Pharming?

Folgendes ist mir passiert, mein Onlinzugang wurde vom Rechenzentrum meiner Bank gesperrt wegen Phishing/Pharming Verdacht. Dadurch alarmiert habe ich natürlich gleich meinen Rechner mit diversen Antivirusprogrammen Kaspersky, Antivir und Addware mehrfach auch im abgesicherten Modus gescannt, diese Programme erkannten auch ein paar Probleme die ich elemeniert habe. Nachdem ich mein Konto wieder freischalten ließ wurde es ein paar Tage später erneut gesperrt , gleiches Problem. Nun habe ich mir zur Sicherheit das Zertifikat der SSL Verbindung mal genauer angesehen und siehe da der angezeigte Fingerprint stimmt nicht mit dem überein, den ich mir von der Bank besorgt habe. Habe also die Datei "Hosts" mal überprüft keine Einträge, habe einen DNS Server angegeben und die automatische Suche deaktiviert der Fingerprint stimmt immer noch nicht überein. Habe die gleiche Prozedur noch mal wiederholt bei einem anderen Onlinezugang zu einer anderen Bank auch da stimmt der Fingerprint nicht überein. Zur Sicherheit nutze ich den PC jetzt nicht mehr fürs Banking. Wüsste trotzdem gerne was da jetzt los ist , befindet sich da noch ein Trojaner der nicht erkannt wird, was kann da los sein?

Danke Raimund für die schnelle Info , die Systemwiederherstellung hatte ich bereits deaktiviert. Scheint ein ziemlich gemeiner Trojaner zu sein. Ich werde jetzt noch mal mit versuchen meinen Pc via Netzwerk auf viren zu scannen ansonsten bleibt mir wohl wirklich nur die Neuinstallation. Einen Router benutze ich bereits, habe auch da noch mal geschaut da ist eigentlich alles zu, was ich nicht unbedingt brauche. Die Idee mit Knoppix
ist wirklich gut das hat mir früher schon oft bei diversen Hardwareproblemen geholfen.

Gruß Daniel

Hallo,

das Scannen im abgesicherten Modus bringt leider nicht immer den gewünschten Erfolg. Du musst auf alle Fälle von einem sauberen Medium booten. Das kannst Du, wie schon Raimund gesagt hat, mit Knoppix oder Knoppchillin von CD erledigen. Wenn ich mich nicht täusche, wurde Knoppchillin zuletzt in der Ausgabe 21/2006 veröffentlicht. Das Heft kann unter https://www.heise.de/abo/ct/hefte.shtml nachbestellt werden.

Eine weitere Alternative stellt Bart PE dar. Bart PE bzw. der PE-Builder ( http://www.nu2.nu/pebuilder/ ) erstellt ein "abgespecktes" Windows, das auf eine CD passt. Fertige Versionen gab es u.a. auf den Heft-CDs der CT, der Chip und der PCWelt. Letztere bietet unter http://www.pcwelt.de/downloads…index.html eine Version als iso-file mit integrierten Virenscanner zum Downloaden an.

Wenn Du die aktuelle Kaspersky Internet Security Suite hast, kannst Du dir unter den Punkten Service/Notfall-CD eine PE-Version erstellen, in der dann Kaspersky mit den aktuellen Signaturen vorhanden ist. Du musst in diesem Fall nur den PE-Builder irgendwo auf der Festplatte haben, Kaspersky führt Dich per Assistent durch die notwendigen Schritte.

Eine Notfall-CD solltest Du selbstverständlich nur auf einem wirklich sauberen Rechner erstellen.

Falls Du von einer etwas älteren CD booten musst, solltest Du auf alle Fälle die Virensignaturen per Onlineupdate auf einen aktuellen Stand bringen. Das funktioniert meistens dann problemlos, wenn Du eine Netzwerkkarte im Rechner hast und auf einen Router zugreifen kannst. Bei anderen Zugängen, z.B. per WLAN oder Kabelmodem, fehlen meist die notwendigen Treiber auf den Boot-CDs. Bei Bart PE kannst Du Dir exotische Treiber jedoch selbst einbauen.

Selbst wenn Du den Schädling aufspüren und löschen kannst, würde ich an Deiner Stelle Windows nach einer Formatierung komplett neu aufsetzen. Macht Arbeit, ist aber sicher.

Hallo,
so Ihr könnt mich jetzt alle schlagen das Problem war sehr wahrscheinlich Kaspersky selbst. Ich hab es deinstalliert und siehe da, jetzt kommt erstens beim Aufbauen einer SSL Verbindung keine Warnmeldung wegen einem unvertrauenswürdigem Zertifikat und zweitens stimmt der Fingerprint. Ich vermute jetzt mal das der Trojaner sich in der Kaspersky Software breitgemacht hat und sich wahrscheinlich sogar über selbige aktualisiert hat. Weiterhin hat dann der Trojaner dann den Aufbau der Verbindung manipuliert. Klingt zwar nach Wildwest aber eine bessere Erklärung fällt mir dazu nicht ein.
Ich werde trotzdem einstweilen Banking nur über einen sicheren PC machen und bei Gelegenheit Win neu aufsetzen.
Frag mich nur wenn das Zertifikat 100% stimmt ob das dann noch nötig ist?