| |
| |||||||
Log-Analyse und Auswertung: Dropper DR/Gator.1050.17Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
04.07.2009, 12:29
| #1 | |||
| |  Dropper DR/Gator.1050.17 Hallo zusammen! Bekam von t-online eine mail, dass über meinen Anschluss spam versendet werde. Malwarebytes fand einen Dropper DR/Gator.1050.17, den ich in meiner Panik gelöscht habe, so dass er im malwarebytes-log jetzt leider nicht mehr zu sehen ist: Zitat:
Zitat:
Zitat:
Vielen lieben Dank schon mal im voraus!  |
|
04.07.2009, 14:53
| #2 |
| /// Malwareteam   | Dropper DR/Gator.1050.17 Hallo Radieschen
__________________Bist Du Dir sicher dass diese Email von T-Online ist und nicht etwa selber eine SPAM Mail?? Kannst du das Email als Anhang mal einfügen? >> Welche Avira Version nutzt Du? 8 oder 9? >> mache einen Onlinescan mit eset + poste den report Eset - ESET Online Scanner Gruss Swiss |
|
05.07.2009, 12:26
| #3 |
| | Dropper DR/Gator.1050.17 Die t-online mail ist denke ich kein spam:
__________________Code:
ATTFilter -----Original-Nachricht-----
Betreff: [Abuse-ID:xxxxxxxxx] Account: xxxxxxxxxxxxxx-0001
Datum: Mon, 29 Jun 2009 09:46:27 +0200
Von: Deutsche Telekom Abuse-Team <abuse@t-online.de>
An: xxxxxxxxxxxxx-0001@t-online.de
Sehr geehrte Telekom Kundin,
sehr geehrter Telekom Kunde,
für Ihr Vertrauen in unser Unternehmen möchten wir uns herzlich bei
Ihnen bedanken.
Leider haben wir jedoch die Information erhalten, dass über Ihren
Telekom Zugang unverlangte eMail-Werbung (sogenannter Spam) versendet
wurde.
Der Hinweisgeber sendete uns typischerweise einen eMail-Header
(Kopfzeilen) der eMail mit. In jenem Header ist eine IP-Adresse mit
Datum und Uhrzeit inklusive Zeitzone enthalten. Diese Daten haben wir
ausgewertet und auf dieser Basis Ihren Account ermittelt.
Erklärung:
IP-Adresse (Internet Protokoll-Adresse)
Eine IP-Adresse wird Ihnen bei jeder Einwahl ins Internet zugewiesen.
Sie erhalten eine dynamische IP-Adresse, d.h. bei jeder neuen Einwahl
ins Internet wird Ihnen eine zufällig ausgewählte IP-Adresse
zugewiesen. Diese dient zur eindeutigen Adressierung von Rechner und
Netzwergeräten,
z.B. Ihrem Router. Die IP-Adresse besteht aus einer Zahlenfolge mit
folgendem Aufbau: vier Zahlenblöcke mit jeweils vier Zahlen von 0 bis
255, durch einen Punkt getrennt (z. B. 212.185.47.88). Die IP-Adresse
ist nicht zu verwechseln mit einer URL wie z. B. http://www.t-online.de.
Die IP-Adresse entspricht funktional der Telefonnummer in einem
Telefonnetz.
Für die Versendung von Spam gibt es zwei mögliche Ursachen:
- Die eMails wurden ohne Ihr Wissen von Dritten über Ihren Telekom
Zugang gesendet
- Sie haben diese eMails selbst über Ihren Telekom Zugang gesendet
Wir weisen Sie in diesem Zusammenhang darauf hin, dass eine solche
Inanspruchnahme unserer Funktionalitäten eine Beeinträchtigung Dritter
und damit eine Verletzung Ihrer vertraglichen Pflichten gemäß unserer
Allgemeinen Geschäftsbedingungen für Telekom Produkte und Tarife
darstellt.
Wir dürfen Sie daher auffordern, unsere Internetdienste in Zukunft im
Einklang mit unseren Allgemeinen Geschäftsbedingungen zu nutzen.
Falls Sie nicht wissen, wer die Spams über Ihren Telekom Zugang
versendet hat, überprüfen Sie bitte umgehend Ihren Computer bzw. Ihr
Netzwerk. Ist eine Fehlkonfiguration der Grund, muss der PC und die
verwendeten Applikationen umgehend neu konfiguriert werden. Hinweise
hierzu erhalten Sie in der Bedienungsanleitung der einzelnen
Komponenten oder direkt beim jeweiligen Hersteller. Bei Netzwerken ist
häufig ein falsch konfigurierter Proxyserver oder Router die Ursache.
Mögliche Ursache für die Versendung von Spams bzw. allgemeinen
Massenmails ohne Ihr Wissen können auch Schadsoftware (Viren oder
Trojaner, Botnetze) sein. Wir bitten Ihren Rechner auch dahingehend zu
prüfen.
Falls Sie keinen Virenscanner haben, empfehlen wir Ihnen die
Virenschutz-Software Norton AntiVirus (TM). Als Telekom Nutzer können
Sie die Vollversion der Software ohne zusätzliche Kosten testen und Ihr
Virus-Problem mit hoher Wahrscheinlichkeit beheben.
Am Besten laden Sie sich Norton AntiVirus (TM) gleich unter folgendem
URL herunter: http://service.t-online.de/c/75/87/73/7587730.html
Weitere wichtige Informationen finden Sie auch im nachfolgenden
"Merkblatt Sicherheit".
Mit freundlichen Grüßen
Ihr Abuse-Team
http://www.t-online.de/abuse
Products & Innovation
Deutsche Telekom AG
T-Online-Allee 1
D-64295 Darmstadt
E-Mail abuse@t-online.de
http://www.telekom.de
Aufsichtsrat: Prof. Dr. Ulrich Lehner (Vorsitzender)
Vorstand: René Obermann (Vorsitzender), Hamid Akhavan, Dr. Manfred Balz,
Reinhard Clemens, Niek Jan van Damme, Timotheus Höttges, Guido Kerkhoff,
Thomas Sattelberger
Handelsregister: Amtsgericht Bonn HRB 6794, Sitz der Gesellschaft: Bonn
USt.-IdNr. DE 123475223
Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte
Informationen. Wenn Sie nicht der richtige Adressat sind oder diese
E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den
Absender und löschen Sie diese E-Mail. Das unerlaubte Kopieren sowie die
unbefugte Weitergabe dieser E-Mail und der darin enthaltenen
Informationen sind nicht gestattet.
This e-mail may contain confidential and/or privileged information. If
you are not the intended recipient (or have received this e-mail in
error) please notify the sender immediately and delete this e-mail. Any
unauthorized copying, disclosure or distribution of the material
in this e-mail is strictly forbidden.
Hinweis:
Bei weiteren Schriftwechseln übernehmen Sie für die zügige Bearbeitung
bitte die Betreffzeile dieser E-Mail. Dieser Vorgang wird von der
Abuse-Abteilung bearbeitet, die ausschließlich über die E-Mail-Adresse
abuse@t-online.de zu erreichen ist. Die Kundenberater unseres Service
Center Technik oder der Telekom Hotline können Ihnen in dieser Sache
keine telefonischen oder schriftlichen Auskünfte erteilen.
Hinweise zur Vorbeugung, Hintergrundinformationen und unsere
Kontakt-Seite finden Sie online unter: http://www.t-online.de/abuse
Merkblatt Sicherheit
Ist Ihr Computer mit Schadsoftware (Viren, Würmer, Trojanische Pferde
etc.) infiziert, so befindet er sich häufig nicht mehr unter Ihrer
Kontrolle. Sobald eine Verbindung zum Internet besteht, können Hacker
potentiell unerkannt auf Ihren Rechner und dessen Daten zugreifen und
Ihre Internetverbindung missbrauchen:
- Schadsoftware kann sich von Ihrem Rechner aus per E-Mail weiter
verbreiten. Dies geschieht bei aktuellen Viren und Würmern unabhängig
von den auf dem Rechner installierten E-Mail-Programmen bzw. den vom
Benutzer registrierten E-Mail-Accounts. Die Schadsoftware verwendet
dazu ein von ihr selbst installiertes Programm (eine sogenannte
'SMTPEngine'), welches seine Arbeit im Hintergrund und vom Benutzer
unbemerkt verrichtet.
- Massenmail-Versender (Spammer) können unbemerkt auf Ihren Rechner
zugreifen und die Internetverbindung für die Verbreitung von
Werbe-E-Mails in großer Anzahl benutzen. Spammer nutzen dafür die
SMTP-Engine der Schadsoftware oder installieren und steuern über die im
PC-Betriebssystem geöffneten Hintertüren eigene Programme.
- In Ihrem Adressbuch und anderen Dateien gespeicherten E-Mail-Adressen
können in die Hände von E-Mail-Massenversendern geraten und zur
Belästigung durch unerwünschte Werbung (Spam) führen.
- Schadsoftware kann Portscans ausführen, um nach anderen Rechnern mit
Sicherheitslücken zu suchen und diese dann ebenfalls anzugreifen.
- Der Rechner kann für Angriffe gegen Server (z. B. sogenannte
'DoS-Attacken') genutzt werden.
Bei jeder Datenübertragung im Internet wird auch die bei der Einwahl
zugewiesene und dem Zugang zugeordnete IPAdresse übermittelt. Wenn Sie
von uns über einen von Ihrem Zugang ausgehenden und nicht von Ihnen
selbst bzw. ohne Ihr Wissen verursachten Netzmissbrauch benachrichtigt
werden, sollten Sie auch im eigenen Interesse sofort Gegenmaßnahmen
ergreifen und das Sicherheitsproblem beheben:
Unter www.t-online.de/sicherheitscheck bieten wir Ihnen einen
kostenlosen Sicherheits-Check. Bitte beachten Sie dort auch die
Hinweise unter "Hilfe". Werden Infektionen oder Sicherheitslücken
gefunden, folgen Sie bitte unseren Hinweisen unter Punkt [1] dieses
Schreibens. Greifen über ein Netzwerk oder einen Router mehrere Rechner
auf Ihren Internetzugang zu, prüfen Sie bitte jeden dieser Rechner
einzeln, wobei jeweils eine direkte Interneteinwahl hergestellt werden
muss. Zuvor sollten die einzelnen Rechner vom Netzwerk getrennt (bzw.
ausgeschaltet) werden.
Sollten Sie den Sicherheits-Check online aus technischen Gründen nicht
ausführen können, scannen Sie bitte alle Datenträger Ihres Rechners mit
einem aktuellen Virenscanner. Stellen Sie dazu bitte sicher, dass die
Virensignaturen nach Anleitung des Herstellers aktualisiert wurden. Sie
können beispielsweise AntiVir, eine für den privaten Gebrauch
kostenlose Antiviren-Software des Herstellers Avira, unter
www.free-av.de herunterladen.
Prüfen Sie bitte auch, ob Ihre Zugangsdaten von Dritten ohne Ihre
Kenntnis verwendet werden könnten. Beachten Sie dazu bitte Punkt [2]
dieses Schreibens. Eine weitere Ursache für unbefugte Zugriffe ist oft
auch die "Datei- und Druckerfreigabe" des Betriebssystems. Unter [3]
beschreiben wir, wie Sie diese deaktivieren können.
Falls Sie einen Proxy-Server, Router oder privaten Mailserver
betreiben, beachten Sie bitte besonders auch die Hinweise unter [4] und
[5], sowie [6], falls Sie einen WLAN-Router betreiben.
Wenn ein Fremdzugriff auf einen Rechner stattgefunden hat, ist es
manchmal leider unumgänglich, das Betriebssystem vollständig neu zu
installieren, da einige der durch Schadsoftware oder Eindringlinge
vorgenommen Manipulationen nur mit Expertenwissen zu finden sind und
nicht mit einfachen Mitteln entfernt werden können. Wir raten Ihnen, in
einem solchen Fall einen Fachmann hinzuzuziehen.
Wir bitten um Verständnis, dass wir für Fremdsoftware und
Betriebssysteme selbst keine Unterstützung anbieten können. Wenden Sie
sich bei technischen Fragen bitte an den Produkt-Support des
Herstellers.
Nützliche Informationsquellen zum Thema Sicherheit haben wir unter
Punkt [7] zusammengefasst. Hinweise zur Vorbeugung,
Hintergrundinformationen und unsere Kontakt-Seite finden Sie online
unter: www.t-online.de/abuse Erläuterungen, Informationen und Hinweise:
[1] Sie haben einen Virus, Wurm oder ein Trojanisches Pferd auf Ihrem
Rechner installiert und es wurden "Hintertüren" (Backdoors) geöffnet.
Grundsätzlich sollten Sie besser niemals Software oder Dateien aus
unsicheren bzw. unbekannten Quellen verwenden. Falls Sie unerwartete
E-Mails erhalten, öffnen Sie keinesfalls darin enthaltene Dateianhänge
und ignorieren Sie auch Links in solchen Mails; selbst dann, wenn Ihnen
der Absender vertraut ist, denn auch Bekannte könnten von einem Virus
betroffen sein. Um Viren und anderen Schädlingen wirksam zu begegnen,
bieten wir Ihnen unter www.t-online.de/sicherheit ein Sicherheitspaket
an, welches die mehrfach ausgezeichnete Virenschutz-Software Norton 360
Version 2.0 und die Dialerschutz Software enthält.
[2] Ihre Zugangsdaten (Anschlusskennung und persönliches Kennwort)
sollten Sie stets unter Verschluss halten und unter keinen Umständen an
Dritte weitergeben. Neue Zugangsdaten können Sie ganz einfach
schriftlich mit dem Formular:
ftp://software.t-online.de/pub/service/pdf/neue_tonline_zugangsdaten.pdf
anfordern. Die Vergabe neuer Zugangsdaten und der Versand sind
kostenfrei. Ihr persönliches Zugangskennwort können Sie im Kundencenter
unter www.t-online.de/kundencenter jederzeit ändern. Bei Fragen hilft
Ihnen unser Kundenservice gerne weiter: www.t-online.de/kontakt
[3] Ist die "Datei- und Druckerfreigabe" in Windows aktiviert, so sind
die Daten Ihrer Laufwerke eventuell für fremde Zugriffe weltweit
freigegeben. Diese Freigabe sollte deaktiviert bzw. gegen
unberechtigten Zugriff geschützt werden. Hilfe zur Konfiguration finden
Sie in der Windows-Hilfe ("Start" > "Hilfe"), indem Sie dort einfach
nach "Datei- und Druckerfreigabe deaktivieren" suchen. Ändern Sie
anschließend bitte vorsorglich Ihr Zugangskennwort und fordern Sie ggf.
neue Zugangsdaten wie unter [2] beschrieben an.
[4] Bei Fehlkonfiguration eines Proxy-Servers oder Routers können
Dritte unter Umständen Ihr System als Gateway nutzen und mit Ihrer
Identität auf die Proxy-Server zugreifen. Bitte installieren und
konfigurieren Sie grundsätzlich keine sicherheitskritische Software,
bevor Sie deren Dokumentation nicht vollständig gelesen und verstanden
haben.
Berücksichtigen Sie bitte auch, dass Software oft fehlerbehaftet sein
kann, besondere Kenntnisse zur Konfiguration notwendig sind und ggf.
von den Herstellern herausgegebene Patches oder Updates regelmäßig
installiert werden müssen.
[5] Betreiben Sie einen privaten Mailserver oder Mailproxy, stellen Sie
bitte sicher, dass Dritte nicht unberechtigt E-Mails über diesen Server
versenden können. Nähere Angaben zur Konfiguration finden Sie in der
Dokumentation und in FAQs zur Software. Beachten Sie bitte auch die
Hinweise unter [4].
[6] Beim Betrieb eines WLAN-Routers ist eine Fehlkonfiguration des
Accesspoints eine nahe liegende Ursache für unbefugte Zugriffe auf
Ihren Rechner. Konfigurieren Sie Ihren Router in jedem Fall so, dass
Dritte nicht von außen auf Ihr System und Ihre Internetverbindung
zugreifen können. Details hierzu finden Sie gewöhnlich in der
Produkt-Hilfe ("F1-Taste"), im Handbuch und den Internetseiten des
Herstellers, sowie auf unseren Service-Seiten zum Thema WLAN unter
http://service.t-online.de/c/16/06/37/14/16063714.html
Für einen sicheren Betrieb sind folgende Einstellungen erforderlich:
* SSID unterdrücken
* WEP / WPA Verschlüsselung aktivieren
* nur eigene MAC-Adressen zulassen
* Router Zugang mit eigenem Passwort sichern
[7] Weitere Informationen, Hilfen und aktuelle Hinweise zum Thema
Sicherheit im Internet finden Sie unter www.t-online.de/sicherheit
sowie im Bereich "Computer" auf www.t-online.de in der Unterrubrik
"PC-Sicherheit" und z.B. auch auf den folgenden nützlichen
Informationsseiten:
www.bsi-fuer-buerger.de
www.tu-berlin.de/www/software/security.shtml
www.heise.de/security/artikel/knowhow/
www.heise.de/security/dienste/
www.microsoft.de/sicherheit/
In den Service-Foren und Newsgroups haben Sie die Möglichkeit, sich mit
anderen Kunden u. a. über Sicherheits und Konfigurationsfragen
auszutauschen. Sie erreichen die Service-Foren online unter
www.forum.t-online.de. Die Benutzung des Usenet wird unter
www.t-online.de/newsgroups ausführlich beschrieben. Dort finden Sie
auch Newsgroups, die
exklusiv Telekom Kunden vorbehalten sind.
Wie geht's weiter? Liebe Grüße! |
|
05.07.2009, 21:12
| #4 |
| /// Malwareteam | Dropper DR/Gator.1050.17 >> wende bitte den CCleaner an >> Rootkitsuche mit Gmer: Lade dir Gmer von Gmer.net und entpacke es auf dem Desktop. Beende alle Programme (Auch Antrivirenprogramme, Firewalls etc. Und trenne dich von Internet). Starte jetzt Gmer (Dein System wird nun kurz gescannt, falls GMER etwas findet klicke auf Ja, um einen vollständigen Scan zu machen). Drücke auf "Scan" (Falls dies nicht bereits gemacht wurde, weil etwas bei dem kurzen Scan gefunden wurde). Wenn der Scan fertig ist, drücke auf "Copy" Füge den Text hier im Board mit "STRG + V" ein >> Wende Combofix an und poste das Log: Gruss Swiss |
|
08.07.2009, 07:49
| #5 |
| | Dropper DR/Gator.1050.17 CCleaner hatte ich schon angewendet. Gmer hat nichts gefunden. Combofix macht mir ehrlich gesagt etwas Angst. Deutet denn irgendetwas im hjt-file darauf hin, dass es nötig ist, Combofix anzuwenden - v.a., da ja der Rest der Programme nichts finden kann? Wie wäre es, ein oder zwei Wochen zu warten, mich dann mit der Telekom in Verbindung zu setzen, und zu sehen, ob immer noch spam über meinen account versendet wird? |
|
08.07.2009, 10:38
| #6 |
| /// Malwareteam | Dropper DR/Gator.1050.17 Das Problem ist halt wenn Du teil eines Botnetzes bist... Nimm mal Kontakt mit der Telekom auf und schau was die sagen. Du kannst auch noch zur Sicherheit mit Superantispyware scannen. Gruss Swiss |
|
| Themen zu Dropper DR/Gator.1050.17 |
| adobe, anschluss, avira, bho, dateien, disabled.securitycenter, dll, excel, explorer, firefox, flash player, format, hkus\s-1-5-18, internet, internet explorer, internet explorer 8, launch, malwarebytes, messenger, microsoft, mp3, plug-in, programme, registrierungsschlüssel, rundll, security, software, spam, system, usb, windows internet, windows internet explorer, windows xp |
Linear-Darstellung
