Hallo

also momentan glaube ich, ich habe noch mal Glück gehabt.
Aber glauben heißt eben nicht wissen.
Es war diese "leider konnte Ihre Zahlung an Sofortüberweisung AG nicht abgebucht werden"
Mail von rechnung@sofort.org, am 14.08.18
- Ich kenne diese Mails - - erschreckend, wie blöd man sein kann -

Und zwar hatte ich, warum weiß ich nicht, zum Öffnen von Zip-Dateien ein Programm namens 7-Zip Console
als Standartprogramm festgelegt. Und die funktioniert anscheinend nicht,
und ich denke, hoffe, in diesem Fall auch nicht.
Es erscheint für einen Sekundenbruchteil dies längliche schwarze Fenster (Datei ?)
und sonst passiert nichts mehr, anscheinend.

1. Frage: weiß jemand, was diese 7-Zip Console macht. Ich habe im Web nichts gefunden.
(7-Zip Manager habe ich auch, aber nicht verwendet)
Wie sieht es aus wenn es funktioniert ? Erscheint zB noch ein Optionsfenster ?


Spybot findet nichts. (Panda Antivir vermutlich sowieso nicht)
Rootkit-Suche mit Spybot ergab u.a. 7 RegyKeys womit ich aber nichts anfangen kann (Log vorhanden).

Ich habe bisher keine ungewöhnlichen Aktivitäten feststellen können. ZB Task-Manager.
Obwohl ich allmählich anfange Flöhe husten zu hören.
Gehe ich recht in der Annahme, dass ich zumindest keinen Verschlüsselungstrojaner habe ?

2. Frage: Was ist das jetzt für ein "Ding" in dieser aktuellen Zip-Datei ?

Kann, soll ich euch die Mail inklusive Anhang weiterleiten ? markusg ?
- Ich hätte auch noch mehr - ältere -

Ein par Sachen hab ich im Forum schon gelesen.
Die Beiträge mit Sofortüberweisung AG sind alle schon etwas alt.


Viele Grüße
Bölke

Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.



Um die Bereinigung möchlichst effektiv und schnell gestalten zu können, bitte ich um Beachtung der folgenden Hinweise:

1. Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support unterbrechen bis jegliche Art von illegaler Software vom Rechner entfernt wurde.
   
   
2. Lies dir meine Anleitungen immer sorgfältig durch, arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab und poste immer alle Logdateien (auch wenn nichts gefunden wurde). Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
   
   
3. Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo. Solltest du einmal länger abwesend sein, so gib mir bitte Bescheid!
   
   
4. Während der Bereinigung bitte nichts installieren oder deinstallieren, außer ich bitte dich darum!
   Außerdem bitte ich dich, nicht eigenmächtig irgendwelche Sicherheitsprogramme auszuführen und damit deinen Rechner zu überprüfen/bereinigen, da ich so leicht den Überblick verlieren kann.
   Zudem hättest du dir das Eröffnen eines Themas in diesem Fall auch gleich sparen können, wenn du dann doch wieder alleine rumhantierst.
   
   
5. Bitte beachten: Download bei filepony.de: So ladet Ihr unsere Tools richtig!
   
   
6. Alle zu verwendenen Programme sind auf dem Desktop ( C:\users\dein Benutzername\Desktop\ ) abzuspeichern und von dort als Administrator zu starten!
   
   
7. Einige Programme, die wir hier verwenden, können unter Umständen von deinem Antiviren- oder Anti-Malwareprogramm fälschlicherweise als Bedrohung eingestuft werden. Die Sicherheitsprogramme können aufgrund eines bestimmten Programmverhaltens nicht zwischen "gut" oder "böse" unterscheiden und schlagen Alarm. Dabei handelt es sich um Fehlalarme, welche du getrost ignorieren kannst. Gegebenenfalls musst du deine Sicherheitssoftware vor der Ausführung eines Programms deaktivieren, damit unsere Bereinigungsvorgänge nicht beeinträchtigt werden.
   
   
8. Sollten die Logdateien einmal die zulässige Länge (~ 120.000 Zeichen) überschreiten, so teile die Logdateien auf mehrere Posts auf.
   Zur Not kannst du die Logdateien dann auch zippen (in ein .zip Archiv packen) und als Anhang hochladen.
   
   
9. Bitte arbeite so lange mit mir zusammen, bis ich dir sage, dass wir fertig sind und dein Rechner "sauber" ist. Das vorzeitige Verschwinden von Symptomen heißt nicht automatisch, dass dein Rechner bereits vollständig sauber ist.
   Du musst die hier verwendeten Programme NICHT selbst von deinem Computer entfernen. Das erledigt das TBCleanUpTool am Ende automatisch für dich.
   
   
10. In der Regel antworte ich dir innerhalb von 24 Stunden, oft sogar wesentlich schneller.
    Jedoch habe auch ich einen normalen Beruf und Familie. Ich bin daher nicht jeden Tag stundenlag hier im Forum unterwegs. Es kann unter Umständen bis zu 2 Tage dauern, bis du eine Antwort von mir erhältst. Sollte diese Zeit überschritten sein, so kannst du mir gerne eine PM als Erinnerung schicken.

Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab und poste alle Logdateien in CODE-Tags:

So funktioniert es:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert deinem Helfer massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu groß für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke aauf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Danke für deine Mitarbeit!







Schritt 1
Bitte als Erstes alle E-Mails und die dazugehörigen Anhänge, sowie bereits heruntergeladene Dateien, .zip-Archive, etc. sofort löschen.
Es handelt sich dabei um Malware.
Ob dein System infiziert wurde, werden wir überprüfen. Ich kenne nur 7 zip, evtl. ist das das Gleiche wie die 7 zip Console, werden ich aber noch überprüfen.






Schritt 2
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Bitte poste mit deiner nächsten Antwort

• eine Rückmeldung bezüglich der infizierten E-Mails, Anhänge und dazugehörigen Dateien,
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt).

Hallo Matthias

danke, dass du mir bei der Bereinigung meines Computers helfen willst.
Nur es steht doch noch gar nicht fest, dass das notwendig ist.

Hast du denn meinen Text eigentlich ganz durchgelesen ?
Ich habe mich bemüht keinen Roman zu scheiben und ein par klare Fragen zu stellen.
Ich fände es schon ok, wenn du versuchen würdest sie zu beanworten.
Das erspart uns doch vielleicht einen Haufen Arbeit.

Ok, du erwähnst kurz die 7-Zip Sache, aber das wäre wirklich schon mindestens die halbe Miete,
positiv zu wissen, dass man mit 7-Zip Console ganz einfach keine Zip-Dateien öffnen kann.
7-Zip ist sicher nicht das selbe wie 7-Zip Console, konntest du schon was rauskriegen?
Ich habe eigentlich 7-Zip 9.20. Wenn ich´Öffnen mit´ klicke kommt je nach dem zur Auswahl :
7-Zip Console, 7-Zip Manager, 7-Zip File Manager oder 7-Zip GUI.

Dann, fände ich es wirklich essenziell wichtig zu wissen, was für eine Art von Malware in dieser aktuellen Zip-Datei ist.
Interessiert euch das nicht ? Wisst ihr es schon ?
Warum nicht Mail an markusg@trojaner-board.de ?

Was meine anderen E-Mails mit Malware betrifft ist mir klar, dass damit nicht zu spaßen ist. Ich versichere euch aber, dass ich außer der genannten Datei keinen einzigen Anhang jemals versucht habe zu öffnen und auch keinen Link und das auch nie tun werde, und auch keine andere Person.(Nicht wirklich beruhigend). Die heruntergeladene Datei hab ich natürlich gelöscht. Die Mails sind alle in einem Ordner namens Extraspam bei Yahoo-Mail ()
Nur wenn ich die Mails jetzt alle lösche habe ich doch nichts mehr was ich der Polizei vorlegen könnte, nur als Beispiel, oder eben euch zur Analyse. Oder bei Virustotal; dazu bei Gelegenheit vielleicht noch ne Frage.

FRST hab ich.

Viele Grüße

Servus,

Zitat:

Nur es steht doch noch gar nicht fest, dass das notwendig ist.

Verstehe ich schon.
Nur anstatt nur lange "rumzureden", hättest du die Logdateien von FRST auch mitschicken können und ich könnte überprüfen, ob FRST eine Infektion anzeigt oder nicht. Zeitlich wäre dabei kein Unterschied gewesen, weil FRST nur wenige Minuten dauert.

Zitat:

Ich habe eigentlich 7-Zip 9.20. Wenn ich´Öffnen mit´ klicke kommt je nach dem zur Auswahl :
7-Zip Console, 7-Zip Manager, 7-Zip File Manager oder 7-Zip GUI.

7 zip ist 7 zip, es gibt da kein 2. Programm... aber mal ganz ehrlich... du verwendest die Version 9.2 ? Diese ist 8 Jahre alt... Mein Vorschlag: Deinstalliere 7 zip über die Systemsteuerung und installiere dir die neueste Version (18.05) von der offiziellen Homepage.

Ganz allgemein gesagt:
Nur weil ein .zip Archiv mit 7-zip geöffnet wird, heißt das nicht, dass die sich darin befindliche Datei auch ausgeführt wird. Sofern die ausführbare Datei selbst nicht von dir gestartet wird, besteht keine Gefahr.

Zitat:

Dann, fände ich es wirklich essenziell wichtig zu wissen, was für eine Art von Malware in dieser aktuellen Zip-Datei ist.
Interessiert euch das nicht ? Wisst ihr es schon ?
Warum nicht Mail an markusg@trojaner-board.de ?

Lade die .zip Datei bei VirusTotal hoch. Dort kannst du selbst überprüfen, welche Art von Malware es ist. Aber was bringt es dir oder mir, wenn du weißt, wie die Malware vom Virenscanner XY bezeichnet wird? Richtig... erst mal gar nichts.
Ich bekomme auch immer wieder mal (so ca. 5 mal im Jahr) solche E-Mails, welche ich sofort lösche. Ich habe nicht die Zeit, mich damit zu beschäftigen... und Interesse habe ich auch kein Großes daran.
Markusg ist schon seit langem nicht mehr auf dem TB aktiv...

Zitat:

ur wenn ich die Mails jetzt alle lösche habe ich doch nichts mehr was ich der Polizei vorlegen könnte, nur als Beispiel, oder eben euch zur Analyse. Oder bei Virustotal; dazu bei Gelegenheit vielleicht noch ne Frage.

Die Polizei (auch die Spezialisten) können niemals zurückverfolgen, woher die Malware kommt und diesbezüglich auch nie jemanden festnehmen. Das sind alles keine gewöhnliche Mail-Adressen... größtenteils von anderen infizierten Rechnern aus dem Ausland... ich weiß nicht, was du dir davon erhoffst...

Hallo Matthias

Zitat:

7 zip ist 7 zip

Ach ne !

Zitat:

Mein Vorschlag: Deinstalliere 7 zip über die Systemsteuerung und installiere dir die neueste Version

Da wäre ich jetzt im Leben nicht selbst drauf gekommen !
Und wozu, damit du das nächste mal auf jeden Fall deine Logdateien bekommst, oder wie.

Zitat:

Sofern die ausführbare Datei selbst nicht von dir gestartet wird, besteht keine Gefahr.

Eine wirklich brandneue Info !
Nur leider kannst du mir ja nicht sagen ob es sich vielleicht um Malware handelt, die sich selbst ausführt.
Geschweige denn wann sie aktiv wird und wie. Es interessiert dich halt nicht.


Eins ist ja wohl jetzt sonnenklar, dass du genau weißt was eigentlich mein Problem ist,
es aber systematisch vermeidest mir Informationen zu geben, mit denen ich etwas anfangen könnte.
Große Klasse, wirklich.


Was die FRST-Dateien betrifft auf die du so scharf bist,
tut es mir wirklich furchtbar leid dich enttäuschen zu müssen
Es ist mir suspekt und unsympatisch hier seitenweise Logdateien zu veröffentlichen, die dann nicht einmal mehr gelöscht werden können.

Viele Grüße hier auch an alle, die auch schon mal so was sagen wollten,
sich aus naheliegenden Gründen aber nicht getraut haben.

Ich hatte gehofft, dass ich hier im Forum jemand finde,
der sich mit meinem Problem beschäftigt und auf meine Fragen eingeht.
Wieder einer mehr, der diesbezüglich auf die Nase gefallen ist

Danke, dass du unsere Zeit verschwendest hast.

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM inklusive Link zum Thema.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.