Zitat:
From: "Mydirtyhobby.de GmbH" <verschiedene Absender>
Ihre Abrechnung MyDirtyHobby.de Ltd. 10.04.2013

Hallo sehr geehrter Benutzer,

in der beigefügten Datei erhalten Sie die Rechnung für die Mitgliedschaft von Mydirtyhobby.de Online für den Zeitraum von 6 Monaten. Wir hoffen Sie haben
auch zukünftig Spaß mit unterem Portal.

Die Rechnung ist innerhalb von 7 Tagen zu begleichen. In der Beilage finden Sie Ihre Rechnung, unsere AGBs und die Widerrufsbelehrung. Falls keine Zahlung
ankommen sollte erhalten Sie umgehend Mahnung von unserem Inkassobüro mit weiteren Kosten.

Rechnungsbetrag: 200,00 Euro

Mit freundlichen Grüßen Ihr Mydirtyhobby.de AG Support

Zitat:
Hallo Nutzer,

anbei bekommen Sie die Abrechnung für die Mitgliedschaft von
My-Dirty-Hobby Portal für den zeitlichen Raum von 48 Monaten. Wir
hoffen Sie haben auch zukünftig Spaß mit unterem Portal.

Wir bitten um Zahlung der Rechnung innerhalb von 14 Tagen an die in
den AGBs genannte Bankverbindung. In der beigefügten Datei finden Sie
die Rechnung, unsere AGBs und die Widerrufsbelehrung. Falls keine
Zahlung ankommen sollte bekommen Sie in 14 Tagen Schreiben von unserem
Anwalt mit zusätzlichen Kosten.

Rechnungsbetrag: 199,00 Euro

Mit freundlichen Grüßen Ihr MyDirtyHobby.de <hxxp://MyDirtyHobby.de>
Online Service Team
Es hängt an:
10.04.2013 MyDirtyHobby.de GmbH Rechnung.zip
Rund 98,2 KB groß.
Virustotal Ergebniss der enthaltenen .com Datei:
https://www.virustotal.com/file/caed...is/1365616064/
MD5: 7b2dd976849df0d37d1773d201478525
SHA1: ad93512e0a5531efd2fefca486eef6fb2df332e0
Detect: 22 / 46

Trojan.GenericKD.933878 (MicroWorld-eScan)
Trojan.GenericKD.933878 (nProtect)
Artemis!7B2DD976849D (McAfee)
Trojan.Agent.ED (Malwarebytes)
Trojan.Ransomlock.P (Symantec)
TROJ_GEN.F47V0410 (TrendMicro-HouseCall)
Trojan.Win32.Yakes.couu (Kaspersky)
Trojan.GenericKD.933878 (BitDefender)
Troj/Mdrop-EZF (Sophos)
UnclassifiedMalware (Comodo)
Trojan.GenericKD.933878 (F-Secure)
Trojan.Win32.Injector.zvr (v) (VIPRE)
TR/Injector.BC (AntiVir)
Artemis!7B2DD976849D (McAfee-GW-Edition)
Trojan.Win32.Agent.AMN (A) (Emsisoft)
Trojan:Win32/Matsnu (Microsoft)
Trojan.GenericKD.933878 (GData)
Trojan.Ransomlock.F!rem (PCTools)
a variant of Win32/Injector.AFAL (ESET-NOD32)
Trojan.NecursObfuscator2!51FC (Rising)
Trojan.Injector (Ikarus)
Trj/CI.A (Panda)




Es handelt sich hierbei um Trojan.trustezeb

Folgene Autostart Einträge werden erstellt:

HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run
wrknlbkv
C:\Dokumente und Einstellungen\Administrator\Miryflewq\fzlkjlbkv.exe

Starteintrag der Ransomware

HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run
KB00264022.exe
"C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\KB00264022.exe&quot"

Hierbei handelt es sich um Trojan.Cridex
die Malware verbindet zu:

aboutalikmatoskin.ru/de_di/

gogadorogoda.ru/de_di/

gogapervijman.ru/de_di/

mbqdczxrz.com/inbox.php

nvufvwieg.com/inbox.php

pcv-onlines.com/inbox.php

pgcv-online.com/inbox.php

porkysolderxx.com/inbox.php

seodirect-proxy.com/inbox.php

set1forus.ru/de_di/

zeouk-gt.com/inbox.php

Bitte beachten!
- Wer eine solche, oder ähnliche verdächtige Mail erhält, möge diese an uns weiterleiten.
markusg - trojaner-board.de
- Mails, die man erhält, immer gründlich lesen.
- wer den Link geöffnet hatt, bitte ein Thema bei uns eröffnen.
http://www.trojaner-board.de/log-analyse-auswertung
__________________
Hallo,

Ich habe heute auch diese Mail bekommen, und dummerweise geöffnet und ausgeführt.
Es wurden 2 Starteinträge gemacht (diese habe ich wieder deaktiviert) und die dazugehörigen exe. Dateien, welche durch den Virus erstellt wurden, in der App Data gelöscht.
Anschließend Antivir Live CD laufen lassen. Es wurde nix schadhaftes mehr gefunden.
Kurz nachdem ich die Datei geöffnet hatte, funktionierte firefox nicht mehr.
habe ich deinstalliert und wieder installiert.

Momentan läuft mein System stabil.
Ich bin kein Fachmann in diesem Gebiet, und wüsste gerne was es mit diesem Trojaner auf sich hat, und wie ich ihn sicher wieder wegbekomme.

Gruß,

Marc

P.S
Habe dir schon per email den Virus zukommen lassen


Lieben Gruß,

Marc

Hi Marc,

der 24-Stunden-Support zu deinen Diensten.
Wir müssen mal ins System reinschauen:


Schritt 1

Downloade dir bitte defogger (von jpshortstuff) auf deinen Desktop.

• Starte das Tool mit Doppelklick.
• Klicke nun auf den Disable Button.
• Bestätige diese Sicherheitsabfrage mit Ja.
• Wenn der Scan beendet wurde (Finished), klicke auf OK.
• Falls Defogger zu einem Neustart auffordert, bestätige dies mit OK.
• Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt.
• Nur falls Probleme aufgetreten sind, poste deren Inhalt mit deiner nächsten Antwort.

Klicke den Re-enable Button nicht ohne Anweisung!



Schritt 2

Lade dir Gmer herunter (auf den Button Download EXE drücken) und speichere das Programm auf den Desktop.

• Deaktiviere alle Antivirenprogramme und Malware/Spyware Scanner.
• Trenne alle bestehenden Verbindungen zu einem Netzwerk/Internet (WLAN nicht vergessen).
• Schliesse bitte alle anderen Programme.
• Starte gmer.exe (die Datei hat einen zufälligen Dateinamen).
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Sollte sich ein Fenster mit folgender Warnung öffnen

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  dann klicke unbedingt auf No.
• Entferne rechts den Haken bei:
  • IAT/EAT
  • Show all
• Setze rechts den Haken bei deiner Systempartition (normalerweise C:\).
• Starte den Scan mit einem Klick auf Scan.
• Mache gar nichts am Computer, während der Scan läuft!
• Wenn der Scan fertig ist, klicke auf Save und speichere das Logfile unter Gmer.txt auf deinen Desktop.
• Schliesse dann GMER und führe unmittelbar einen Neustart des Computers durch.
• Füge bitte den Inhalt des Logfiles hier in deine Thread ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor du ins Netz gehst.



Schritt 3

Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.

• Doppelklick auf die OTL.exe.
• Unter Extra Registry, wähle bitte Use SafeList.
• Setze den Haken bei Scan all Users.
• Klicke nun auf Run Scan.
• Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
• Poste den Inhalt dieser Logfiles hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Log von Gmer
• Logs von OTL

Hi Leo,


danke für Deine Hilfe.
Ich werds leider erst morgen erledigen können.

Also eine schnelle Hilfe wie ein Anti Viren Programm das diesen Trojaner erkennt und löscht ist unwahrscheinlich?

Kannst Du an dem was Markus schon gepostet hat, erkennen ob es ein übler Virus ist?
Hoffe er zerstört keine Daten von mir

Hi,

Schritt 1 hab ich schon erledigt, ohne besondere Vorkommnisse.
Es wird noch nicht mal eine LOG txt file erstellt

Hi Leo,


habe heute rausgefunden, das anti vir den Trojaner jetzt auch erkennt.
Sogar an einem alten mit PC äußerster Vorsicht gestest


Ich hatte ja wie bereits geschrieben, den Trojaner auf eigene Faust im System verfolgt und zufassen bekommen.
Da das aktualisierte Antivir bei mir jetzt nichts findet, gehe ich davon aus das ich ihn beseitigt habe.
Oder erkennt ein Prog wie Anti Vir einen Virus nur dann, wenn er vollständig in Takt ist.
Ich habe ja definitiv Dateien vom Virus gelöscht.

Ich werde dir aber heute abend trotzdem mal die gewünschten Log Files rüberschicken, um auf nr. sicher zugehen.

Gruß,

Marc

Hallo Marc,

Zitat:

Da das aktualisierte Antivir bei mir jetzt nichts findet, gehe ich davon aus das ich ihn beseitigt habe.

Vielleicht, vielleicht auch nicht. Da wär ich nicht so sicher.

Zitat:

Ich werde dir aber heute abend trotzdem mal die gewünschten Log Files rüberschicken, um auf nr. sicher zugehen.

Ja, das würd ich auch empfehlen, dass wir da mal noch schnell drüberschauen, was noch zu sehen ist.

Hi,

ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.

Hinweis: Wir sind noch nicht fertig! Auch wenn die Symptome verschwunden sein sollten, kann dein System weiterhin infiziert sein und über Sicherheitslücken verfügen, welche eine erneute Infektion möglich machen.

oh sorry,

voll vergessen.
Ja, hat sich alles erledigt. Mein Rechner ist wieder sauber.

Thx anyway.

Ok, danke für die Mitteilung.


Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Ich bekomme somit keine Benachrichtigung mehr über neue Antworten.
Solltest du das Thema erneut brauchen, schicke mir bitte eine PM und wir machen hier weiter.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.