Gefahr durch Virusmail:Virus: Trojan.Gen

22.05.2012, 20:59

Moin,

meine Mutter rief mich grad an und war ganz aufgeregt. Sie hat eine Mail bekommen, welche als Bestellbestätigung getarnt war. (Betrag irgendwas über 6000 €). Sie hat auf die angehängte Zip datei geklickt, wusste aber nicht, ob der was entpackt bzw. installiert hat.
Sie ist 400 km entfernt und ich kann mir das nicht näher anschauen. Sie hat mir die Mail weitergeleitet, aber gmx hat direkt einen Virus erkannt:

Liebes GMX Mitglied,

eine an Sie adressierte E-Mail wurde von unserem Virenscanner als gefährlich eingestuft.

Datei: Vertrag 17.05.2012.com
Virus: Trojan.Gen

Die Frage jetzt: ist der Virus auf dem Rechner? Kann man das sagen?
Welchen Schaden richtet er an? Was muss getan werden? Kann man diesen manuell entfernen? Online Banking lieber sein lassen?

Bin für jeden Rat dankbar.

Gruß drfius

23.05.2012, 07:42

Moin,
meines Wissens filtert 'gmx' verdächtigte Mails aus und meldet das dem Nutzer. Das müsste aber gleichzeitig mit der Bereitstellung der Mail geschehen. Wenn deine Mutter das übersehen hat, war das fahrlässig. Noch schlimmer war das Öffnen des Anhangs der Mail. Wenn die *.zip-Datei durch Anklicken entpackt wurde, ist davon auszugehen, dass ein Installationsprozess in Gang gesetzt wurde, denn wozu sollte eine 'Bestellbestätigung' extra gezipt werden?
Weiß deine Mutter noch, was und wo sie bestellt haben soll?
Verhaltensregeln:
1. Online-Banking auf jeden Fall unterlassen, auch keine Webseiten aufrufen, wo Zugangsdaten verlangt werden. Nach Bereinigung später PIN und Passwörter ändern.
2. Hat deine Mutter ein Virenwarnprogramm welches aktuell (Updates) gehalten wird?
3. wurde ein Suchlauf damit gemacht? Funde? (in Quarantäne legen)
4. Das Tool 'Malwarebytes' runter laden, nach Installation updaten und damit einen Suchlauf durchführen. Funde in Quarantäne legen.
(Systemscan mit Malwarebytes ? eForum Wiki )
5. Das Tool 'HiJackThis' laden,
HijackThis Scanner zum Auffinden von Schadprogrammen ? eForum Wiki
damit scannen (Scan and safe a Logfile)
das Logfile dir senden und du stellst es hier ein.

23.05.2012, 07:54

Moin,

danke für die umfangreiche Mail!
Ja, hat es bei mir ja gemacht. Meine Mutter hat allerdings t-online. Nein, das war aus der Mail nicht ersichtlich, dafür sollte man ja den Anhang öffnen. In der Mail erschien nur der Betrag mit etwas über 6.000 €. Mir ist ja klar, dass man sowas nicht öffnet - alte Leute fängt man mit sowas halt ein.

Vielen Dank für die Tipps. Gebe ich weiter und stelle es nachher hier ein.

Viele Grüße
drfius

15.06.2012, 22:19

3. erledigt. Funde durch meine Mutter, in Quarantäne. Was weiß ich nicht.
4. erledigt, nichts gefunden.
5. Logfile:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 23:16:58, on 15.06.2012
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v8.00 (8.00.7601.17514)
Boot mode: Normal

Running processes:
C:\windows\system32\taskhost.exe
C:\windows\system32\Dwm.exe
C:\windows\Explorer.EXE
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\windows\system32\wuauclt.exe
C:\Users\sneuglen\Downloads\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN Deutschland: Hotmail, Skype Download und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN Deutschland: Hotmail, Skype Download und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live ID-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.ex e" "C:\Program Files\CyberLink\YouCam" UpdateWithCreateOnce "Software\CyberLink\YouCam\2.0"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\windows\system32\Macromed\Flash\FlashUtil10o_Pl ugin.exe -update plugin
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - Unknown owner - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe (file missing)
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\windows\system32\nvvsvc.exe
O23 - Service: Oberon Media Game Console service (OberonGameConsoleService) - Unknown owner - C:\Program Files\Samsung Casual Games\GameConsole\OberonGameConsoleService.exe

--
End of file - 5914 bytes

16.06.2012, 19:36

Moin,
die Auswertung von HjT meldet keine Unregelmäßigkeiten.
Nach einem Durchlauf mit dem CCleaner - Datenmüll entfernen
solte alles bereinigt sein.

17.06.2012, 21:42

Vielen Dank!

24.06.2012, 12:37

Hallo!
Bitte sag deiner Mutter am besten auch das man NIE aber auch wirklich NIE
bei diesen Fake-Emails wo man angeblich was bestellt oder ein Abo abgeschlossen hat die ZIP-Datei öffnet. Denn da werden bestimmt noch mehr antanzen, auch welche wo man was von sich aus angeben soll.
Wenn eine E-Mail von einer unbekannten Firma reinkommt, wo Zahlungen verlangt werden oder gesgat wird dass Zahlungen vom Konto gebucht werden, dann das Konto beobachten und sonst nicht darauf reagieren.

Gefahr durch Virusmail:Virus: Trojan.Gen

Gefahr durch Virusmail:Virus: Trojan.Gen

Ähnliche Themen

Explorer.exe erscheint nicht (Vllt. durch VIRUS)

LAn-Party in Gefahr!

mein arbeitsplatz ist im gefahr

Virus gefunden durch Antivir

RAM Testen ohne Gefahr möglich???