Hallo

ich habe einen Debugger und Urlaub. Gibt es einen Downloadlink oder kann mir jemand den Virus zuschicken?

Viele Grüße
Marcus

Hi,

hier haben wir noch die Mail gefunden.. Folgender Text :

Zitat:

x-store-info:4r51+eLowCe79NzwdU2kR3P+ctWZsO+J
Authentication-Results: hotmail.com; sender-id=pass (sender IP is 213.165.64.22) header.from=mariogiruc@gmx.de; dkim=none header.d=gmx.de; x-hmca=pass
X-SID-PRA: mariogiruc@gmx.de
X-SID-Result: Pass
X-DKIM-Result: None
X-Message-Status: n:0:n
X-AUTH-Result: PASS
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTE7YT0xO0Q9MjtHRD0yO1NDTD0w
X-Message-Info: 11chDOWqoTlp63+edO4uCpV4D9Wh4/n01HNKxB1VfZ1l5Rr+M5ZDA/GfJ4Vm9Y1HFox4f7k23+0gP5/IRXWr6rQ62GJwDL74lEiBjKnnCJAD5AvV1GioPi8U9LwJEi8M3Gz8lVy8GtLEULmjLvO3Lw==
Received: from mailout-de.gmx.net ([213.165.64.22]) by SNT0-MC4-F48.Snt0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
Wed, 16 May 2012 19:10:45 -0700
Received: (qmail invoked by alias); 17 May 2012 02:10:43 -0000
Received: from 71-13-98-142.static.mrqt.mi.charter.com (EHLO AppServer) [71.13.98.142]
by mail.gmx.net (mp010) with SMTP; 17 May 2012 04:10:43 +0200
X-Authenticated: #67981643
X-Provags-ID: V01U2FsdGVkX1/DdcZonmrD7fSBljRHFUiWqUO+SycxWgOyoPJF/a
e2HM1lNtws3lVH
MIME-Version: 1.0
Date: Wed, 16 May 2012 22:10:42 -0400
X-Priority: 3 (Normal)
X-Mailer: The Bat! (v2.00.9) Personal
Subject: Ihre Bestellung 01943069523
From: mariogiruc@gmx.de
To:***********@hotmail.de
Content-Type: multipart/mixed;
boundary="-----_chilkat_20d_a271_7a48b7aa.ced45a7d_.MIX"
Message-ID: <CHILKAT-MID-75f82105-cd99-2663-beff-5815510a2e0a@AppServer>
X-Y-GMX-Trusted: 0
Return-Path: mariogiruc@gmx.de
X-OriginalArrivalTime: 17 May 2012 02:10:45.0739 (UTC) FILETIME=[450003B0:01CD33D2]

This is a multi-part message in MIME format.

-------_chilkat_20d_a271_7a48b7aa.ced45a7d_.MIX
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

Sehr geehrte Damen und Herren,

Besten Dank für Ihren Kauf bei Berlet.de, nachfolgend finden Sie Ihre Einkaufsbestätigung.

Deine Antragsnummer: 895255877879
Artikel: BenQ 6836375885 8957,01 Euro
Rechnungsname: Wie in Vertragsdetails abgebildet


Zahlungsmethode: Bankeinzug

Versandadresse und detaillierte Bestelldetails finden Sie aus Vorsichtsgründen im zugefügtem Zip Ordner.

Die Zahlung wurde autorisiert und wird innerhalb 2 Tage abgebucht.
Rechnungsauflistung und Widerruf Hinweise finden Sie im zugefügtem Zip Ordner.


Ihr Kundensupport

Ludwig GmbH
Dahrendorfweg 94
76750 Bremen

Telefon: (+49) 065 9160180
(Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr)
Gesellschaftssitz ist Augsburg
Umsatzsteuer-ID: DE635030345
Geschäftsfuehrer: Annika Wolf

@Mar
Schich mir mal deine Email-Adresse, dann schicke ich sie dir zu.

Grüße

Hallo Marcus

Bei mir sieht das auch aus wie von Forrest beschrieben. Der trojaner war wohl in der Datei Rechnung.com hinterlegt.
Wenn du mir deine Mailadresse gibts kann ich dir das Mail weiterleiten.
Danke

mfg SamF

unsere Mail lautet folgend:

(Unsere Astaro hat am frühen Donnerstag Morgen den Trojaner NICHT erkannt)

Zitat:

Betreff: Paket Nr5707168357 konnte heute nicht zugestellt werden

Sehr geehrte Damen und Herren,

Danke für Ihren Einkauf bei Farbenmix, nachfolgend finden Sie Ihre Bezahbestätigung.

Ihre Transaktionsnummer: 745964142364
Artikel: BareBone 2269200067 7373,77 Euro
Rechnungsname: Wie in Rechnung gekennzeichnet


Zahlungsmethode: Mastercard

Versandadresse und detaillierte Vertragsdetails finden Sie zwecks Vorsichtsmassnahmen im Anhang.

Die Buchung wurde autorisiert und wird innerhalb 2 Tage entzogen.
Bezahleinzelheiten und Storno Möglichkeiten finden Sie in beigefügter Datei.


Ihr Mail-Support

Jetlinks GmbH
Billufer 07
79541 Stuttgart

Telefon: (+49) 841 8204104
(Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr) Gesellschaftssitz ist Arnstein
Umsatzsteuer-ID: DE022584541
Geschäftsfuehrer: Amelie Vigt

Hallo nochmal

also die Mail haben wir ja nun noch im Hotmail-Postfach..

Jedoch lässt sich die Datei weder runterladen (Hotmail erkennt nun den Virus "unbekannter Virus") und weiterleiten lässt sie sich auch nicht.

Habe nun den kompletten Quelltext der Mail (Die Datei scheint dort auch drin zu sein) an Markus geschickt, hoffe er kann damit so etwas anfangen. Ansonsten bitte einfach mal erklären (wer kann) wie ich diese Datei trotzdem runtergeladen und verschickt bekomme.

Grüße

hat jemand die mailadresse von marcus?
dann kann ich versuchen den trojaner zu versenden?

Hi Sam

den Virus hab ich bereits (Danke Ben!) und arbeite konzentriert daran. Es ist nicht einfach. Bitte habt Geduld.

Wie es aussieht hab ich den Trojaner bei mir wieder entfernt, es wurden auch keine Dateien verschlüsselt.
Nachdem ich anfangs gar keinen Zugriff auf mein System mehr hatte (auch nicht mehr über den abgesicherten Modus), hab ich mir eine 2. Windows-installation gemacht. Mit dieser hab ich dann die 1. Installation mit den neuesten Updates von Avira geprüft, und siehe da es wurde 2x der Trojaner Matsnu.A.19 gefunden. Nach der Entfernung der Trojaner komme ich wieder in die ursprüngliche Windows-installation rein, und habe bisher keine Fehler oder veränderungen gefunden.
Werde mir die 2. Installation einfach für den Fall behalten daß so etwas wieder mal vorkommt.

mfg SamF

Ich habe nochmal ein Testreihe mit reinen ASCII gefahren. Im Anhang.

Edit:
Die Dateien unterhalb ASCII_unlesbar sind die vom Trojaner veränderten Dateien, die Dateien unterhalb ASCII_lesbar sind die Originaldateien. Auch wenns nicht danach aussieht, alle Dateien haben Textinhalt.

Michael

@ leahciM: Hast Du die unbefallenen Dateien vom Virus verändern lassen? Oder hast Du die veränderten Dateien wieder zurückkonvertiert in richtige Dateinamen? Wäre sehr hilfreich, wenn´s so wäre. Bei einem meiner Kunden hat´s heftig viele Dateien erwischt.

Andreas

@uwenru
wegen der pc bereinigung, bitte thema in logfiles eröffnen.
@Mar
melde dich per pm bei mir. dann können wir das sicher regeln.


@Forrest74 *
@SamF
@Ben8472

an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

@fischer_andy

Ich habe eine Textdatei erstellt mit A..Z, a..z und 1..9. Die habe ich kopiert und ihr andere Namen gegeben.
Dann in die virtuelle Maschine und den Trojaner ausgeführt.
Das Ergebnis kannst Du dort sehen.

Auch mich bzw. meine Mutter hat der Virus erwischt. In einer Mail war der Trojaner als Anhang dabei und meine Mutter hat aus Unwissenheit und mit der Angst vor einer offenen Rechnung von über 5000€ die .zip auch noch aufgemacht. Nun haben wir den Salat. Die Daten konnte ich mittels Ubuntu Live CD retten jedoch sind sie wie auch bei vielen anderen hier verschlüsselt mit wirren Groß- und Kleinbuchstaben und ohne Dateiendung.

Ich habe versucht die Mail an Markus weiterzuleiten jedoch bekam ich dabei von GMX eine Meldung, dass die Mail Viren beinhaltet. Wenn mir wer sagen kann wie ich die Mail dennoch an ihn schicken kann wäre ich sehr dankbar.

Hier wäre der Text von der Mail an sich:

Zitat:

Zitat von nalam80@yahoo.co.in

Sehr geehrte Damen und Herren,

Danke für Ihren Einkauf bei Otto, nachfolgend finden Sie Ihre Vertragsbestätigung.

Deine Antragsnummer: 556740546663
Artikel: Sockel 3855869290 5775,17 Euro
Rechnungsname: Wie in Vertragsdetails dargestellt


Zahlungsmethode: Paypal

Versandadresse und detaillierte Rechnungsdaten finden Sie wegen Securitymassnahmen in beigefügtem Anhang.

Die Überweisung wurde autorisiert und wird innerhalb 2 Tage abgetragen.
Artikelauflistung und Widerspruch Mitteilung finden Sie im zugefügtem Zip Ordner.


Ihr Support-Team

Krause GmbH
Blostwiete 78
90393 Augsburg

Telefon: (+49) 986 1660525
(Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr)
Gesellschaftssitz ist Amäneburg
Umsatzsteuer-ID: DE606623325
Geschäftsfuehrer: Nina Vogt

Ich hoffe, dass es bald eine Möglichkeit gibt die Daten zu retten. Vielen Dank schonmal von meiner Seite.

@Edi
Probiere mal den Upload-Channel aus
http://www.trojaner-board.de/54791-a...ner-board.html
.

moin moin Edivion,
einfach weiterleiten ist nicht gut.
Ich speichere die Dinger aus TheBat! als EML-Datei.
Vorsichtshalber zippe ich die nochmal und schicke die ZIP dann an Markus.

Gruß Volker