Trojaner - TR/Spy.Banker.vk.1

[Ahorn]

Hallo,

Bei mir wurde der Trojaner TR/Spy.Banker.vk.1
(http://www.avira.com/de/threats/section/fulldetails/id_vir/2754/tr_spy.banker.vk.1.html)
von AntiVir gefunden. Bei Antivir konnte ich dann wählen, was ich machen will. Ich habe dann Löschen ausgewählt.
Danach habe ich dann noch ein Online Scan von BitDefender durchgeführt. Der Online Scanner hat wohl noch ein Virus gefunden, der bisher nicht von AntiVir entdeckt wurde, hatte aber nichts mit den Trojaner zu tun. (Den Virusnamen habe ich leider vergessen)

Nun zu meiner Frage. Ist dieser Trojaner jetzt dann auch wirklich weg, oder hat er sich immer noch irgendwo eingenistet, so dass AntiVir bzw. BitDefender ihn nicht finden kann?
Was mich doch etwas ängstlich macht ist, dass er die Tastatureingaben aufzeichnet.


Ich danke euch schonmal!
Ahorn

 

[China]

Solche Sachen am betsen im abgesicherten Modus entfernen und den Auostart
mal durchforsten ob er da auch mit drin ist.

 

[Ahorn]

Ist ja jetzt zu spät!
Im Autostart ist auch nichts außergewöhnliches.
Ist doch unter Start - Programme - Autostart, oder?

 

[Boogeyman]

unter Start - Programme - Autostart
sind nur die Autostarts für dein Benutzer Konto, bzw. die Autostarts die du selber dazu gefügt hast.

die richtigen Autostarts, die unter anderen für alle Benutzerkonten gelten, erreichst du, wenn du bei Ausführen "msconfig" eingibst, dann auf den Reiter Systemstart gehen, hier sollten alle Autostarts stehen.

Für die Zukunft solltest du das hier mal durchlesen:
How to save my XP
https://www.computerbase.de/forum/t...richten-und-wichtige-verhaltensregeln.212393/

Du solltest vor allem ein Benutzerkonto mit eingeschränkten Rechten einrichten, dann währe das wahrscheinlich nie auf die Festplatte gekommen. Außer du lädst dir von irgendwelchen dubiosen Quellen was runter und installierst dieses mit Admin Rechten, dann hilft dir auch kein eingeschränktes Konto mehr

 

[Ahorn]

OK, wieder was neues gelernt.
Auch da war nichts außergewöhnliches.

Auf der Seite (http://www.avira.com/de/threats/section/fulldetails/id_vir/2754/tr_spy.banker.vk.1.html)
steht das eines der angegebenen Seiten gestartet und dann Protokolliert wird.
Dies ist bisher aber nicht passiert!

Also kann ich doch davon ausgehen, dass sich wohl nichts irgendwo eingenistet hat, oder?

 

[China]

Die totale Sicherheit haste erst nach Format C:\
Anderweitig kannst Du nur dem vertrauen was die Programme Dir sagen.
Wenn Dir aber mehrere Proggis sagen das alles in Ordnung ist,
kannste "eigentlich" damit leben.... ich tu's auch^^

 

[Boogeyman]

steht das eines der angegebenen Seiten gestartet und dann Protokolliert wird.

Diese Seiten werden nicht gestartet, wenn du diese Seiten besuchst, dann wird die Eingabe deiner Daten "Protokolliert", in diesen Fall, bei der Bank "Banko do Brasil" soweit die das richtig verstanden hab.

Wenn du diese Seite als noch nicht aufgerufen hast, passiert auch nichts. Falls du aber Kunde dieser Bank währst, sind deine Daten erst mal weg Pin/Tan usw.

 

[Ahorn]

Registry

Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run
• "boby."="%SYSDIR%\Isass.scr"

Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\boby]
---------------------------------------


Wo finde ich die Registryschlüssel?

 

[Boogeyman]

Start --> Ausführen --> regedit eingeben

Microsoft sagst aber:

Die unkorrekte Verwendung des Registrierungseditors kann schwerwiegende, das gesamte System betreffende Probleme verursachen, die eine Neuinstallation Ihres Betriebssystems erforderlich machen

Du solltest also wissen, was du da machst. Außerdem sollte dein Virenscanner, falls er den Trojaner richtig gelöscht hat, den Reg. Schlüssel enfernt haben. Du brauchst da eigentlich nix mehr bearbeiten, du kannst aber zur Kontrolle ja mal nach schauen.

 

[Ahorn]

Alles klar, danke für deine Hilfe! Die Registryschlüssel sind nicht mehr da.