siehe
T-Mobile spam: MMS-Nachricht [Description: T-Mobile]

Wer eine Mail mit dem Betreff "MMS-Nachricht" erhält, die angeblich von T-Onlines MMS-Gateway stammt, sollte diese besser gleich an uns weiterleiten.


Von: mms@t-mobile.de [mailto:mms@t-mobile.de] (gefälschter Absender)
Gesendet:
An:
Betreff: MMS-Nachricht


[Description: T-Mobile]


Telefonnummer +491752767489

es hängt an:
foto_{SYBOL}.zip
Rund 130 KB groß

Scanergebniss der Exe Datei:

2013-01-30 17:47:47
https://www.virustotal.com/file/64fd...is/1359568067/
MD5: 333fe9007e3531ccef131e9fbf86e7bd
SHA1: 769514b0a7502f53ba5c9a6f7da6202a095e95ac
Detect: 5 / 46

Worm.Dorkbot (Malwarebytes)
Worm/Win32.Stekct (AhnLab-V3)
Win32.Outbreak (Ikarus)
W32/Ruskill.CD!tr (Fortinet)
Suspicious file (Panda)

Es handelt sich um den bereits bekannten: Backdoor.Andromeda.
Eine Kopie der Malware wird ins System gedroppt und über folgenen Registry Key gestartet:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe
"winz.exe" = "C:\WINDOWS\system32\winz.exe "

die Malware verbindet zu:

advstar.com/ft/ff.php

dieser ist in der Lage, sensible Daten zu stehlen, und weitere Malware nachzuladen.

Mail mit MMs von T-Mobil bekommen und geöffnet...
Beim nächsten Start bleibt PC nach wilkommen stehen, Bildschirn bleibt "windows-blau" nichts geht.
Wie werde ich das wieder los ?
(Sorry das ich keinen link gesetzt habe)
MfG Frank

hi
für mitleser:
http://www.trojaner-board.de/130342-...ml#post1002171
wer solche Nachichten bekommt, gerne an mich.
Link steht in meiner Signatur.

@frank:
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.