Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum
Business - auf E-Mail Blacklist durch Trojaner Zeus?

Business - auf E-Mail Blacklist durch Trojaner Zeus?


Diskussionsforum: Business - auf E-Mail Blacklist durch Trojaner Zeus?

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 21.03.2014, 11:23   #1
Rollator
 
Business - auf E-Mail Blacklist durch Trojaner Zeus? - Standard

Business - auf E-Mail Blacklist durch Trojaner Zeus?


Hallo,

ich hoffe, das hier ist das passende Unterforum - das Problem ist zugegebenermaßen etwas speziell - aber bestimmt kennt sich jemand hier im Forum aus.

Kurz zu uns: wir sind ein kleines Unternehmen mit 20 Mitarbeitern das ca. einmal im Monat einen problemlos abbestellbaren Newsletter versendet. Ab und zu landen wir dadurch auf der Blacklist von spamhaus.org - und es gehen allgemein keine Mails mehr raus (auch keine händischen).

Vor 2 Tagen hatten wir jedoch keinen Newsletter im Versand - und wir sind trotzdem auf der Blacklist gelandet - und in der Meldung stand etwas von zeus.

Jetzt meine Frage: ist dieser Virus noch relevant und wird von GDATA nicht erkannt, wie es im Wikipedia-Artikel steht - oder ist das so nicht mehr der Fall?

CBL - die Composite Blocking List hxxp://cbl.abuseat.org/ liefert eine Fehlermeldung mit Viren aus, wenn man unsere IP einträgt. Ich zitiere mal den Text - und markiere wichtiges...

Zitat:
IP Address XX.XXX.XXX.XX is not listed in the CBL.

It was previously listed, but was removed at 2014-03-21 06:51 GMT (2 hours, 58 minutes ago)
At the time of removal, this was the explanation for this listing:

This IP is infected with, or is NATting for a machine infected with s_p2pzeus

Note: If you wish to look up this bot name via the web, remove the "s_" before you do your search.

This was detected by observing this IP attempting to make contact to a s_p2pzeus Command and Control server, with contents unique to s_p2pzeus C&C command protocols.

This was detected by a TCP/IP connection from XX.XXX.XXX.XX on port 54410 going to IP address YYY.YYY.YYY.YYY (the sinkhole) on port 80.

The botnet command and control domain for this connection was "amroibzlgumjqsqeynvlxwvffix.net".

Behind a NAT, you should be able to find the infected machine by looking for attempted connections to IP address YYY.YYY.YYY.YYY or host name amroibzlgumjqsqeynvlxwvffix.net on any port with a network sniffer such as wireshark. Equivalently, you can examine your DNS server or proxy server logs to references to YYY.YYY.YYY.YYY or amroibzlgumjqsqeynvlxwvffix.net. See Advanced Techniques for more detail on how to use wireshark - ignore the references to port 25/SMTP traffic - the identifying activity is NOT on port 25.

This detection corresponds to a connection at 2014-03-21 06:20:22 (GMT - this timestamp is believed accurate to within one second).

These infections are rated as a "severe threat" by Microsoft. It is a trojan downloader, and can download and execute ANY software on the infected computer.

You will need to find and eradicate the infection before delisting the IP address.

Norton Power Eraser --> https://security.symantec.com/nbrt/npe.aspx is a free tool and doesn't require installation. It just needs to be downloaded and run. One of our team has tested the tool with Zeus, Ice-X, Citadel, ZeroAccess and Cutwail. It was able to detect and clean up the system in each case. It probably works with many other infections.

We strongly recommend that you DO NOT simply firewall off connections to the sinkhole IP addresses given above. Those IP addresses are of sinkholes operated by malware researchers. In other words, it's a "sensor" (only) run by "the good guys". The bot "thinks" its a command and control server run by the spambot operators but it isn't. It DOES NOT actually download anything, and is not a threat. If you firewall the sinkhole addresses, your IPs will remain infected, and they will STILL be delivering your users/customers personal information, including banking information to the criminal bot operators.

If you do choose to firewall these IPs, PLEASE instrument your firewall to tell you which internal machine is connecting to them so that you can identify the infected machine yourself and fix it.

We are enhancing the instructions on how to find these infections, and more information will be given here as it becomes available.

Virtually all detections made by the CBL are of infections that do NOT leave any "tracks" for you to find in your mail server logs. This is even more important for the viruses described here - these detections are made on network-level detections of malicious behaviour and may NOT involve malicious email being sent.

This means: if you have port 25 blocking enabled, do not take this as indication that your port 25 blocking isn't working.

The links above may help you find this infection. You can also consult Advanced Techniques for other options and alternatives. NOTE: the Advanced Techniques link focuses on finding port 25(SMTP) traffic. With "sinkhole malware" detections such as this listing, we aren't detecting port 25 traffic, we're detecting traffic on other ports. Therefore, when reading Advanced Techniques, you will need to consider all ports, not just SMTP.

Pay very close attention: Most of these trojans have extremely poor detection rates in current Anti-Virus software. For example, Ponmocup is only detected by 3 out of 49 AV tools queried at Virus Total.

Thus: having your anti-virus software doesn't find anything doesn't prove that you're not infected.

While we regret having to say this, downloaders will generally download many different malicious payloads. Even if an Anti-Virus product finds and removes the direct threat, they will not have detected or removed the other malicious payloads. For that reason, we recommend recloning the machine - meaning: reformatting the disks on the infected machine, and re-installing all software from known-good sources.
Meine - sehr laienhafte - Vermutung ist, dass wir hier intern einen Botnetz sind // das Botnetz uns für irgendetwas nutzt - und wir dadurch auf der Liste landen. Unsere Virenscanner erkennen es nicht - und uns sind damit die Hände gebunden - wir können uns nur immer wieder austragen, sobald wir gelistet werden.

Wie schon gesagt: sorry falls das hier das falsche Unterforum ist - aber ich halte es schon für sehr speziell. Schonmal vielen Dank für Eure Antworten!

Alt 22.03.2014, 04:13   #2
W_Dackel
 
Business - auf E-Mail Blacklist durch Trojaner Zeus? - Standard

Business - auf E-Mail Blacklist durch Trojaner Zeus?


Mindestens einer eurer Rechner ist von einem Zeus befallen. Die haben das erkannt weil er sich mit einem COmmand and Control Rechner verbindet.

Da du offensichtlich mit den sehr guten Anweisungen in der Mail nichts anfangen kannst aber ne Menge Geld verlieren wirst wenn eure IT kollabiert ist es jetzt Zeit Verhandlungen mit einem IT Servicedienstleister aufzunehmen der sich in Zukunft um euren Rechnerzoo kümmert. Die werden dann auch die Infektion los.
__________________
Alt 22.03.2014, 08:54   #3
Rollator
 
Business - auf E-Mail Blacklist durch Trojaner Zeus? - Standard

Business - auf E-Mail Blacklist durch Trojaner Zeus?


Zitat:
Zitat von W_Dackel Beitrag anzeigen
Mindestens einer eurer Rechner ist von einem Zeus befallen. Die haben das erkannt weil er sich mit einem COmmand and Control Rechner verbindet.

Da du offensichtlich mit den sehr guten Anweisungen in der Mail nichts anfangen kannst aber ne Menge Geld verlieren wirst wenn eure IT kollabiert ist es jetzt Zeit Verhandlungen mit einem IT Servicedienstleister aufzunehmen der sich in Zukunft um euren Rechnerzoo kümmert. Die werden dann auch die Infektion los.
Hallo - und Schonmal vielen Dank für die schnelle Antwort.

Womit ich mir einfach nicht sicher war ist halt, ob das eine Standard-Fehlermeldung war. Es gibt 79 Blacklists - und wir werden lediglich bei einer davon gelistet, obwohl wir scheinbar einen Trojaner breitschießen - das kam mir etwas komisch vor.

Stimmt über Zeus auch, dass er von herkömmlichen Virenprogrammen nicht gesichtet werden kann, oder ist das ein alter Stand von 2012? Aktuelles habe ich über den Virus nämlich nicht gefunden...
Wir nutzen GDATA als Scanner, der stets aktuell gehalten wird - und hatten bisher auch noch nie große Probleme mit Viren. Die IT ist hier in der Regel auch sehr schnell in Alarmbereitschaft. Der GDATA hat jedenfalls keinen Zeus gefunden ...

Ich will hier keinesfalls etwas auf eigene Faust unternehmen - aber das kam mir echt komisch vor. Was heißt auf eigene Faust - es würde ohnehin unser IT-Dienstleister machen. Ich will jetzt nur nix großes lostreten wo gar nix ist.
__________________
Alt 22.03.2014, 09:27   #4
painfulsmile
 
Business - auf E-Mail Blacklist durch Trojaner Zeus? - Standard

Business - auf E-Mail Blacklist durch Trojaner Zeus?


Also ich würde solchen Hinweisen auf jedenfall nachgehen, wenn sie einigermaßen seriös wirken. (Wenn da jetzt steht "blabla im Anhang ist eine .exe. Führ die aus und alles ist gut", dann sieht die Sache schon anders aus. )
Ob und was da jetzt genau hintersteckt, muss man (bzw. die IT-Zuständigen) dann selber herausfinden und fixen.
Sieh es immer so. Wenn es ein Fehlalarm war und du es überprüfen lässt, wurde vielleicht ein paar Stunden arbeit umsonst gemacht.
Wenn es keiner war, du es aber ignorierst, kannst du ziemliche Probleme bekommen.

Und zum Thema Zeus:
Der Trojaner ist schon ein bissel älter. Seine Blütezeit hatte dieser in 2009, glaube ich.
Allerdings wurde vor ca. einem Jahr der Quellcode veröffentlicht.
Das bedeutet immer ein kleines Comeback (in Form von Modifikationen).

Alt 22.03.2014, 13:38   #5
W_Dackel
 
Business - auf E-Mail Blacklist durch Trojaner Zeus? - Standard

Business - auf E-Mail Blacklist durch Trojaner Zeus?


Wenn ihr schon einen IT Dienstleister habt soll er sich da mal drum kümmern. Wie mein Vorredner schon schrieb kannst du gerade als kommerzieller Anwender in Teufels Küche geraten wenn du mit verseuchtem Werkzeug arbeitest.

Wenn einer deiner Kunden aufgrund einer Verseuchung deiner IT Verluste erleidet kann er dich vollumfänglich auf Schadenersatz verklagen- und erhält wahrscheinlich Recht. Bei kleinen Privatanwender wie mir sieht das anders aus, da akzeptieren die Richter bisher dass wir nur wenig Ahnung von Computern haben.

Zeus gibt es in zig Varianten- fast wie in der griechischen Mythologie wo der Göttervater seinen Abenteuern auch in diversen Verwandlungen nachgehen musste damit Hera ihm nicht so schnell auf die Schliche kam daher kann beides vorliegen, sowohl ein Fehlalarm als auch eine echte Infektion die vom AV Scanner nicht erkannt wird. Moderne Schadsoftware nistet sich oft so ein dass sie nachträglich nicht mehr erkannt wird, daher sollte sich deine IT wirklich mal drum kümmern ob in eurem Netz Seltsamkeiten vorfallen.

Und falls sich einer Eurer Rechner mit dem Command Server in Verbindung setzen sollte ist dieser Rechner definitiv befallen- das lässt sich aber mit einem Rechner der im promiscuous mode an richtiger Stelle mit Wireshark mitloggd feststellen (Fritzboxen bieten sogar eine Schnittstelle für so etwas...)


Alt 24.03.2014, 09:20   #6
Rollator
 
Business - auf E-Mail Blacklist durch Trojaner Zeus? - Standard

Business - auf E-Mail Blacklist durch Trojaner Zeus?


Also erstmal vielen Dank für Eure Antworten.

Die IT ist jetzt dran - und ich werde mich melden, falls es wieder Auffälligkeiten geben wird // wir die Wurzel allen Übels gefunden haben.

Alt 24.03.2014, 16:01   #7
flyword
 
Business - auf E-Mail Blacklist durch Trojaner Zeus? - Standard

Business - auf E-Mail Blacklist durch Trojaner Zeus?


Hallo Rollator,

seit Samstag erhalten auch wir eine solche Nachricht bei uns handelt, es sich aber um urlzone2 !!!
Halte uns auf dem laufenden wenn du nähere Details hast zu deinem Fall oder wie du vorgegangen bist den Client/Server zu identifizieren welcher betroffen war.

Viele Grüsse
Flyword
Geändert von flyword (24.03.2014 um 16:17 Uhr)

Alt 26.03.2014, 13:46   #8
Rollator
 
Business - auf E-Mail Blacklist durch Trojaner Zeus? - Standard

Business - auf E-Mail Blacklist durch Trojaner Zeus?


Sooo... also wir denken, dass der Spuk jetzt vorbei ist. Seit 2 Tagen nicht mehr geblacklistet - und auch keine Anzeichen mehr dafür.

Laut unserem Admin haben wir nur 5 Rechner, die ohne Proxy mit Authentifizierung ins Netz dürfen. Diese wurden geprüft mit den Bot-Tools von www.botfrei.de und den Eset Online Scanner – seitdem ist Ruhe. Der Eset Scanner hat wohl als einziger etwas gefunden.

Sollte doch nochmal etwas passieren, melde ich mich nochmal - aber ich denke, es ist soweit erledigt. Vielen Dank für Euer Feedback.

PS: Übrigens sieht die Fehlermeldung von der Blacklist inzwischen anders aus - hier nochmal der Vollständigkeit halber:

Zitat:
IP Address XX.XXX.XXX.XX is not listed in the CBL.

It was previously listed, but was removed at 2014-03-24 09:47 GMT (2 days, 2 hours, 55 minutes ago)
At the time of removal, this was the explanation for this listing:

This IP address is infected with, or is NATting for a machine infected with a Trojan called Win32/Zbot (Microsoft), also known as "ZeuS" or "WSNPoem".

In this particular case, this host is infected with ZeuSv3, one of the most recent versions of ZeuS that is using peer-to-peer (P2P) command and control mechanisms. This version of Zeus is also known as "P2P ZeuS" or "Gameover malware".

ZeuSv3 takes advantage of P2P techniques by communicating with other nodes (=infected computers) on high ports (UDP and TCP).

To find an infected computer on a NATted network you will have to search through your firewall logs for connections from/to UDP port YYY.YYY.YYY.YYY. However, any process or host sending/receiving large numbers of UDP or TCP packets on high ports (10,000 and higher) should be looked at closely.

Zbot/Zeus is a banking trojan, and specializes in stealing personal information (passwords, account information, etc) from interactions with banking sites through the use of "formgrabs". Zeus is also a common vector for downloading and controlling of Cutwail (email spambot) and Pushdo (DDOS).

Further (technical) information about this Trojan type can be obtained here:

fbi.gov - Malware Targets Bank Accounts
abuse.ch - ZeuS Gets More Sophisticated Using P2P Techniques
cert.pl - ZeuS P2P+DGA variant mapping out and understanding the threat

Alt 26.03.2014, 13:56   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Business - auf E-Mail Blacklist durch Trojaner Zeus? - Standard

Business - auf E-Mail Blacklist durch Trojaner Zeus?


Was genau wurde von ESET gefunden?
Und wirklich nur auf einem Rechner?

Hat der Admin nur ESET durchlaufen lassen? Ich hoffe nicht, er sollte als Admin wissen, dass ein Virenscanner allein durchlaufen zu lassen nicht mal "Katzenwäsche" wäre
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 03.04.2014, 14:39   #10
max8787
 
Business - auf E-Mail Blacklist durch Trojaner Zeus? - Standard

Business - auf E-Mail Blacklist durch Trojaner Zeus?


Hallo Zusammen,

wir haben hier ein ähnliches Problem, seit dem 31.03.2014 werden wir von CBL gelistet.

Hier das Ergebnis vom Look-Up:

Zitat:
IP Address 31.3.84.114 is listed in the CBL. It appears to be infected with a spam sending trojan, proxy or some other form of botnet.

It was last detected at 2014-04-03 06:00 GMT (+/- 30 minutes), approximately 5 hours ago.

This IP is infected with, or is NATting for a machine infected with s_urlzone2

Note: If you wish to look up this bot name via the web, remove the "s_" before you do your search.

This was detected by observing this IP attempting to make contact to a s_urlzone2 Command and Control server, with contents unique to s_urlzone2 C&C command protocols.

This detection corresponds to a connection at 2014-04-03 06:10:03 (GMT - this timestamp is believed accurate to within one second).

These infections are rated as a "severe threat" by Microsoft. It is a trojan downloader, and can download and execute ANY software on the infected computer.

You will need to find and eradicate the infection before delisting the IP address.
Anhand der Firewall-Logs konnten wir einen infizierten Rechner identifizieren und haben diesen vom Netz genommen.

Leider wurden wir heute wieder gelistet, diesmal geben aber die Firewall-Logs nicht viel her.

Den bisher identifizierten PC einfach neu aufzusetzen macht derzeit nicht viel Sinn, da ja anscheinend noch mehr PCs inifziert sind.

Also bin ich jetzt auf der Suche nach einem Cleaner der den Virus identifizieren kann um zumindest heraus zu finden welche PCs betroffen sind.

MBAM hat leider nichts gefunden, ebensowenig ESET und SuperAntiSpyware.

Im nächsten Lauf werde ich GMER ausprobieren, Logs kann ich dann gerne posten.

Falls jemand einen ähnlichen Fall hat oder noch andere Lösungsansätze hat würde ich mehr sehr freuen.

Grüße
Max

Alt 04.04.2014, 15:00   #11
aysurfer
 
Business - auf E-Mail Blacklist durch Trojaner Zeus? - Standard

Business - auf E-Mail Blacklist durch Trojaner Zeus?


Hallo zusammen,
wir haben eine ähnliche Meldung aber bei uns ist es der Webserver der auf der Blacklist steht.

Der Server selbst wurde gescannt (ClamAV und Maldet) und keine Schadsoftware gefunden - ich bin sicher das der Trojaner/Virus auf einem Kunden PC ist, welcher über unseren Webserver Mails versendet.

Nur wie finde ich raus welcher Kunde / PC das ist?
Die Leute von der Blacklist: hxxp://cbl.abuseat.org haben auch keine Mailadresse wo man sich melden kann um detailliertere Informationen zu erhalten.

Bin für jeden Tip dankbar!

Alt 04.04.2014, 15:12   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Business - auf E-Mail Blacklist durch Trojaner Zeus? - Standard

Business - auf E-Mail Blacklist durch Trojaner Zeus?


Zitat:
wir haben eine ähnliche Meldung aber bei uns ist es der Webserver der auf der Blacklist steht.
Der Webserver läuft mit welchem OS?

Zitat:
Der Server selbst wurde gescannt (ClamAV und Maldet) und keine Schadsoftware gefunden
ClamAV hat miserable Erkennungsraten, Maldet kenn ich nicht

Zitat:
- ich bin sicher das der Trojaner/Virus auf einem Kunden PC ist, welcher über unseren Webserver Mails versendet..
Über euren Webserver??
Ist der Webserver ne eierlegende Wollmilchsau und ist nebenbei auch nochn Mailserver oder gar ein Proxy?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 04.04.2014, 15:59   #13
OlafKling
 
Business - auf E-Mail Blacklist durch Trojaner Zeus? - Standard

Business - auf E-Mail Blacklist durch Trojaner Zeus?


Wir haben auch diesen Trojaner gehabt und gefunden. Er schrieb bei uns unter User\Appdata\Roaming eine pplay.exe.

Da unser Webgateway fehlerhaft konfiguriert war, gingen einige Requests des Botnetzes durch und so landeten wir auf der CBL-Blacklist.
Anbei einige Zeilen aus dem Log:

2014:04:04-00:00:03 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://j9widqq2pqeqx.net/"
2014:04:04-00:00:08 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://amf1nzbhxuuww.com/"
2014:04:04-00:00:13 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://rxvqbhvz2mesr.net/"
2014:04:04-00:00:19 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://ru4wg2wjmh11d.com/"
2014:04:04-00:00:24 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://ka9rik1aqu5li.net/"
2014:04:04-00:00:24 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://fwdbp2rtl2wki.net/"
2014:04:04-00:00:29 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://w5ad4kdxwn99t.com/"
2014:04:04-00:00:34 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://zo3uwj4kqbnoucs.net/"
2014:04:04-00:00:39 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://deto9pgk4ymcasi.com/"
2014:04:04-00:00:44 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://vuu3gwm3wckhcdl.net/"
2014:04:04-00:00:49 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://jqu33333gu4crgs.com/"
2014:04:04-00:00:54 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://dpxh4y944rskcxe.net/"
2014:04:04-00:00:59 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://h9theyjceq4hw94.com/"
2014:04:04-00:01:04 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://2k3vg241f3.net/"
2014:04:04-00:01:09 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://moqolet9nqh5y.com/"
2014:04:04-00:01:14 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://bcdb3voawjl1o.net/"
2014:04:04-00:01:19 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://jbqe53bxtfru5.com/"
2014:04:04-00:01:24 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://qzhrs1wisa4kl.net/"
2014:04:04-00:01:29 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://zzg4osjwnxpmo.com/"
2014:04:04-00:01:34 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://559jxdcnbqiaj2.net/"
2014:04:04-00:01:39 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://49yfa5n1cmps.com/"
2014:04:04-00:01:44 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://tstax1qucnw2.net/"
2014:04:04-00:01:49 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://4jo21epqal.com/"
2014:04:04-00:01:54 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://km4uz4l2uoxyofx.net/"
2014:04:04-00:01:59 request blocked" profile="REF_DefaultHTTPProfile (Default Proxy)" url="https://u43tjtdellycxzx.com/"


Wir haben es gefunden, indem wir die Uhrzeit der CBL Alarmierung abgeglichen haben mit dem Webgateway Log. Es war nachts, der User hatte den PC angelassen, aber es sind tausende solche Einträge vorhanden gewesen. Deshalb, solltet Ihr ihn noch nicht gefunden haben, stellt die Uhr auf Eurem Gateway auf die Sekunde genau ein. CBL z.B. geht auch nach "Atomzeit". Und die Zeitverschiebung nicht vergessen, bei CBL momentan +2 Stunden zur GMT!

Der Trojaner wurde nicht mit Sophos und Kaspersky auf dem Client gefunden! Wir haben den Norton Power Eraser drüberlaufen lassen, der hat die EXE gefunden. Aber zur Sicherheit dann direkt geplättet!
Viele Grüße
Der Olaf

Alt 04.04.2014, 17:12   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Business - auf E-Mail Blacklist durch Trojaner Zeus? - Standard

Business - auf E-Mail Blacklist durch Trojaner Zeus?


Zitat:
Zitat von OlafKling Beitrag anzeigen
Es war nachts, der User hatte den PC angelassen, aber es sind tausende solche Einträge vorhanden gewesen.
Wir hat der User es denn geschafft seinen Rechner zu versauen?
Hat er lokale Adminrechte auf der Kiste oder fehlten wichtige Updates?
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Business - auf E-Mail Blacklist durch Trojaner Zeus?
bot, downloader, e-mail, email, fehlermeldung, finds, firewall, frage, gdata, help, infected, malware, net command, norton power eraser, opera, ponmocup, port, problem, proxy, proxy server, scan, server, software, system, temp, trojan, trojaner, viren, virus


« Webseitenangriff aus dem Tor Netzwerk. | De-Mail Sicherheit »


Ähnliche Themen: Business - auf E-Mail Blacklist durch Trojaner Zeus?


  1. IMAC OS X Version 10.8.6 Safari 5.1.10: Trojaner durch Mail & Media GmbH e-mail ?
    Plagegeister aller Art und deren Bekämpfung - 23.02.2015 (3)
  2. Telekom E-Mail 'zeuS' 'Zbot'
    Log-Analyse und Auswertung - 01.02.2014 (3)
  3. Telekom e-mail Zeus/ZBot
    Log-Analyse und Auswertung - 26.11.2013 (7)
  4. Win7: telekom E-Mail / ZeuS/ZBot-Schadprogramm
    Log-Analyse und Auswertung - 31.10.2013 (13)
  5. Trojaner Zeus/ZBot Telekom Abuse Brief und Mail
    Log-Analyse und Auswertung - 06.09.2013 (13)
  6. Verdacht auf ZeuS/ZBot aufgrund von Telekom-Mail
    Plagegeister aller Art und deren Bekämpfung - 24.05.2013 (14)
  7. Mail von 1&1: Zeus befindet sich auf Ihrem PC!
    Plagegeister aller Art und deren Bekämpfung - 16.05.2013 (13)
  8. ZeuS/Sbot - Telekom-mail - kein Fund
    Plagegeister aller Art und deren Bekämpfung - 29.11.2012 (24)
  9. E-mail von Internetanbieter, dass mein PC mit Trojaner ZeuS infiziert ist!
    Plagegeister aller Art und deren Bekämpfung - 07.03.2012 (4)
  10. Zeus-Trojaner, gmx-Mail
    Plagegeister aller Art und deren Bekämpfung - 21.06.2011 (6)
  11. Zeus Virus /Warnung durch web.de
    Plagegeister aller Art und deren Bekämpfung - 20.06.2011 (1)
  12. Zeus Virus durch web?
    Plagegeister aller Art und deren Bekämpfung - 16.01.2011 (51)
  13. e-mail missbrauch durch trojaner?
    Log-Analyse und Auswertung - 04.10.2010 (9)
  14. Trojaner durch Mail-Anhang (DHL)
    Plagegeister aller Art und deren Bekämpfung - 27.09.2009 (19)
  15. Trojaner durch angebliche GEZ Mail
    Plagegeister aller Art und deren Bekämpfung - 26.01.2007 (16)
  16. G Data Antivir Business / Mail + Anhang
    Antiviren-, Firewall- und andere Schutzprogramme - 26.01.2007 (3)
  17. Achtung Trojaner durch E-Mail
    Plagegeister aller Art und deren Bekämpfung - 26.01.2005 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Business - auf E-Mail Blacklist durch Trojaner Zeus? - Hallo, ich hoffe, das hier ist das passende Unterforum - das Problem ist zugegebenermaßen etwas speziell - aber bestimmt kennt sich jemand hier im Forum aus. Kurz zu uns: wir - Business - auf E-Mail Blacklist durch Trojaner Zeus?...
Archiv
Du betrachtest: Business - auf E-Mail Blacklist durch Trojaner Zeus? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55