Seltsamer Phishing-Angriff?

1298
Magnetic_dud

Wenn ich mich bei wachovia / wells fargo / amazon / paypal anmelde, bekomme ich unabhängig vom Benutzer / Pass, den ich einfüge, eine "wir müssen Ihre Informationen überprüfen" - Seite, auf der sie mich alles fragen, vom ATM-Pin bis zu meiner SSN Mutters Mädchenname (LOL)

Wenn ich dann falsche Daten einsetze, werden immer mehr persönliche Daten abgefragt, wie z. B. Vielfliegernummern, die mit dem Visakennwort verifiziert wurden, usw., bis ich zu einer durch Visa genehmigten Seite (mit der richtigen SSL auf visa.com) komme !!!) für eine Summe, die von einem weißen Div versteckt wird.

Weitere Daten:

  1. Die Adresse ist richtig (nicht www.amazon.com.frtrereeliamdumb.com, sondern amazon.com MIT DEM RICHTIGEN SSL)
  2. Die hosts-Datei wird nicht geändert
  3. Der DNS ist zuverlässig, 8.8.8.8
  4. amazon.com löst richtig auf
  5. Die SSL ist gültig
  6. Schnüffelnder Verkehr zeigt nichts Verdächtiges
  7. Ich habe Internetanschluss
  8. Kein seltsamer Prozess läuft
  9. Opera ist davon nicht betroffen, Firefox und sind also betroffen (also keine schädliche ff-Erweiterung)
  10. Ich kümmere mich um die Sicherheit und ich führe alles in Sandboxie aus, habe kein Java, habe ein AV (wie könnte ich diesen Virus bekommen ???)
  11. Admin-Programme wie regedit und taskmgr funktionieren und werden von diesem Virus nicht blockiert

Was kann sein???

4
Nehmen Sie den Hörer ab und rufen Sie Wells Fargo an. Ich würde Ihnen vorschlagen, Ihr Passwort zu ändern, bis Sie das Problem gelöst haben. Moab vor 13 Jahren 0
Ok, schau auf die Seite, die ich an diese Adresse bekomme: https://www.paypal.com/it/cgi-bin/webscr?cmd=_login-submit => http://pastie.org/1609236 www.paypal .com wird bei 64.4.241.49 aufgelöst - richtig. Eine ähnliche Seite erscheint auf amazon.com und wachovia.com Magnetic_dud vor 13 Jahren 0
Und noch ein Beispiel an dieser Adresse: https://www.amazon.com/gp/flex/sign-in/select.html/ref=ya_sign_in_. Ich bekomme Folgendes: http://pastie.org/1609260, statt https: //onlineservices.wachovia.com/auth/AuthService Ich bekomme Folgendes: http://pastie.org/1609262 .. Ich muss verstehen, was los ist, damit dies in Zukunft nicht passieren wird (ja, ich habe bereits die Passwörter geändert von einem sauberen Computer) Magnetic_dud vor 13 Jahren 0

4 Antworten auf die Frage

3
Joshua

Sie, Sir, haben Malware auf Ihrem Client-Computer installiert. Diese Software "überwacht" wahrscheinlich die gängigen Browserprozesse (z. B. IE und FF) und fängt HTTP-Datenverkehr ab und fügt "frtree ... com" hinzu.

Es ist schwer genau zu sagen, was es ist oder wie es dorthin gekommen ist, aber eines ist klar: Sie müssen einen Virenscanner finden, der ihn entfernt oder Ihr Betriebssystem rollt.

Edit: Ich habe die Erfahrung gemacht, dass es viel weniger Zeit (und weniger Stress, absolut sicher zu sein, dass Sie es entfernt haben) für das OS als für das Aufspüren des Buggers und für das Töten benötigt.

Nicht, es ist nicht so, der http-Sniffer zeigt, dass alles auf den richtigen Domainnamen verweist Magnetic_dud vor 13 Jahren 0
Ich habe die Festplatte abgewischt (im März 2011!) Und das Problem behoben, also wurde ich infiziert. Das konnte ich nicht glauben :) Magnetic_dud vor 11 Jahren 0
2
Jeff Bolduan

Ist es möglich, dass Ihr Router durch einen Virus gefährdet wurde und den Datenverkehr umleitet?

Der Router ist ein Thomson TG585, den der ISP mir gab. Hat einen Fehler, bei dem Leute das wpa2-Passwort erraten können, wenn sie die MAC-Adresse kennen - wlan ist deaktiviert. Aber von anderen Computern auf demselben LAN bekomme ich dieses seltsame Ergebnis nicht ... Magnetic_dud vor 13 Jahren 1
Wenn das der Fall ist, dann würde ich wahrscheinlich meine Verluste abschneiden und entweder einen anderen AV ausprobieren und falls dies fehlschlägt, dann formatieren. Wenn sich das Virus so gut verstecken kann, lohnt es sich nicht, ein Risiko einzugehen. Ich würde auch sicherstellen, dass der Boot-Sektor des Laufwerks ausgelöscht wird, der oft übersehen wird. Jeff Bolduan vor 13 Jahren 0
Ich habe Nod32 versucht, aber kein Erfolg Magnetic_dud vor 13 Jahren 0
Sie sollten auch einen nicht infizierten Computer verwenden, um sofort alle Passwörter Ihres Website-Kontos zu ändern, insbesondere Bank- / Finanzpasswörter. BBlake vor 13 Jahren 0
0
Moab

Sie könnten infiziert sein

Folgen Sie der unten angegebenen Reihenfolge, um Ihren PC zu desinfizieren

1.) Erstellen Sie auf einem nicht infizierten PC eine Boot-AV-Disc, booten Sie dann von der Disc auf dem infizierten PC und scannen Sie die Festplatte, entfernen Sie alle gefundenen Infektionen. Ich bevorzuge die Kaspersky-Disc selbst. Die New 2010 Kaspersky-CD kann die AV-Datendateien aktualisieren, wenn Sie zum Zeitpunkt des Scans mit dem Internet verbunden sind und vor dem Scan eine Aktualisierung empfohlen wird.

http://www.techmixer.com/free-bootable-antivirus-rescue-cds-download-list/

2.) Dann: Installieren Sie Free MBAM, führen Sie das Programm aus, wechseln Sie zur Registerkarte "Update" und aktualisieren Sie es. Gehen Sie dann zur Registerkarte "Scanner" und führen Sie einen schnellen Scan durch, wählen Sie alle gefundenen Objekte aus und entfernen Sie sie.

http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

3.) Wenn die MBAM-Installation abgeschlossen ist, installieren Sie die SAS-freie Version. http://www.superantispyware.com/download.html

Bei den letzten beiden handelt es sich nicht um AV-Software wie Norton. Sie sind On-Demand-Scanner, die beim Ausführen des Programms nur nach Fehlern suchen und den installierten AV nicht beeinträchtigen. Sie können einmal pro Tag oder in der Woche ausgeführt werden, um sicherzustellen, dass Sie nicht infiziert sind. Stellen Sie sicher, dass Sie sie vor jedem täglichen / wöchentlichen Scan aktualisieren.

0
ChrisF

Überprüfen Sie Ihre Netzwerkeinstellungen. Was hätte passieren können, ist, dass Sie Malware haben, die Sie auf einen fehlerhaften Domain Name Server verweist. Dies bedeutet, dass Sie anscheinend die richtigen Webadressen erreichen, auch wenn Sie dies eindeutig nicht tun.

Sie können dies auch testen, indem Sie versuchen, auf bekannte Anti-Malware-Websites wie Malwarebtyes zuzugreifen . Diese sind oft blockiert.

Rufen Sie das Dialogfeld LAN-Verbindungseigenschaften auf und wählen Sie die Registerkarte Allgemein. Wählen Sie dann die Zeile "Internet Protocol (TCP / IP)" und wählen Sie "Eigenschaften".

Prüfen Sie im neuen Dialog auf der Registerkarte Allgemein, ob die Option DNS-Server auf "Benutzer folgende DNS-Serveradresse" eingestellt ist. Wenn es die IP-Adressen notiert hat.

Gehen Sie dann zu Ihrem ISP und prüfen Sie, ob diese empfohlen wurden. Wenn sie den Switch nicht auf "DNS-Serveradresse automatisch beziehen" zurücksetzen. Wenn dies der Fall ist, überprüfen Sie, ob die IP-Adressen übereinstimmen.

Sie müssen immer noch die Schritte ausführen, um den Computer zu reinigen, da keine Garantie dafür besteht, dass kein Prozess ausgeführt wird, der diese Einstellung auf die fehlerhaften Server verweist.

Die Website wird nicht blockiert - malwarebytes heruntergeladen und installiert - jetzt wird gescannt. Magnetic_dud vor 13 Jahren 0

Verwandte Probleme