|
Log-Analyse und Auswertung: Dropper DR/Gator.1050.17Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
04.07.2009, 12:29 | #1 | |||
| Dropper DR/Gator.1050.17 Hallo zusammen! Bekam von t-online eine mail, dass über meinen Anschluss spam versendet werde. Malwarebytes fand einen Dropper DR/Gator.1050.17, den ich in meiner Panik gelöscht habe, so dass er im malwarebytes-log jetzt leider nicht mehr zu sehen ist: Zitat:
Zitat:
Zitat:
Vielen lieben Dank schon mal im voraus! |
04.07.2009, 14:53 | #2 |
/// Malwareteam | Dropper DR/Gator.1050.17 Hallo Radieschen
__________________Bist Du Dir sicher dass diese Email von T-Online ist und nicht etwa selber eine SPAM Mail?? Kannst du das Email als Anhang mal einfügen? >> Welche Avira Version nutzt Du? 8 oder 9? >> mache einen Onlinescan mit eset + poste den report Eset - ESET Online Scanner Gruss Swiss |
05.07.2009, 12:26 | #3 |
| Dropper DR/Gator.1050.17 Die t-online mail ist denke ich kein spam:
__________________Code:
ATTFilter -----Original-Nachricht----- Betreff: [Abuse-ID:xxxxxxxxx] Account: xxxxxxxxxxxxxx-0001 Datum: Mon, 29 Jun 2009 09:46:27 +0200 Von: Deutsche Telekom Abuse-Team <abuse@t-online.de> An: xxxxxxxxxxxxx-0001@t-online.de Sehr geehrte Telekom Kundin, sehr geehrter Telekom Kunde, für Ihr Vertrauen in unser Unternehmen möchten wir uns herzlich bei Ihnen bedanken. Leider haben wir jedoch die Information erhalten, dass über Ihren Telekom Zugang unverlangte eMail-Werbung (sogenannter Spam) versendet wurde. Der Hinweisgeber sendete uns typischerweise einen eMail-Header (Kopfzeilen) der eMail mit. In jenem Header ist eine IP-Adresse mit Datum und Uhrzeit inklusive Zeitzone enthalten. Diese Daten haben wir ausgewertet und auf dieser Basis Ihren Account ermittelt. Erklärung: IP-Adresse (Internet Protokoll-Adresse) Eine IP-Adresse wird Ihnen bei jeder Einwahl ins Internet zugewiesen. Sie erhalten eine dynamische IP-Adresse, d.h. bei jeder neuen Einwahl ins Internet wird Ihnen eine zufällig ausgewählte IP-Adresse zugewiesen. Diese dient zur eindeutigen Adressierung von Rechner und Netzwergeräten, z.B. Ihrem Router. Die IP-Adresse besteht aus einer Zahlenfolge mit folgendem Aufbau: vier Zahlenblöcke mit jeweils vier Zahlen von 0 bis 255, durch einen Punkt getrennt (z. B. 212.185.47.88). Die IP-Adresse ist nicht zu verwechseln mit einer URL wie z. B. http://www.t-online.de. Die IP-Adresse entspricht funktional der Telefonnummer in einem Telefonnetz. Für die Versendung von Spam gibt es zwei mögliche Ursachen: - Die eMails wurden ohne Ihr Wissen von Dritten über Ihren Telekom Zugang gesendet - Sie haben diese eMails selbst über Ihren Telekom Zugang gesendet Wir weisen Sie in diesem Zusammenhang darauf hin, dass eine solche Inanspruchnahme unserer Funktionalitäten eine Beeinträchtigung Dritter und damit eine Verletzung Ihrer vertraglichen Pflichten gemäß unserer Allgemeinen Geschäftsbedingungen für Telekom Produkte und Tarife darstellt. Wir dürfen Sie daher auffordern, unsere Internetdienste in Zukunft im Einklang mit unseren Allgemeinen Geschäftsbedingungen zu nutzen. Falls Sie nicht wissen, wer die Spams über Ihren Telekom Zugang versendet hat, überprüfen Sie bitte umgehend Ihren Computer bzw. Ihr Netzwerk. Ist eine Fehlkonfiguration der Grund, muss der PC und die verwendeten Applikationen umgehend neu konfiguriert werden. Hinweise hierzu erhalten Sie in der Bedienungsanleitung der einzelnen Komponenten oder direkt beim jeweiligen Hersteller. Bei Netzwerken ist häufig ein falsch konfigurierter Proxyserver oder Router die Ursache. Mögliche Ursache für die Versendung von Spams bzw. allgemeinen Massenmails ohne Ihr Wissen können auch Schadsoftware (Viren oder Trojaner, Botnetze) sein. Wir bitten Ihren Rechner auch dahingehend zu prüfen. Falls Sie keinen Virenscanner haben, empfehlen wir Ihnen die Virenschutz-Software Norton AntiVirus (TM). Als Telekom Nutzer können Sie die Vollversion der Software ohne zusätzliche Kosten testen und Ihr Virus-Problem mit hoher Wahrscheinlichkeit beheben. Am Besten laden Sie sich Norton AntiVirus (TM) gleich unter folgendem URL herunter: http://service.t-online.de/c/75/87/73/7587730.html Weitere wichtige Informationen finden Sie auch im nachfolgenden "Merkblatt Sicherheit". Mit freundlichen Grüßen Ihr Abuse-Team http://www.t-online.de/abuse Products & Innovation Deutsche Telekom AG T-Online-Allee 1 D-64295 Darmstadt E-Mail abuse@t-online.de http://www.telekom.de Aufsichtsrat: Prof. Dr. Ulrich Lehner (Vorsitzender) Vorstand: René Obermann (Vorsitzender), Hamid Akhavan, Dr. Manfred Balz, Reinhard Clemens, Niek Jan van Damme, Timotheus Höttges, Guido Kerkhoff, Thomas Sattelberger Handelsregister: Amtsgericht Bonn HRB 6794, Sitz der Gesellschaft: Bonn USt.-IdNr. DE 123475223 Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte Informationen. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und löschen Sie diese E-Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser E-Mail und der darin enthaltenen Informationen sind nicht gestattet. This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and delete this e-mail. Any unauthorized copying, disclosure or distribution of the material in this e-mail is strictly forbidden. Hinweis: Bei weiteren Schriftwechseln übernehmen Sie für die zügige Bearbeitung bitte die Betreffzeile dieser E-Mail. Dieser Vorgang wird von der Abuse-Abteilung bearbeitet, die ausschließlich über die E-Mail-Adresse abuse@t-online.de zu erreichen ist. Die Kundenberater unseres Service Center Technik oder der Telekom Hotline können Ihnen in dieser Sache keine telefonischen oder schriftlichen Auskünfte erteilen. Hinweise zur Vorbeugung, Hintergrundinformationen und unsere Kontakt-Seite finden Sie online unter: http://www.t-online.de/abuse Merkblatt Sicherheit Ist Ihr Computer mit Schadsoftware (Viren, Würmer, Trojanische Pferde etc.) infiziert, so befindet er sich häufig nicht mehr unter Ihrer Kontrolle. Sobald eine Verbindung zum Internet besteht, können Hacker potentiell unerkannt auf Ihren Rechner und dessen Daten zugreifen und Ihre Internetverbindung missbrauchen: - Schadsoftware kann sich von Ihrem Rechner aus per E-Mail weiter verbreiten. Dies geschieht bei aktuellen Viren und Würmern unabhängig von den auf dem Rechner installierten E-Mail-Programmen bzw. den vom Benutzer registrierten E-Mail-Accounts. Die Schadsoftware verwendet dazu ein von ihr selbst installiertes Programm (eine sogenannte 'SMTPEngine'), welches seine Arbeit im Hintergrund und vom Benutzer unbemerkt verrichtet. - Massenmail-Versender (Spammer) können unbemerkt auf Ihren Rechner zugreifen und die Internetverbindung für die Verbreitung von Werbe-E-Mails in großer Anzahl benutzen. Spammer nutzen dafür die SMTP-Engine der Schadsoftware oder installieren und steuern über die im PC-Betriebssystem geöffneten Hintertüren eigene Programme. - In Ihrem Adressbuch und anderen Dateien gespeicherten E-Mail-Adressen können in die Hände von E-Mail-Massenversendern geraten und zur Belästigung durch unerwünschte Werbung (Spam) führen. - Schadsoftware kann Portscans ausführen, um nach anderen Rechnern mit Sicherheitslücken zu suchen und diese dann ebenfalls anzugreifen. - Der Rechner kann für Angriffe gegen Server (z. B. sogenannte 'DoS-Attacken') genutzt werden. Bei jeder Datenübertragung im Internet wird auch die bei der Einwahl zugewiesene und dem Zugang zugeordnete IPAdresse übermittelt. Wenn Sie von uns über einen von Ihrem Zugang ausgehenden und nicht von Ihnen selbst bzw. ohne Ihr Wissen verursachten Netzmissbrauch benachrichtigt werden, sollten Sie auch im eigenen Interesse sofort Gegenmaßnahmen ergreifen und das Sicherheitsproblem beheben: Unter www.t-online.de/sicherheitscheck bieten wir Ihnen einen kostenlosen Sicherheits-Check. Bitte beachten Sie dort auch die Hinweise unter "Hilfe". Werden Infektionen oder Sicherheitslücken gefunden, folgen Sie bitte unseren Hinweisen unter Punkt [1] dieses Schreibens. Greifen über ein Netzwerk oder einen Router mehrere Rechner auf Ihren Internetzugang zu, prüfen Sie bitte jeden dieser Rechner einzeln, wobei jeweils eine direkte Interneteinwahl hergestellt werden muss. Zuvor sollten die einzelnen Rechner vom Netzwerk getrennt (bzw. ausgeschaltet) werden. Sollten Sie den Sicherheits-Check online aus technischen Gründen nicht ausführen können, scannen Sie bitte alle Datenträger Ihres Rechners mit einem aktuellen Virenscanner. Stellen Sie dazu bitte sicher, dass die Virensignaturen nach Anleitung des Herstellers aktualisiert wurden. Sie können beispielsweise AntiVir, eine für den privaten Gebrauch kostenlose Antiviren-Software des Herstellers Avira, unter www.free-av.de herunterladen. Prüfen Sie bitte auch, ob Ihre Zugangsdaten von Dritten ohne Ihre Kenntnis verwendet werden könnten. Beachten Sie dazu bitte Punkt [2] dieses Schreibens. Eine weitere Ursache für unbefugte Zugriffe ist oft auch die "Datei- und Druckerfreigabe" des Betriebssystems. Unter [3] beschreiben wir, wie Sie diese deaktivieren können. Falls Sie einen Proxy-Server, Router oder privaten Mailserver betreiben, beachten Sie bitte besonders auch die Hinweise unter [4] und [5], sowie [6], falls Sie einen WLAN-Router betreiben. Wenn ein Fremdzugriff auf einen Rechner stattgefunden hat, ist es manchmal leider unumgänglich, das Betriebssystem vollständig neu zu installieren, da einige der durch Schadsoftware oder Eindringlinge vorgenommen Manipulationen nur mit Expertenwissen zu finden sind und nicht mit einfachen Mitteln entfernt werden können. Wir raten Ihnen, in einem solchen Fall einen Fachmann hinzuzuziehen. Wir bitten um Verständnis, dass wir für Fremdsoftware und Betriebssysteme selbst keine Unterstützung anbieten können. Wenden Sie sich bei technischen Fragen bitte an den Produkt-Support des Herstellers. Nützliche Informationsquellen zum Thema Sicherheit haben wir unter Punkt [7] zusammengefasst. Hinweise zur Vorbeugung, Hintergrundinformationen und unsere Kontakt-Seite finden Sie online unter: www.t-online.de/abuse Erläuterungen, Informationen und Hinweise: [1] Sie haben einen Virus, Wurm oder ein Trojanisches Pferd auf Ihrem Rechner installiert und es wurden "Hintertüren" (Backdoors) geöffnet. Grundsätzlich sollten Sie besser niemals Software oder Dateien aus unsicheren bzw. unbekannten Quellen verwenden. Falls Sie unerwartete E-Mails erhalten, öffnen Sie keinesfalls darin enthaltene Dateianhänge und ignorieren Sie auch Links in solchen Mails; selbst dann, wenn Ihnen der Absender vertraut ist, denn auch Bekannte könnten von einem Virus betroffen sein. Um Viren und anderen Schädlingen wirksam zu begegnen, bieten wir Ihnen unter www.t-online.de/sicherheit ein Sicherheitspaket an, welches die mehrfach ausgezeichnete Virenschutz-Software Norton 360 Version 2.0 und die Dialerschutz Software enthält. [2] Ihre Zugangsdaten (Anschlusskennung und persönliches Kennwort) sollten Sie stets unter Verschluss halten und unter keinen Umständen an Dritte weitergeben. Neue Zugangsdaten können Sie ganz einfach schriftlich mit dem Formular: ftp://software.t-online.de/pub/service/pdf/neue_tonline_zugangsdaten.pdf anfordern. Die Vergabe neuer Zugangsdaten und der Versand sind kostenfrei. Ihr persönliches Zugangskennwort können Sie im Kundencenter unter www.t-online.de/kundencenter jederzeit ändern. Bei Fragen hilft Ihnen unser Kundenservice gerne weiter: www.t-online.de/kontakt [3] Ist die "Datei- und Druckerfreigabe" in Windows aktiviert, so sind die Daten Ihrer Laufwerke eventuell für fremde Zugriffe weltweit freigegeben. Diese Freigabe sollte deaktiviert bzw. gegen unberechtigten Zugriff geschützt werden. Hilfe zur Konfiguration finden Sie in der Windows-Hilfe ("Start" > "Hilfe"), indem Sie dort einfach nach "Datei- und Druckerfreigabe deaktivieren" suchen. Ändern Sie anschließend bitte vorsorglich Ihr Zugangskennwort und fordern Sie ggf. neue Zugangsdaten wie unter [2] beschrieben an. [4] Bei Fehlkonfiguration eines Proxy-Servers oder Routers können Dritte unter Umständen Ihr System als Gateway nutzen und mit Ihrer Identität auf die Proxy-Server zugreifen. Bitte installieren und konfigurieren Sie grundsätzlich keine sicherheitskritische Software, bevor Sie deren Dokumentation nicht vollständig gelesen und verstanden haben. Berücksichtigen Sie bitte auch, dass Software oft fehlerbehaftet sein kann, besondere Kenntnisse zur Konfiguration notwendig sind und ggf. von den Herstellern herausgegebene Patches oder Updates regelmäßig installiert werden müssen. [5] Betreiben Sie einen privaten Mailserver oder Mailproxy, stellen Sie bitte sicher, dass Dritte nicht unberechtigt E-Mails über diesen Server versenden können. Nähere Angaben zur Konfiguration finden Sie in der Dokumentation und in FAQs zur Software. Beachten Sie bitte auch die Hinweise unter [4]. [6] Beim Betrieb eines WLAN-Routers ist eine Fehlkonfiguration des Accesspoints eine nahe liegende Ursache für unbefugte Zugriffe auf Ihren Rechner. Konfigurieren Sie Ihren Router in jedem Fall so, dass Dritte nicht von außen auf Ihr System und Ihre Internetverbindung zugreifen können. Details hierzu finden Sie gewöhnlich in der Produkt-Hilfe ("F1-Taste"), im Handbuch und den Internetseiten des Herstellers, sowie auf unseren Service-Seiten zum Thema WLAN unter http://service.t-online.de/c/16/06/37/14/16063714.html Für einen sicheren Betrieb sind folgende Einstellungen erforderlich: * SSID unterdrücken * WEP / WPA Verschlüsselung aktivieren * nur eigene MAC-Adressen zulassen * Router Zugang mit eigenem Passwort sichern [7] Weitere Informationen, Hilfen und aktuelle Hinweise zum Thema Sicherheit im Internet finden Sie unter www.t-online.de/sicherheit sowie im Bereich "Computer" auf www.t-online.de in der Unterrubrik "PC-Sicherheit" und z.B. auch auf den folgenden nützlichen Informationsseiten: www.bsi-fuer-buerger.de www.tu-berlin.de/www/software/security.shtml www.heise.de/security/artikel/knowhow/ www.heise.de/security/dienste/ www.microsoft.de/sicherheit/ In den Service-Foren und Newsgroups haben Sie die Möglichkeit, sich mit anderen Kunden u. a. über Sicherheits und Konfigurationsfragen auszutauschen. Sie erreichen die Service-Foren online unter www.forum.t-online.de. Die Benutzung des Usenet wird unter www.t-online.de/newsgroups ausführlich beschrieben. Dort finden Sie auch Newsgroups, die exklusiv Telekom Kunden vorbehalten sind. Wie geht's weiter? Liebe Grüße! |
05.07.2009, 21:12 | #4 |
/// Malwareteam | Dropper DR/Gator.1050.17 >> wende bitte den CCleaner an >> Rootkitsuche mit Gmer: Lade dir Gmer von Gmer.net und entpacke es auf dem Desktop. Beende alle Programme (Auch Antrivirenprogramme, Firewalls etc. Und trenne dich von Internet). Starte jetzt Gmer (Dein System wird nun kurz gescannt, falls GMER etwas findet klicke auf Ja, um einen vollständigen Scan zu machen). Drücke auf "Scan" (Falls dies nicht bereits gemacht wurde, weil etwas bei dem kurzen Scan gefunden wurde). Wenn der Scan fertig ist, drücke auf "Copy" Füge den Text hier im Board mit "STRG + V" ein >> Wende Combofix an und poste das Log: Gruss Swiss |
08.07.2009, 07:49 | #5 |
| Dropper DR/Gator.1050.17 CCleaner hatte ich schon angewendet. Gmer hat nichts gefunden. Combofix macht mir ehrlich gesagt etwas Angst. Deutet denn irgendetwas im hjt-file darauf hin, dass es nötig ist, Combofix anzuwenden - v.a., da ja der Rest der Programme nichts finden kann? Wie wäre es, ein oder zwei Wochen zu warten, mich dann mit der Telekom in Verbindung zu setzen, und zu sehen, ob immer noch spam über meinen account versendet wird? |
08.07.2009, 10:38 | #6 |
/// Malwareteam | Dropper DR/Gator.1050.17 Das Problem ist halt wenn Du teil eines Botnetzes bist... Nimm mal Kontakt mit der Telekom auf und schau was die sagen. Du kannst auch noch zur Sicherheit mit Superantispyware scannen. Gruss Swiss |
Themen zu Dropper DR/Gator.1050.17 |
adobe, anschluss, avira, bho, dateien, disabled.securitycenter, dll, excel, explorer, firefox, flash player, format, hkus\s-1-5-18, internet, internet explorer, internet explorer 8, launch, malwarebytes, messenger, microsoft, mp3, plug-in, programme, registrierungsschlüssel, rundll, security, software, spam, system, usb, windows internet, windows internet explorer, windows xp |