(Dummer weise hatte ich das Thema auch noch an der falschen Stelle eröffnet.)

Zeus, forschen, wer hat Interesse?

Ostersonntag, bin etwas müde, und dann das:

Ich habe für ein Forum (CB) eine extra Mailadresse, die nicht mit abgerufen wird, weil dort nur Mails aus dem Forum ankommen könnten. Ich war heute mit dem Webbrowser auf dem Mailkonto bei GMX:

- ein paar dubiose Mails
- eine Mail: "Hallo
Irgendwie haben wir mit Ihnen getroffen wurden, Ihre E-Mail verlassen Sie, ich sende euch meine neue Foto" mit Anhang Meprivateimage.zip.

Alles klar... (Wer hat die Mailadresse verraten?)


Natürlich lade ich die Zipdatei herunter. NIS 2014 sagt erst mal gar nichts.
Ich setzte NIS mit Rechtsklick auf die herunter geladene Datei an:
- NIS findet troja.zbat
- leitet mich zu einer Website mit weiteren Infos
- die Zip ist danach leer
- im gesamten Protokoll von NIS keinerlei Hinweis, in der Quarantäne nichts

Ich habe alles wiederholt - gleiches Ergebnis.

https://www.virustotal.com/de/file/ab97c6ba05b63f125dc442035aa127115806c12630526830b0dcba549e8759e8/analysis/1398018065/

Der Trojaner ist jetzt anscheinend im System.
Will jemand mit forschen?

Ich habe jetzt eine NBRT.iso auf dem PC. Die lässt sich nicht brennen, weil jetzt die Brenner außer Gefecht sind:

Dieses Hardwaregerät kann nicht gestartet werden, da dessen Konfigurationsinformationen (in der Registrierung) unvollständig oder beschädigt sind. (Code 19)

lol

Wenn es nicht interessiert, spiele ich ein Backup zurück. Auf dem PC ist noch ein Windows 8.1, von dem aus ich etwas machen könnte.
Einen 2. PC habe ich auch noch, bis jetzt nicht gestartet.

Zitat:

Zitat von verstehnix

- NIS findet troja.zbat

falsch, trojan.zbot

Eine Boot-CD von Kaspersky hat bisher nichts gefunden. Die Zipdatei wurde erkannt als Virus. Dann verstehe ich erst mal nicht, warum NIS 2014 nichts im Log hat, und was mit den Brennern ist.

Ist zbot eig. Ein RAT oder ein botnet?

Poste doch mal ein FRST64-Log, GMER kannste auch gleich noch laufen lassen...
Dennoch seltsam, dass die ZIP-Datei leer war und du trotzdem was im System hast - hänge die ZIP-Datei vielleicht mal kennwortgeschützt an (Kennwort="malware" oder "infected" oder so), würde mich mal interessieren..

Grüsse - Microwave

Zu spät...
Ich hatte gestern noch ein Backup (Acronis) von diesem System gemacht und ein Backup vom Mittwoch zurück gespielt. Danach hat der MBR-Schutz im Bios gepiepst. Das habe ich zuerst mit F1 zum Starten gebracht und später über F2 den neuen alten MBR genehmigt.

Eben habe ich mit der Console auf der Install-DVD
> bootrec /fixmbr
und
> bootrec /fixboot
gemacht.

Jetzt pieps das Bios wieder.

Vermutlich höre ich ja nur die Flöhe husten.

Die Zip-Datei ist noch bei GMX auf dem Mailserver.
Das Verschicken bzw. "Verschenken" so einer Datei halte ich für etwas problematisch. Man weiß ja nicht...

Nochmal, wenn ich die Datei heruntergeladen habe, hat sie 90MB. Nach dem Scan mit NIS 2014 über das Kontextmenü mit Rechtsklick jault NIS kurz auf und die Zip hat nur noch ein 1KB. Der Inhalt ist weg. Wohin?! In der Quarantäne ist nichts und im Protokoll von NIS steht auch nichts. Dabei protokolliert NIS sonst jeden Pups, jedes Cookie.

Nach dem Restore des Backups hatte ich einen Fullscan gestartet und während dem noch ganz schnell 2 Exemplare der Zip gelöscht, damit NIS nicht wieder... Jetzt lade ich die Datei erst mal nicht wieder herunter. Was soll ich damit, wenn ich sie vllt nicht mal scannen darf?

Gestern waren alle 2 DVD-Brenner blockiert:
- eine GEARAspiWDM.sys war ganz neu
- in der Registry war ein Schlüssel UpperFilters bei der DVD

https://www.google.de/search?q=GEARAspiWDM.sys
https://www.google.de/search?q=upperfilters+dvd+drive+registry

Nach dem Restore des Mittwoch-Backups war das auch wieder ok.

Also, wenn sich der Trojaner schon durch das Scannen mit NIS - während des Scans - enfalten würde und dann solche Tricks auf Lager hätte, dann wäre das schon genial. Deshalb habe ich ja gestern ganz schnell, Hals über Kopf, das Thema hier aufgemacht...

Ich hätte jemanden gebrauchen können, der mich erst mal runter kühlt. Jedenfalls traue ich nicht einmal jetzt meinem PC - zumindest nicht diesem System W8.1.1. Es ist ja noch ein W8.1.1 drauf. Ob eventuell der Trojaner - falls überhaupt einer da ist oder da war - auch das andere System erwischt hat...

Ich hatte von dem 2. Sys aus die Part. vom 1. Sys mit MS Defender gescannt - nix. Die Kaspersky-Rescue-Disk hatte auch nichts gefunden außer den Zip-Dateien, an die ich noch extra die Endungen .VORSICHT gehängt hatte. Da war Kaspersky ja ganz gut...

Ich hätte gerne jemanden im Internet gefunden, der genau weiß, was dieser Trojaner alles drauf hat. Eine komplette Neuinstallation von W8.1.1 - falls ich mal bequem an eine DVD komme - ist bestimmt schneller und einfacher als die "Forschung".

Es gibt sehr viele Zeus analysen im Internet, wenn dich das interessiert.
Google einfach mal Zeus analysis und du findest genug.

Ohne Logs des infizierten Systems kann man nur spekulieren.
Wahrscheinlich ist es eine neuere Variante des Zeusbots. Die Angriffs- und Verschleierungsmethoden der Viren werden immer ausgefeilter.
Ich habe irgendwo schonmal gelsen, dass einige Trojaner durch das Kontextmenü (Rechtsklick) bereits aktiviert werden können. Dann hat sich der Trojaner bzw. das ganze Malwarepaket vermutlich in das Systemverzeichnis kopiert und die heruntergeladene Datei anschließend gelöscht.
Die Frage ist auch, war es wirklich eine Zip-Datei oder eine getarnte Exe.Datei ?

Zitat:

Zitat von Microwave

Dennoch seltsam, dass die ZIP-Datei leer war und du trotzdem was im System hast - hänge die ZIP-Datei vielleicht mal kennwortgeschützt an (Kennwort="malware" oder "infected" oder so), würde mich mal interessieren..

Schade. Nachdem ich ein paar Beiträge von dir gelesen habe, hätte ich sie dir gerne geschickt. Aber ich habe alle diese Zips auf meinem PC und auch das komplette Email-Konto gelöscht. Das große Forum, für das das Emailkonto extra angelegt war, ist mir suspekt.

Die Zips hatten nach dem Download ca. 90KB. Wenn ich Norton IS mit Rechtsklick auf eine angesetzt hatte, dann hatten sie danach nur noch 1KB und waren leer. Die haben also NIS beim Scan von innen überwältigt und zuerst ihre Spur gelöscht. Vermutlich hätte spätestens ein wöchentlicher Fullscan über das System in einer komplett herunter geladenen Mail sogar den Trojaner aktiviert. Das AV-Programm wäre dann kein Schutz vor, sondern der Starter _für_ den Trojaner.

Für die Vorfälle gab es keine Protokolleinträge bei NIS. Der eicar-Testvirus hat sofort einen Eintrag mit einem roten Punkt bewirkt.

Es muss schon ein paar Tage vor mir jemand nach dem Mailanhang gesucht haben:
hxxp://r.virscan.org/ba7ea7279cd2f7898d42ae7d7f72ef5d
Scan Ergebnis : 3% der Scanner (1/37) haben Malware gefunden!
Zeit : 2014/04/08 20:07:12 (CEST)

Die Mail in meinem Postfach war auch vom 2014/04/08.

Ich hätte meine Frage gleich besser formulieren und nach allgemein erkennbaren Symptomen für einen Befall mit diesem Trojaner fragen sollen. Die blockierten DVD-Laufwerke könnten ein Symptom sein, die geänderte Datei GEARAspiWDM.sys und der fehlende Protokolleintrag.

Öhm... Schau mal bitte bei Virustotal wegen der Datei, da scannen mehr AVP's. Das was Avira da zeigt, sieht mir nach einem Fehlalarm aus.

Zitat:

Zitat von verstehnix

https://www.virustotal.com/de/file/ab97c6ba05b63f125dc442035aa127115806c12630526830b0dcba549e8759e8/analysis/1398018065/

Ich hatte 2 Mal bei Virustotal geschaut, später am 20.04.2014. Da haben 30 von 50 Scannern etwas gefunden. Avira war der erste. (Ich weiß, dass Avira manchmal Fehlalarme liefert.)

Jetzt habe ich kein Material mehr zum Scannen. Ich hätte die Zip-Datei vielleicht mit Acronis noch mal packen lassen sollen. Ich hatte bisher noch nie so etwas. Mir fehlt die Routine. Man kann nur hoffen, dass durch das Hochladen zu den Scannern diese Variante des Trojaners
jetzt besser erkannt und entfernt wird. Aber dafür kommen täglich tausend neue...

Nach wie vor ziemlich strange..
Vielleicht wurde die Zip-Datei derart präpariert, dass es in Norton einen sog. Pufferüberlauf gab und beliebiger Code ausgeführt werden konnte (Bei AVs ist es angeblich gang und gäbe, ohne ASLR zu kompilieren..)
Du hättest auch einfach erst mal die Datei im Explorer öffnen können..da sollte nichts passieren.
Ob du tatsächlich eine .zip oder eine getarnte .exe hast, lässt sich am Kontextmenü herausfinden (bei .zip darf kein "Ausführen als Administrator" stehen...)

Du sagst, dass der Ordner dann leer war. Könnte es nicht einfach sein, dass Norton den Trojaner direkt aus der .zip-Datei gelöscht/in Quarantäne verschoben hat, ohne dir dies mitzuteilen/es zu loggen?


Grüsse - Microwave

Pufferüberlauf: Genau das hatte ich auch gedacht.
AV ohne ASLR: Bei mir läuft zwar EMET, aber nun manuell die AV-Maschine mit einbeziehen - ich weiß nicht...
Dateiendung: Ich habe extra einen Ordner angelegt. In dem sehe ich jetzt Dateien, Neues Textdokument.txt von mir und die leere Meprivateimage.zip . Ich stelle die Extensions immer auf sichtbar. Das Icon hat auch den Reißverschluss.

Ich hatte den Inhalt der Zip im Protokoll unter Quarantäne gesucht. Da war nichts. NIS löscht wohl High Risiko immer gleich. Aber eine Information über den Vorfall konnte _ich_ später leider auch nicht finden. Ob ich in der Rage nicht richtig geguckt habe... NIS hatte direkt ein Meldungsfenster über einen gefundenen Trojaner geöffnet und mich auf seine Website mit Infos über trojan.zbot geführt.

Dann wurde mir von NIS noch der Download einer Rescue-CD angeboten. Die GUI von dem Downloadtool wirkte aber auch vermurkst. Ein Button war deaktiviert... Als ich dann die iso-Datei hatte, ließ die sich nicht brennen. Im Gerätemanager waren Gerätefehler beim internen Brenner und beim USB-Brenner angezeigt. Ich sehe alle 1 bis 3 Wochen routinemäßig in den Gerätemanager - seit Jahren niemals das geringste Problem.

Ich war immer als User ohne Adminrechte angemeldet. Wie Du sagst, ziemlich strange... Ob ich da gerade einen rabenschwarzen Tag hatte...

Neulich kam bei einer noch älteren Dame, zufällig gerade als wir dort waren, eine dubiose Rechnung. Die haben wir samt Anhang sofort gelöscht.

Das einzige, was ich von meinem Trojaner jetzt noch habe, ist eine Textdatei mit der Kopie des Textes der Mail mit der Absenderadresse und etlichen Adressen, an die der Trojaner auch geliefert wurde. Von denen hätte sich ja auch mal jemand bei mir melden können. Und dann habe ich noch das Image der Systempartition von Acronis, eine tib-Datei, mit dem eventuell infizierten System. Das könnte ich im Extremfall restoren oder mounten.

Vorschlag:
Eine extra Mailadresse bei GMX anlegen, in "dem" Forum anmelden, etliche unbeliebte Beiträge schreiben und abwarten. Bei mir hatte das schon 2 Mal "Erfolg".

1. Das nächste mal etwas vorsichtiger und misstrauischer sein!
2. Genau versteh ich jetzt nicht mehr was übrig ist. Die Mail wird es evt. noch im GMX Postfach geben, selbst wenn du sie gelöscht hast, werden die gelöschten Mails für ein paar Tage im Gelöscht-Ordner abgelegt. Boote mit einer LiveCD (ein UNIX-System bitte z.B. Ubuntu, Knoppix, etc.) und downloade die Datei. Da es sich um ein LiveSystem handelt, werden hier keine Daten persistent gespeichert (außer du legst sie irgendwo bei dir in dein Windows-Filesystem). Alle Maßnahmen, die du an deinem LiveSystem ausführst sind ausschließlich temporär d.h. deine installierten System bleiben davon unangetastet (außer du führst explizit Änderungen an deinen lokalen Systemen aus). Interessehalber kannst du dann auch mal in die Zip-Datei reinschauen, ob sie leer ist und welchen Inhalt sie hat.
3. Kannst du sie an:

• Avira: https://analysis.avira.com/de/submit
• Microsoft: https://www.microsoft.com/security/p...on/submit.aspx
• Kaspersky: Benötigt man einen Account.

verschicken.
Du wirst per Mail erfahrungsgemäß nach 2 Tage eine Benachrichtigung über das Ergebnis bekommen.

Zitat:

Zitat von Jig Saw

1. Das nächste mal etwas vorsichtiger und misstrauischer sein!

Danke Jig Saw, dass du mich noch mal erinnert hast. Es kommen doch immer noch neue Gedanken.

Ich hatte mich doch direkt gefreut über die Trojanermail.

Das Mailkonto hatte ich extra angelegt für wieder mal eine Anmeldung bei einem großen deutschen Computerforum. Vor einiger Zeit hatten die schon mal eine spezielle Mailadresse von mir "entfleuchen" lassen. Jetzt wieder. Zuerst kam Spam mit Geldangeboten "Jetzt haben sie uns erwischt!", "Nur noch ein paar Tage!", "Letzte Chance!" und solcher Blödsinn.

Am 8.4. kam die Trojanermail, die ich am 20.4. erst gesehen habe. Inzwischen wurde mein Account in dem Forum gesperrt und ich habe dieses Emailkonto bei GMX komplett deaktivieren, sperren, löschen lassen.

...
(Mein Provider, Versatel, hat heute leichte Probleme...)

Ich habe also hoch erfreut den Mailanhang mit dem vermuteten Trojaner herunter geladen und von Symantec Norton Internet Security scannen lassen. NIS hat den Trojaner sofort erkannt, aber später haben sich keinerlei Meldungen finden lassen, die Zip-Datei war danach leer und mein PC hat sich etwas ungewohnt verhalten.

Es gibt einen Testvirus eicar:

hxxp://www.eicar.org/86-0-Intended-use.html

Einfach die Zeichenkette in eine Textdatei kpoieren.

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Bei so einer Datei muss jedes AV-Programm sofort Alarm schlagen.

Ich kann die Testdatei kaum erstellen, ohne dass NIS sich dazwischen wirft und sie sofort löscht. Dann finden sich aber überall die erwarteten Meldungen.

Heute bin ich noch einen Schritt weiter gegangen. Dazu musste ich NIS vorübergehend deaktivieren. Ich habe einen Zip-Ordner eicar.zip erstellt und die Datei eicar.txt in den Ordner kopiert. Diesen Ordner habe ich von NIS scannen lassen. Es kam Alarm, der Ordner ist leer, aber die Datei eicar.txt ist in der Quarantäne und an einigen Stellen des GUI von NIS stehen deutliche Hinweise auf den Vorgang. Das ist anders als bei dem Trojaner.

Ich habe immer noch das Gefühl, dass NIS während des Scannens von trojan.zeus quasi von innen durch einen Pufferüberlauf überwältigt wurde und mein PC infiziert wurde.

Ich könnte jetzt das gesicherte Image des vermeintlich infizierten Systems mounten und scannen lassen. Mein Wagemut und meine Neugier haben aber auch ihren Grenzen.

Ich rate dir, dich ein wenig hier umzusehen und zu recherchieren. Zusätzlich hier noch ein paar Links an die Hand:

• Aktuelle Diskussion: http://www.trojaner-board.de/152133-...er-wissen.html
• Neuaufsetzen: http://www.trojaner-board.de/51262-a...sicherung.html
• Absicherung: http://www.trojaner-board.de/96344-a...-rechners.html

Quintessenz ist, dass nicht "irgendein doofes Betriebssystem" dran Schuld ist, dass es so viele Infektionen gibt, sondern einfach unbedachte und naive User. Du kannst hier auch gerne die Boardsuche verwenden und Mal nach "Welches ist das beste Antivirus" etc. suchen. Fazit ist, dass wenn ein Antivirenprogramm Alarm schlägt (kein false positive) es sowieso schon zu spät ist und man meistens selbst etwas verbockt hat. Deswegen einfach nicht in Zukunft auf NIS oder sonstige andere Programme verlassen.

Soweit ich das jetzt verstanden habe, hast du ein sauberes System. Mit dem sauberen System meine ich ein wirklich frisches Windows ohne infizierte Dateien, wenn nicht dann befolge den Link oben zur Absicherung. Wenn du all das verstanden hast, wird es dir ziemlich egal sein was NIS von sich gibt, denn wenn es sich meldet, dann ist man meist selbst Schuld. Das steht aber auch in den beiden Links.

Ja, das System sollte nach dem Restore eines Backups wieder sauber sein.

Das halte ich in meinem Fall für ein Symptom:

Zitat:

Zitat von verstehnix

die geänderte Datei GEARAspiWDM.sys und der fehlende Protokolleintrag.

GEARAspi Security Information
Driver updates - GEAR Software

hxxp://www.gearsoftware.com/support/GEARAspi%20Security%20Information.pdf