Oho, eine Nachricht mit Betreff „Automatische Kontoabbuchung konnte nicht durchgeführt werden“ von einer Rechnungsstelle Bank-Pay GmbH? Was kann da schon hinter stecken. Bekannt ist die Absenderadresse schon, der Text ist bewährt.

Sehr geehrter Kunde,

Ihre Bank hat die Lastschrift zurück buchen lassen. Sie haben eine nicht gedeckte Forderung bei Bank-Pay GmbH.

Namens unseren Mandanten fordern wir Sie auf, die offene Forderung schnellstens zu bezahlen.

Aufgrund des andauernden Zahlungsrückstands sind Sie gezwungen zuzüglich, die durch unsere Inanspruchnahme entstandenen Gebühren von 34,73 Euro zu bezahlen. Wir erwarten die Überweisung inbegriffen der Zusatzgebühren bis zum 23.03.2015 auf unser Bankkonto.

Bitte beachten Sie, dass keine weitere Mahnung erfolgt. Nach Ablauf der festgelegten Frist wird die Angelegenheit dem Staatsanwalt und der Schufa übergeben. Eine vollständige Kostenaufstellung, der Sie alle Buchungen entnehmen können, ist beigefügt. Für Fragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb des gleichen Zeitraums.

Mit freundlichen Grüßen

Rechnungsstelle Lorenz Mika

Autsch, die im Anhang steckende Schadsoftware ist besonders frisch. Nur ein Virenscanner erkennt die Bedrohung. Die Virenjäger sind alle auf Stand heute. Also weiterhin die Empfehlung: Bei unerwarteten Anhängen erstmal prüfen und nicht verunsichern lassen. Nie einfach öffnen und anklicken, dann ist es schnell zu spät. Oder besser noch: Die Mails mit Linux bearbeiten.

Trojaner

 

Nach 9 Stunden haben doch einige dazugelernt.

Trojaner_2

Server-Administratoren kennen sicherlich die hilfreichen Tools von Sysinternals, seit 2006 eine Microsoft-Tochter. Darunter gibt es seit langem das Programm „Autoruns“, das sehr hilfreich beim Auffinden der beim Windows-Start quersitzenden Programme ist. Die Sysinternals Tools sind nun aber etwas sperrig, komplex zu bedienen und natürlich in Englisch, so dass sich kommerzielle Aufräum-Tools (z.B. CC-Cleaner) eher für den Normaluser eignen.

Die neue Version des „Autoruns“-Tools lohnt sich nun aber auch für jeden, der die Startvorgänge seines Rechners prüfen möchte, denn auch Schadsoftware will ja nach einem Reboot wieder gestartet werden.

Die neue Version des Programms bietet nun die Möglichkeit, auf einfache Weise die gefundenen Programme gegen die Virustotal-Datenbank (inzwischen Google) zu prüfen. Dabei wird nicht jedes Programm hochgeladen, sondern nur die Prüfsumme der Datei wird gecheckt, so dass sich der Traffic in Grenzen hält.

Hier bei Heise gefunden – und hier steht auch eine kleine Anleitung:

http://www.heise.de/newsticker/meldung/Autoruns-macht-Jagd-auf-Viren-2534717.html

aufklappen: Situationsbeschreibung
Die „Effekte“, das Erscheinungsbild einer Schadsoftware sind vielfältig. Es kann zu simplen Darstellungsfehlern kommen, weiße Seiten oder fehlende Inhalte beim Browserbanking, Formulare können nicht abgeschickt werden, Anmeldungen funktionieren nicht, die Verbindung scheint langsam oder auch beim Banking mit einer Zahlungsverkehrssoftware ist die Datenübertragung (sporadisch) gestört bzw. Updates funktionieren nicht mehr.

Was ich daher immer zusätzlich und empfehle, wenn Störungen oder „Außergewöhnliches“ auftreten: Eine Prüfung mit einem zusätzlichen Scanner. Eine Infektion mit einem „Banktrojaner“ ist zwar unwahrscheinlich, dafür sind die Folgen aber umso unangenehmer und auch harmlosere Werbesoftware kann gewaltig stören.

Durch die letzte Viren/Spamwelle ist die „Trefferquote“ leider sehr hoch, sehr viele Windows-Rechner sind aktuell von Schadsoftware infiziert.

aufklappen: zum Verständnis
Ein installierter und vermeintlich aktueller Virenscanner kann „unterwandert“ werden und funktioniert dann nicht mehr wie vorgesehen. Denn auch die beste Sicherheitssoftware kann nur Schadsoftware identifizieren, die sie erkennt oder deren Arbeits-Methode bekannt ist. Siehe >>>hier <<< . Kommt es zu einer Infektion, kann ein VIrenscanner sogar von der Schadsoftware gezielt angegriffen und deaktiviert werden. Wer also glaubt, er habe doch einen teuren Virenscanner, was könne da schon passieren, der irrt.

Ich werde dazu sicherlich noch mehr ergänzen und/oder hier verlinken. Nun vorab hier in Kürze eine kleine Liste von Sicherheitsprogrammen für Windows zur zusätzlichen Prüfung neben dem bereits installierten Virenscanner. Beachten Sie bitte jeweils die Lizenzbedingungen der einzelnen Produkte.

Aktuell empfiehlt T-Online zur Diagnose den Malwarescanner von
Malwarebytes.org. Sie finden dort im Downloadbereich den Eintrag „Chameleon“, das als Zip-Datei für Schadsoftware unverfänglicher ist. Die Lösungen wurden auch von vielen Kundinnen und Kunden erschreckend erfolgreich getestet und „beißt“ sich nicht mit den üblichen Virenscannern. Nach dem erfolgreichen Durchlauf sollten Sie das Programm deinstallieren.

Den freien Browserschutz Malwarebytes Anti-Rootkit sollten Sie installieren, wenn Ihr installiertes Sicherheitspaket keinen Browserschutz bietet. Dies ist häufig bei den freien Antivirus-Lösungen der Fall. Gerade die beliebte Antivir-Software (roter Regenschirm) ergänzt sich mit dem Anti-Rootkit sehr gut.

Andere zusätzliche Prüfprogramme:

Autostart-Prüfung mit Autoruns von Sysinternals (Microsoft): Prüft seit Version 13 gegen die Virustotal-Datenbank. (05.02.15)
Safetyscanner von Microsoft: Ein Programm vom Hersteller des Betriebssystems. Der Ruf der Microsoft-Tools war früher nicht der allerbeste, aber Microsoft konnte einiges an Boden gut machen.

Eset online scanner: Scannt auf Anforderung, direkt per Klick und einfach zu bedienen.

Emsisoft: Deren Tools wurden mir gestern noch einmal empfohlen. Speziell das Emergency Kit, scheint mir eine spanndende Sache zu sein. Das Kit kann auf einem USB-Stick entpackt werden und das Anti-Malware Tool ist auch für den normalen Anwender verwendbar, während einige der anderen Programme eher für Fortgeschrittene geeignet sind. (21.09.2014)

Super Antispyware habe ich selbst noch nicht getestet, macht aber einen bedienbaren Eindruck. (21.09.2014)

Die Hitman-Tools von surfright kenne ich dagegen schon länger und kann es auch empfehlen, wenn man etwas Englisch kann. (21.09.2014)

zusätzlich Rootkitscanner gmer (eher für Fortgeschrittene): Ein sogenannter “Rootkitscanner”, der das Windowssystem auf Manipulationen untersucht.

aufklappen: Online Tests
https://www.check-and-secure.com/start/
ist der Onlinescan von https://www.botfrei.de
Mit den Tools habe ich kaum Erfahrung, die das System im weiteren Verlauf installieren möchte. Die Seite ist aber seriös und bietet viele hervorragende deutsprachige Informationen zum Thema Trojaner & Co.

Etwas gefunden? Keine Panik!
Es gibt viele Falschmeldungen und auch häufig Funde von bereits erkannten Schadprogrammen, die nicht mehr aktiv sind. Schauen Sie erstmal genau hin, was entdeckt wurde und in welchem Dateipfad. Häufig findet Tool A die Dateien im Quarantäneordner von Tool B. Suchen Sie im Netz nach den gefundenen Begriffen und bewerten Sie diese. Bedenken Sie: Die Hersteller von Antivirus-Programmen leben davon, Programme zu verkaufen und neigen dazu, zu „dramatisieren“.

Wichtig: Wenn Sie sich selbst unsicher fühlen, fragen Sie bitte immer einen Fachmenschen. Ändern Sie ggf. Ihre Passwörter an einem anderen Rechner, das kann eh nie schaden.

zuletzt aktualisiert: 27.06.2023
Schadsoftware entdeckt? Virus/Trojaner/Malware gefunden?

Rufzeichen_60In jedem Fall: Prüfen Sie unverzüglich, ob ein Schaden am Konto aufgetreten ist!
Wenn Sie einen sauberen Zweitrechner zur Verfügung haben (Freunde? Nachbarn?), ändern Sie unverzüglich Ihre PIN und Ihren Alias und prüfen Sie die Umsätze Ihres Kontos. Wenn Sie keinen Zweitrechner zur Verfügung haben, sperren Sie im Onlinebanking unter „Service & Verwaltung“ Ihren Onlinebanking-Zugang.
Prüfen Sie ebenfalls auf neu angelegte Daueraufträge und Terminbuchungen.
Ist bereits Geld unterwegs? Lassen Sie Ihre Bank einen Überweisungsrückruf wg. Betrugsverdacht machen und erstatten Sie Anzeige.

Dann nehmen Sie Kontakt mit Ihrer Bank auf.
Lassen Sie dort auch prüfen, ob Buchungen (Auslandsbuchungen) angelegt oder Buchungen terminiert (z.B. Daueraufträge) wurden. Bei PIN & TAN geht das bei vielen Banken am einfachsten mit einem Abgleich der verbrauchten TAN.

Dokumentieren Sie alle Änderungen (vorher-nachher) per Screenshot.

 

Prüfen und ändern Sie am „sauberen“ Rechner auch alle anderen Zugänge.

Eine unvollständige Liste zur ersten Hilfe:erste_Hilfe

  • sämtliche Bankzugänge, (klar, oder?) ändern Sie PIN und Anmeldenamen (Alias)
  • E-Mail-Konten
  • Passwörtern zu Apps
  • Zugang Ihres Internetanschlusses
  • Konten sozialer Netzwerke, Foren, Blogs, Twitter…
  • Shops für Handy & Co (iTunes, google Playstore, aber auch Xbox, etc.)
  • Kreditkarten (3D-Secure, Verified by visa,…)
  • Online-Shops und Payment (amazon, ebay, paypal,…)
  • Zugänge zu Abrechnungssystemen und Verwaltung (Mobilfunk-Vertrag?)
  • Spiele mit Internetanschluss, Browserspiele
  • Wallets (Kryptowährungen wie Bitcoin, Ether, etc.)
  • Microsoft Konto
  • HBCI-Signaturdateien (Schlüssel ändern und Passwort, lesen Sie bitte >hier weiter)
  • Zugangspassworte Ihrer FinTS/HBCI-Software oder -App
  • WLAN-Passwort/Schlüssel, Router Passwort
  • VPN Usernamen und die Passwörter tauschen, dazu Dyndns, Fritzbox..
  • Passwörter der Datensicherungen, z.B. der Festplattenverschlüsselung
  • Ihre Haussteuerung / der Controller Ihrer Solaranlage oder Heizung, Alarmanlage
  • Online-Radio, -video, -medien, pay per view (Netflix, Amazon, Sky, Apple-TV, Disney..)
  • Prepaid-Systeme und Bonuskarten (Telefon, aber auch Gutscheinsysteme)
  • Passwörter für Behörden (Elster)  oder Ausschreibungssysteme, Onlinebörsen, DATEV
  • prüfen Sie Legitimationsmedien mit eigenen Zugängen, wie PushTAN-Apps.
  • Elektronischer Personalausweis
  • online Telefonie und Kontaktsysteme (Skype, Videochat, etc.)
  • (Fern-) Wartungszugänge (Teamviewer, Netviewer, Cisco, etc.)
  • (Own-)Cloud-Zugänge, Speichersysteme wie online-Festplatten, Truecrypt, etc.
  • One-Click-Hoster (Share-Online, etc.)
  • (Abruf-)PIN Ihres Anrufbeantworters, Faxdienste
  • Serverpassworte, auch von Wartungszugängen, Backups etc.
  • Nutzen Sie eine Passwortverwaltungssoftware wie „Keepass“?
  • (GNU-)PGP-Schlüssel: Falls der Private-Key in falsche Hände geraten sein könnte: Sperren Sie diesen und reichen Sie neue Schlüssel auf den Verwaltungsservern ein
  • „Optimierungsdienstleister“ (z.B. Vertrags- und Aboverwaltungen, Versicherungsverbesserer…)
  • Porto und Briefdienstleister, Scandienste
  • Gas-/Stromanbieter, Energieverrechnungssysteme, Wärme
  • Portale für die Autoverwaltung, Mietauto, Tankkarten (auch Elektro), Tank-Apps und -Zugänge
  • Hausverwaltung, Nebenkosten

Prüfen Sie die Favoriten-Liste/Lesezeichen Ihres Browsers und die Liste Ihrer ggf. dort gespeicherten Passwörter. Gehen Sie davon aus, dass diese Liste in fremde Hände geraten ist.

Wenn Sie eine Internetseite pflegen: Ändern Sie unbedingt auch hier sämtliche (ftp-)Passwörter, bzw. lassen Sie sich ggf. neue Passwörter senden. Ihre Seite könnte sonst in kürzester Zeit selbst zu einer Virenschleuder werden. Tauschen Sie ggf. die Verschlüsselungszertifikate.

Überlegen Sie ganz genau, wo Ihnen Schaden entstehen könnte, weil Daten entwendet wurden.

Sind Sie als Unternehmen betroffen? Beachten Sie, dass Sie ggf. sogar den Angriff melden müssen, wenn der Datenschutz Ihrer Kunden betroffen sein könnte.

Lesen Sie hier: Rechner desinfizieren oder alles neu installieren?

Denken Sie über Ihre Datensicherung nach: Wann haben Sie alle Daten zuletzt gesichert, existieren eventuell wichtige, unwiederbringliche Daten – und wenn es nur die Urlaubsfotos sind – die Sie vermissen würden? Es gibt erpresserische Schadsoftware (sogenannte „Ransomware“), die nimmt Ihre Daten als Geisel…