Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)
-   -   ElektroshopWagner.de Spam: Rechnung zu Ihrer Bestellung: K10500-648148 (https://www.trojaner-board.de/135012-elektroshopwagner-de-spam-rechnung-ihrer-bestellung-k10500-648148-a.html)

LeeSurfrich 16.05.2013 17:09

Dazu muss ich noch sagen, dass ich die scr-Datei nicht ausgeführt, sondern gelöscht hatte. Trotzdem hatte ich die Warnung bekommen, dass thunderbird.exe geändert wurde. Nach deren Austausch kam diese Meldung nicht mehr. Die Manipulation muss also allein durch das Öffnen des Zip-Ordners erfolgt sein (in dem sich noch zwei weitere Dateien befanden, die aber nach dem unzip nicht zu sehen waren). Welche Namen diese Dateien trugen, wurde nicht angezeigt. Kann natürlich sein, dass es Dateien waren, die generell für das Entpacken eines Zipordners erforderlich sind.

markusg 16.05.2013 17:13

Es kann aber durchaus möglich sein, dass du ein update gemacht hast, dadurch hat sich an der Datei etwas geendert, und die Firewall musste eine neue Regel erstellen.

markusg 16.05.2013 17:14

und flashplayer wurde die woche auch aktualisiert.

LeeSurfrich 16.05.2013 17:25

Ein Thunderbird-Update hat es heute nicht gegeben, weil ich vorher schon einige Male im Mailprogramm war und es keine Update-Meldung mit Neustart gab. Wodurch sonst kann die thunderbird.exe geändert worden sein?

markusg 16.05.2013 17:27

gabs bei dir gestern ein update? denn es gab sehr wohl eins in den letzten Tagen, evtl. hast du es einfach übersehen, denn es lief ohne neustart ab und ohne weitere Interaktion des Benutzers.

Fluppe1405 16.05.2013 18:03

Genau diese Mail habe ich auch bekommen.Die zip Datei hatte ich entpackt,und die scr Datei
nicht ausgeführt.Rechnung als scr Datei ist ja schon komisch genug.Habe dann nur einen rechtsklick gemacht und mir die Eigenschaften angeschaut.Bis jetzt kein ungewöhnliches Verhalten des Rechners.Kaspersky Anti Virus hat nix bemerkt.Outlook läuft wie immer stabil.
Sollte also alles Ok sein,solange man die Datei nicht Ausführt.Hoffe ich.

markusg 16.05.2013 18:16

ja, aber warum entpackt man ungefragt zugesendete Anhänge?
wenn du mehr spam bekommst, bitte an uns.

Fluppe1405 16.05.2013 18:28

Neugier denke ich.Spam bekomme ich eigendlich nicht.Bis jetzt.:pfeiff:
Gestern habe ich die Datei auch hochgeladen auf Virus Total und Jotti.
Ganze 2 Scanner haben angeschlagen.Sophos und Clam AV.Das war aber gestern.
Also ziehmlich neu das Teil.
Und normalerweise scannt Kaspersky recht gut.Aber trotz rechtsklick und vollständiger Untersuchung
der Datei hat Kasperle nix gefunden.

markusg 16.05.2013 18:31

gibt ja noch Möglichkeiten die beim ausführen zu erkennen. erkennungsrate is nu aber höher

stammspieler 16.05.2013 18:46

Also ich war auch so ein dummer der das geöffnet hat, weil ein Scan der Firewall keine Bedrohung angegeben hat.
Ich hab nun mal Regedit gecheckt, hab aber keine Einträge gefunden.
Meine Firewall blockiert aber jede Minute versuchte Zugriffe auf die angegeben Internetseiten.

Gibt es noch ne Möglichkeit, wo die "Startkommandos" hinterlegt sein können, bzw. wo die rausgelöscht werden müssen?

markusg 16.05.2013 18:47

thema bei uns eröffnen bitte dann schaun wir uns deinen PC mal an

stammspieler 16.05.2013 19:00

Ist erledigt!
Danke schon mal für die Hilfe.

Flaps0508199 16.05.2013 19:08

hallo,
auch ich habe eine mail von elektrowagner bekommen und habe auf den anhang zum öffnen geklickt, dieser packte sich in mein downloadcenter und als ich da rauf ging, wurde ich gefragt, ob ich den zugriff zulassen will. da habe ich ABGEBROCHEN.

erst habe ich nichts bemerkt und antivir hat auch nicht angeschlagen. dann klickte ich auf mein lesezeichen facebook und es öffnete sich ein fenster
Ihr Account wurde gesperrt.

Von Ihrem Account wurde die Spam ausgesendet und aus diesem Grund ist er zeitweilig gesperrt.
Um Ihr Account freigeben, Sie müssen bestätigen, dass Sie der reale Mensch und nicht den Roboter sind und dass Sie wirklich ein Accountbesitzer sind.
Dafür brauchen wir Ihnen verifizieren, füllen Sie die Form aus und senden Sie die Form niedriger ab.
Sofort wird Ihr Account geöffnet sein. Bitte beachten Sie, dass die Daten, die für Verifikation gefordert werden, werden von den Servern facebook.com nicht erhalten und werden nur einmal für die Freigebung Ihres Accounts benutzt.
Bitte, vergessen Sie nicht, die Parole nach der Freigebung des Accounts zu verändern.
Wir danken Ihnen für das Verständnis.


Land
Vorname
Nachname
Straße und Hausnummer
Ort
PLZ
Kartennummer

Gültig bis (mm/jj)
Kartenprüfnummer

Erst da wurde ich hellhörig, wieso wollen die meine VISA-Card??? daraufhin habe ich den Antivir scanner durchlaufen lassen und er hat 3 Funde angezeigt:
TR/Spy.ZBot.PR in Kuyrt.exe und TR/Spy.Abvier.A in msulxce.ba
2 Funde hat er in Quarantäne verschoben und dann sollte ich den PC neustarten, weil der Fund angeklickt wurde zum löschen, nach neu-start.
Jetzt lass ich gerade wieder den Scanner drüber fahren und er hat schon wieder 3 Funde angezeigt. Allerdings hatte ich sie vorher noch nicht aus der Quarantäne gelöscht, somit weiß ich nicht, ob er sie nur da wieder findet.
der TR/Spy.Bot.PR-Virus taucht hier noch nicht auf, habt ihr von dem auch schon was gehört?
Welchen Schäden können sie anrichten?
Danke für deine Antwort.

markusg 16.05.2013 19:16

eröffne ein thema im bereich plagegeister, danke

LeeSurfrich 16.05.2013 19:36

Wie auch immer: Inzwischen hat sich AntiVir gemeldet und den TR/Spy.Abvier.A in der Datei A0078077.scr entdeckt. Die Datei steckte in der SytemVolumeInfomation von Laufwerk E:, das ich nur für Daten verwende. Wohlgemerkt: Ich hatte die entpackte scr-Datei nicht angeklickt, sondern sofort gelöscht und trotzdem ist der Trojaner auf dem PC gelandet. Das nur kurz zur Info, ich habe beim besten Willen keine Zeit, ein neues Thema mit allen nötigen Vorbereitungen zu eröffnen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:24 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131