn dich mit Sniffen net gut auskennst, kannst auch was simplifiziertes (kann man das so schreiben?) wie SniffPass nehmen. http://www.nirsoft.net Bearbeitet von evrmnd am 05.07.2009, 19:18
Skatan peace among worlds! Registered: Feb 2004 Location: Trieben Posts: 4245	05.07.2009 - 19:21 wie fängt man sich sowas ein, und wie merkt man dann das man sowas hat?
quad-prozzi-fan I do it my way..... Registered: Oct 2005 Location: NÖ - Petzenkirc.. Posts: 5221	05.07.2009 - 19:27 Danke für eure tipps, hab den pc gestern schon vom Internet abgehängt, werde trotzdem alles änderen. @Skatan: ich war/bin komplett selber schuld, hab mir über torrent eine Software herunter geladen und installiert, tja und seit dem hat Anitvir mich darauf aufmerksam gemacht, leider bringt Avira das ganze nicht weg. lg
evrmnd OC Addicted Registered: Nov 2002 Location: Posts: 3534	05.07.2009 - 20:04 Zitat von quad-prozzi-fan Danke für eure tipps, hab den pc gestern schon vom Internet abgehängt, werde trotzdem alles änderen. @Skatan: ich war/bin komplett selber schuld, hab mir über torrent eine Software herunter geladen und installiert, tja und seit dem hat Anitvir mich darauf aufmerksam gemacht, leider bringt Avira das ganze nicht weg. lg Das abstecken bringt dir leider nur insofern was, das er nicht aktiv in einen botnetz arbeitet, wenn ein Stealer am werk war, reichen abhängig vom upload ein paar Sekunden im inet aus, die meisten löschen sich nach dem schicken automatisch. Wie gesagt, würde ich wirklich mal den traffic sniffen. 1. Du siehst genau was gestohlen worden ist. 2. Du bekommst die Daten des Servers, wenns per Mail verschickt wurde hast pech gehabt, könntest höchsten noch probieren auf den account zu kommen wo es hingeschickt wird. (meiner erfahrung nach verwenden die meisten kiddys ftp server) 3. Du kannst deine Daten auf seinen server löschen und ihn selber gleich aussperren, bzw den Admin des servers informieren, da die meinstens auch gestohlen/ausgeborgt sind Meistens ist es so, das du eines von vielen opfern bist, von daher ist es je nach alter des stealers (nachdem er nicht mehr FUD ist, wird er wohl schon älter sein) immer wahrscheinlicher das die Serverdaten schon längst geändert worden sind, und eben nie etwas von dir raus ging. Mich würde es so lange jucken bis ich genau wüsste was da mit meinen Daten passiert ist, deswegen empfehle ich dir auch das so zu machen Wenn willst könntest die file auch mir schicken, allerdings habe ich dann auch deine Daten
quad-prozzi-fan I do it my way..... Registered: Oct 2005 Location: NÖ - Petzenkirc.. Posts: 5221	05.07.2009 - 20:20 Das Prob ist ich finde die Datei nicht mal in dem Verzeichnis was mir Antivir sagt, ist im System32 ordner, hab natürlich auch schon die Ordneroption so eingestellt dass alle dateien angezeigt werden, aber find es einfach nicht unter dem Namen.
evrmnd OC Addicted Registered: Nov 2002 Location: Posts: 3534	05.07.2009 - 20:35 Zitat von quad-prozzi-fan Das Prob ist ich finde die Datei nicht mal in dem Verzeichnis was mir Antivir sagt, ist im System32 ordner, hab natürlich auch schon die Ordneroption so eingestellt dass alle dateien angezeigt werden, aber find es einfach nicht unter dem Namen. Am besten den ganzen vorgang nochmal in einer VM nachmachen, also damit anfangen das die rars extrahiert oder die Software installiert wird. Wo und was dann gemacht wird, kannst du genau beobachten, indem du die richtigen monitoring tools verwendest. zb Regmon und Filemon - ich glaube die wurde zumindest zum teil vom Process Explorer abgelöst. ich würde auf deinem gerät auch gleich nochmal die offenen Verbindungen mit "netstat -a"ansehen, wenn was ungewöhnliches findest, kannst du die verbindung einer PID zuordnen mit "netstat -ano".
InfiX she/her Registered: Mar 2002 Location: Graz Posts: 14362	05.07.2009 - 21:01 du warst nicht zufällig auf torrentreactor? http://torrentfreak.com/torrentreac...-attack-090702/
quad-prozzi-fan I do it my way..... Registered: Oct 2005 Location: NÖ - Petzenkirc.. Posts: 5221	05.07.2009 - 21:05 nein war @ http://www.ubb.to
evrmnd OC Addicted Registered: Nov 2002 Location: Posts: 3534	06.07.2009 - 00:09 Das einzige Problem ist, das er einen VM Detektor eingebaut hat, und die VBox erstmal übelst abstürzt Es wäre also schon noch möglich das mit einen test System zu machen, da wird mir das ganze aber schon zu anstrengend Hoffend wir mal das ich jetzt nicht Gedost werde Jaja die schweden % Information related to '79.136.112.0[whois][trace][reverse ip] - 79.136.115.15[whois][trace][reverse ip]' inetnum: 79.136.112.0[whois][trace][reverse ip] - 79.136.115.15[whois][trace][reverse ip] netname: BAHNHOF-SE-PIO descr: Stockholm Datacenter country: SE admin-c: BD856-RIPE tech-c: BD856-RIPE status: ASSIGNED PA mnt-by: BAHNHOF-NCC mnt-lower: BAHNHOF-NCC mnt-routes: BAHNHOF-NCC source: RIPE # Filtered role: Bahnhof DBM address: Box 6220 address: 10234 Stockholm e-mail: [whois][trace][reverse ip] admin-c: BD856-RIPE tech-c: BD856-RIPE nic-hdl: BD856-RIPE mnt-by: BAHNHOF-NCC source: RIPE # Filtered % Information related to '79.136.0.0[whois][trace][reverse ip]/17AS8473' route: 79.136.0.0[whois][trace][reverse ip]/17 descr: Bahnhof Internet, Sweden origin: AS8473 mnt-by: BAHNHOF-NCC source: RIPE # Filtered
quad-prozzi-fan I do it my way..... Registered: Oct 2005 Location: NÖ - Petzenkirc.. Posts: 5221	06.07.2009 - 00:56 so ein sack blöd das mitn VM Detektor, trotzdem vielen dank EVERMIND

Trojaner/Rootkit - Datenklau?

Forum Index > Software > Applications, Apps & Drivers

quad-prozzi-fan

nexus3729

Burschi1620

ferry32

evrmnd

Skatan

quad-prozzi-fan

evrmnd

quad-prozzi-fan

evrmnd

InfiX

quad-prozzi-fan

evrmnd

quad-prozzi-fan