| |
| |||||||
Diskussionsforum: Business - auf E-Mail Blacklist durch Trojaner Zeus?Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
 |
| |
04.04.2014, 15:59
| #1 |
| |  Business - auf E-Mail Blacklist durch Trojaner Zeus? Wir haben auch diesen Trojaner gehabt und gefunden. Er schrieb bei uns unter User\Appdata\Roaming eine pplay.exe. Da unser Webgateway fehlerhaft konfiguriert war, gingen einige Requests des Botnetzes durch und so landeten wir auf der CBL-Blacklist. Anbei einige Zeilen aus dem Log: 2014:04:04-00:00:03 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://j9widqq2pqeqx.net/" 2014:04:04-00:00:08 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://amf1nzbhxuuww.com/" 2014:04:04-00:00:13 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://rxvqbhvz2mesr.net/" 2014:04:04-00:00:19 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://ru4wg2wjmh11d.com/" 2014:04:04-00:00:24 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://ka9rik1aqu5li.net/" 2014:04:04-00:00:24 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://fwdbp2rtl2wki.net/" 2014:04:04-00:00:29 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://w5ad4kdxwn99t.com/" 2014:04:04-00:00:34 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://zo3uwj4kqbnoucs.net/" 2014:04:04-00:00:39 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://deto9pgk4ymcasi.com/" 2014:04:04-00:00:44 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://vuu3gwm3wckhcdl.net/" 2014:04:04-00:00:49 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://jqu33333gu4crgs.com/" 2014:04:04-00:00:54 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://dpxh4y944rskcxe.net/" 2014:04:04-00:00:59 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://h9theyjceq4hw94.com/" 2014:04:04-00:01:04 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://2k3vg241f3.net/" 2014:04:04-00:01:09 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://moqolet9nqh5y.com/" 2014:04:04-00:01:14 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://bcdb3voawjl1o.net/" 2014:04:04-00:01:19 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://jbqe53bxtfru5.com/" 2014:04:04-00:01:24 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://qzhrs1wisa4kl.net/" 2014:04:04-00:01:29 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://zzg4osjwnxpmo.com/" 2014:04:04-00:01:34 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://559jxdcnbqiaj2.net/" 2014:04:04-00:01:39 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://49yfa5n1cmps.com/" 2014:04:04-00:01:44 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://tstax1qucnw2.net/" 2014:04:04-00:01:49 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://4jo21epqal.com/" 2014:04:04-00:01:54 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://km4uz4l2uoxyofx.net/" 2014:04:04-00:01:59 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://u43tjtdellycxzx.com/" Wir haben es gefunden, indem wir die Uhrzeit der CBL Alarmierung abgeglichen haben mit dem Webgateway Log. Es war nachts, der User hatte den PC angelassen, aber es sind tausende solche Einträge vorhanden gewesen. Deshalb, solltet Ihr ihn noch nicht gefunden haben, stellt die Uhr auf Eurem Gateway auf die Sekunde genau ein. CBL z.B. geht auch nach "Atomzeit". Und die Zeitverschiebung nicht vergessen, bei CBL momentan +2 Stunden zur GMT! Der Trojaner wurde nicht mit Sophos und Kaspersky auf dem Client gefunden! Wir haben den Norton Power Eraser drüberlaufen lassen, der hat die EXE gefunden. Aber zur Sicherheit dann direkt geplättet! Viele Grüße Der Olaf |
|
04.04.2014, 17:12
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Business - auf E-Mail Blacklist durch Trojaner Zeus?Zitat:
 Hat er lokale Adminrechte auf der Kiste oder fehlten wichtige Updates?
__________________ |
|
| Themen zu Business - auf E-Mail Blacklist durch Trojaner Zeus? |
| bot, downloader, e-mail, email, fehlermeldung, finds, firewall, frage, gdata, help, infected, malware, net command, norton power eraser, opera, ponmocup, port, problem, proxy, proxy server, scan, server, software, system, temp, trojan, trojaner, viren, virus |
Business - auf E-Mail Blacklist durch Trojaner Zeus?
Hybrid-Darstellung
