Folgendes ist mir passiert, mein Onlinzugang wurde vom Rechenzentrum meiner Bank gesperrt wegen Phishing/Pharming Verdacht. Dadurch alarmiert habe ich natürlich gleich meinen Rechner mit diversen Antivirusprogrammen Kaspersky, Antivir und Addware mehrfach auch im abgesicherten Modus gescannt, diese Programme erkannten auch ein paar Probleme die ich elemeniert habe. Nachdem ich mein Konto wieder freischalten ließ wurde es ein paar Tage später erneut gesperrt , gleiches Problem. Nun habe ich mir zur Sicherheit das Zertifikat der SSL Verbindung mal genauer angesehen und siehe da der angezeigte Fingerprint stimmt nicht mit dem überein, den ich mir von der Bank besorgt habe. Habe also die Datei "Hosts" mal überprüft keine Einträge, habe einen DNS Server angegeben und die automatische Suche deaktiviert der Fingerprint stimmt immer noch nicht überein. Habe die gleiche Prozedur noch mal wiederholt bei einem anderen Onlinezugang zu einer anderen Bank auch da stimmt der Fingerprint nicht überein. Zur Sicherheit nutze ich den PC jetzt nicht mehr fürs Banking. Wüsste trotzdem gerne was da jetzt los ist , befindet sich da noch ein Trojaner der nicht erkannt wird, was kann da los sein?

das ist leider durchaus möglich, du solltest vorerst unbedingt die Finger vom Onlinebanking mit deinem Windows-System lassen, zumindest wenn du mit TAN/iTAN/SmartTAN arbeitest.

Trojanische Pferde haben Aktualisierungsfunktionen, die einen Vorsprung vor den Virenscannern haben. Außerdem gibt es keine 100%ige Sicherheit, dass nach einer Desinfektion alles erkannt und vernichtet wurde. Daher würde ich dir auf jeden Fall raten, Windows neu zu installieren. Vorher solltest du allerdings alle nötigen Sicherheitsupdates und unbedingt eine Firewall bereithalten, damit du dir bei den Windowsupdates nicht einen neuen Virus holst. Das gilt für eine direkte Verbindung ins Internet - bei einem Router mit vernünftiger Konfiguration sollte ersteinmal nichts passieren.

Zur Desinfektion: Hast du die Systemwiederherstellung deaktiviert? Windows XP hat da ein paar Features, die evtl. verhindern, dass du das Virus wirklich los wirst.
Schau mal hier:
http://www.bsi.de/av/texte/wiederher_xp.htm

Wenn du dringende Buchungen zu erledigen hast, dann versuche doch mal Knoppix als Alternative. Dabei startest du ein virenfreies Linux-System von einer Boot-CD. Die neue Version 5.1 ist übrigens seit wenigen Tagen verfügbar.

Gruß
Raimund

Danke Raimund für die schnelle Info , die Systemwiederherstellung hatte ich bereits deaktiviert. Scheint ein ziemlich gemeiner Trojaner zu sein. Ich werde jetzt noch mal mit versuchen meinen Pc via Netzwerk auf viren zu scannen ansonsten bleibt mir wohl wirklich nur die Neuinstallation. Einen Router benutze ich bereits, habe auch da noch mal geschaut da ist eigentlich alles zu, was ich nicht unbedingt brauche. Die Idee mit Knoppix
ist wirklich gut das hat mir früher schon oft bei diversen Hardwareproblemen geholfen.

Gruß Daniel

kennst du Knoppiccilin? Das lag einer ct aus dem letzten Jahr bei, damit kannst du per Knoppix booten und deinen Rechner "von außen" durchsuchen.

Da das aber lizensierte Programme sind, gibt es die CD nicht so zum Download.

Dann gibt es noch die Ultimate-Boot-CD, die auch einen Virenscanner beinhaltet. Zur Qualität kann ich allerdings nichts sagen, ob z.B. NTFS vernünftig unterstützt wird, weiß ich leider nicht.

Gruß
Raimund

Hallo,

das Scannen im abgesicherten Modus bringt leider nicht immer den gewünschten Erfolg. Du musst auf alle Fälle von einem sauberen Medium booten. Das kannst Du, wie schon Raimund gesagt hat, mit Knoppix oder Knoppchillin von CD erledigen. Wenn ich mich nicht täusche, wurde Knoppchillin zuletzt in der Ausgabe 21/2006 veröffentlicht. Das Heft kann unter https://www.heise.de/abo/ct/hefte.shtml nachbestellt werden.

Eine weitere Alternative stellt Bart PE dar. Bart PE bzw. der PE-Builder ( http://www.nu2.nu/pebuilder/ ) erstellt ein "abgespecktes" Windows, das auf eine CD passt. Fertige Versionen gab es u.a. auf den Heft-CDs der CT, der Chip und der PCWelt. Letztere bietet unter http://www.pcwelt.de/downloads…index.html eine Version als iso-file mit integrierten Virenscanner zum Downloaden an.

Wenn Du die aktuelle Kaspersky Internet Security Suite hast, kannst Du dir unter den Punkten Service/Notfall-CD eine PE-Version erstellen, in der dann Kaspersky mit den aktuellen Signaturen vorhanden ist. Du musst in diesem Fall nur den PE-Builder irgendwo auf der Festplatte haben, Kaspersky führt Dich per Assistent durch die notwendigen Schritte.

Eine Notfall-CD solltest Du selbstverständlich nur auf einem wirklich sauberen Rechner erstellen.

Falls Du von einer etwas älteren CD booten musst, solltest Du auf alle Fälle die Virensignaturen per Onlineupdate auf einen aktuellen Stand bringen. Das funktioniert meistens dann problemlos, wenn Du eine Netzwerkkarte im Rechner hast und auf einen Router zugreifen kannst. Bei anderen Zugängen, z.B. per WLAN oder Kabelmodem, fehlen meist die notwendigen Treiber auf den Boot-CDs. Bei Bart PE kannst Du Dir exotische Treiber jedoch selbst einbauen.

Selbst wenn Du den Schädling aufspüren und löschen kannst, würde ich an Deiner Stelle Windows nach einer Formatierung komplett neu aufsetzen. Macht Arbeit, ist aber sicher.

Hallo,

BartPE ist auch immer eine gute Idee.
Nebenbei kann ich auch noch folgendes empfehlen:

Wenn du eine Version von Gdatas Antivirenkit kaufst, ist das Installationsmedium gleichzeitig ein Rescue-Medium mit Virenscanner der über Internet aktualisierbar ist. Das ganze System basiert auf Linux. Man kann sich später auch selber aktuelle Rescue CDs selbst erstellen.

Gdata ist wirklich gut, allerdings auch ziemlich träge/langsam.

Hallo,
so Ihr könnt mich jetzt alle schlagen das Problem war sehr wahrscheinlich Kaspersky selbst. Ich hab es deinstalliert und siehe da, jetzt kommt erstens beim Aufbauen einer SSL Verbindung keine Warnmeldung wegen einem unvertrauenswürdigem Zertifikat und zweitens stimmt der Fingerprint. Ich vermute jetzt mal das der Trojaner sich in der Kaspersky Software breitgemacht hat und sich wahrscheinlich sogar über selbige aktualisiert hat. Weiterhin hat dann der Trojaner dann den Aufbau der Verbindung manipuliert. Klingt zwar nach Wildwest aber eine bessere Erklärung fällt mir dazu nicht ein.
Ich werde trotzdem einstweilen Banking nur über einen sicheren PC machen und bei Gelegenheit Win neu aufsetzen.
Frag mich nur wenn das Zertifikat 100% stimmt ob das dann noch nötig ist?

doch, das ist leider nötig, weil ein keylogger trotzdem aktiv sein kann. Du gibst zwar deine Daten vermutlich ins richtige Formular ein, aber deine Tastendrücke gehen trotzdem zusätzlich woanders hin. Vermutlich übrigens deswegen, weil auch Teile von Webseiten umgeleitet werden können, heisst: Zertifikat passt, ein Teilinhalt der Seite liegt trotzdem auf einem anderen Server.
Das Verhalten des Trojaners ist schon interessant. Ich habe bei Heise (afair) mal von einem Virus gelesen, das selbst den aktuellsten Kaspersky nachlädt, lästige Konkurrenz damit entfernt und sich dann auf dem sauberen System breitmacht.
Die Viecher werden immer cleverer.

Wäre evtl. Homebanking mit Chipkarte eine Alternative für dich?

Gruß
Raimund