|
ElektroshopWagner.de Spam: Rechnung zu Ihrer Bestellung: K10500-648148 Rechnung zu Ihrer Bestellung: K10500-648148 Wer eine Mail mit dem Betreff Zitat:
Rechnung.zip Rund 46,4 KB groß. Virustotal Ergebniss der enthaltenen .EXE Datei: https://www.virustotal.com/file/f6a4...is/1368686059/ MD5: f1e734920ace0acc28730d2c2eb21d0b SHA1: e8b6f680f92497228ad2aeff2837086810e5cdc1 Detect: 9 / 46 PWS-Zbot-FAZJ!F1E734920ACE (McAfee) TROJ_GEN.F47V0515 (TrendMicro-HouseCall) Trojan-Downloader.Win32.Andromeda.vbp (Kaspersky) TrojWare.Win32.Trojan.Agent.Gen (Comodo) BackDoor.Andromeda.22 (DrWeb) TR/Spy.Abvier.A (AntiVir) Trojan.Downloader.Win32.Andromeda.AMN (A) (Emsisoft) Win32.TrojDownloader.Andromeda.v.(kcloud) (Kingsoft) Trojan-Downloader.Win32.Andromeda (Ikarus) Es handelt sich hierbei um Backdoor.Gamarue Folgene Autostart Einträge werden erstellt: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Rundie Malware verbindet zu: puppyclothesshop.net/plug/r.pack drhaycock.com/includes/domit/ci15.exe puppyclothesshop.net puppyclothesshop.net/info/gate.phpDiese Malware ist in der Lage, sensible Daten zu stehlen. - Wer eine solche, oder ähnliche verdächtige Mail erhält, möge diese an uns weiterleiten. markusg - trojaner-board.de - Mails, die man erhält, immer gründlich lesen. - wer den Link geöffnet hatt, bitte ein Thema bei uns eröffnen. http://www.trojaner-board.de/log-analyse-auswertung |
bei mir waren heute morgen auch 2 Mails von denen im Posteingang:daumenrunter::daumenrunter: |
Werte Experten, meine Frau hat so ein Ding auf´s Handy bekommen und direkt den Anhang geöffnet. *Seufz* 1. Auf den ersten Blick würde ich das für ein reines Windowsproblem halten. Kann ein Android-Handy davon infiziert werden? 2. Welche AV-Software empfehlt ihr mir, um ein Android-4.1-Handy mal durchzuchecken? Danke im voraus! Freundliche Grüße Felsen |
Hallo! Auch bei mir fand sich heute morgen so eine Mail :daumenrunter: Besteht bereits durch das Öffnen der Mail Gefahr oder nur dann, wenn der Anhang geöffnet wurde? Danke - Janna Hallo Felsen2000! :singsing: Der Anhang wurde NICHT geöffnet! |
Hallo, meine Frau hat ebenfalls diese Mail erhalten, und natürlich einen Doppelklick auf die .Zip Datei gemacht....:stirn: Ich hoffe nur, dass er nicht auf Netzlaufwerke etc. losgeht. Gibt es schon genauere Infos was die Downloader runterladen ? Komisch ist nur, dass AVIRA anscheinend nichts gefunden hat.... |
Habe dummerweise diese Mail auch mit nem Android Handy geöffnet. Datei konnte allerdings nicht geöffnet werden. Antivirus Programm findet keinen Fehler. Wie würde sich das Problem aufm Handy äußern? |
Bei mir geht es auch um ein Android-Handy. Hab mir sagen lassen, dass der Doppelclick bereits genügt, auch wenn die Datei sich nicht öffnen lässt. Habe mir zum Test selbst eine Mail mit .zip-Anhang geschickt und dieser ließ sich - nach vorheriger Abfrage seitens des Systems - problemlos öffnen. Tja. :aufsmaul: Brauche nun Hinweise, wie ich weiter vorgehen soll. Handy ist bis auf Weiteres ausgeschaltet. |
Was ich auf die schnelle geoogelt habe, sind "Windows Schädlinge" für Android Geräte nicht schädlich, aber diese Angabe ist natürlich ohne Gewähr ! |
Hallo zusammen, ich habe selbige Mail erhalten und in unachtsamkeit diese geöffnet! :-( jetzt bekomme ich u.a. immer die Fehlermeldung von norton wegen spam mail von dieser Adresse... was ist jetzt zu tun, um mein system abzusichern bzw. zu cleanen? bin für jede hilfe dankbar! NACHTRAG zu ebiger Nachricht: habe gerade erst gesehen, dass ich ein neues Thema bei Problem eröffnen soll. Werde dies dann sogleich erstellen ... :-) glg |
Hiho :) Ich habe auch diese Mail bekommen in der Rechnung.zip ist allerdings eine datei namens Rechnung.scr. Da ich aber mac os x nutze betrifft mich das ja nicht so ^^.falls einer den anhang benötigt einfach melden ;) |
so, jeder der kein Windows nutzt, aufatmen. Jeder der die Mail nur angeguckt hatt, aufatmen. Jeder der die scr im Anhang geöffnet hatt, thema im Bereich Plagegeister auf. Wie das mit Netzlaufwerken aussieht, weis ich nicht 100 %ig, aber ich sag mal zu 99 %, keine Gefahr. |
Servus, wollte nur mal eben kurz nachhacken: Bei mir kam nur eine Mail von GMX, dass die besagte Nachricht von GMX bereits gelöscht wurde, da sie einen Virus enthalten könnte. Ist das ungewöhnlich oder ein normaler Vorgang? Gruß Peppe |
ne das ist ok. Wenn du aber mal allgemein spam bekommst, gerne an uns. |
Das mit der scr-Datei scheint der neueste Trick zu sein. Wer den Zip-Ordner und die scr-Datei mit Avira AntiVir scannt, erhält keine Fehlermeldung. Diese Datei scheint also harmlos zu sein. Es gibt aber klare Indizien dafür, dass durch das Öffnen des Zip-Ordners die thunderbird.exe (sofern vorhanden) manipuliert wird. Es es kann auch sein, dass davon die Update-Datei für den flashplayer betroffen ist. Um auf der sicheren Seite zu sein, unbedingt die thunderbird.exe durch eine "saubere" Version (von Freunden oder Bekannten) mit gleicher thunderbirdversions-Nummer ersetzen. Vorsichtshalber den Adobe Flashplayer ganz rauswerfen und neu installieren (ist ja kein großes Ding.) Nach Möglichkeit anschließend noch einen Komplett-Scan mit einer alternativen Antiviren-Software durchführen. |
hi die thunderbird.exe zu ersetzen reicht dann natürlich nicht, weil der schädling immernoch aktiv ist. wie gesagt, wer die scr ausgeführt hatt, bitte anmelden, thema erstellen. |
Dazu muss ich noch sagen, dass ich die scr-Datei nicht ausgeführt, sondern gelöscht hatte. Trotzdem hatte ich die Warnung bekommen, dass thunderbird.exe geändert wurde. Nach deren Austausch kam diese Meldung nicht mehr. Die Manipulation muss also allein durch das Öffnen des Zip-Ordners erfolgt sein (in dem sich noch zwei weitere Dateien befanden, die aber nach dem unzip nicht zu sehen waren). Welche Namen diese Dateien trugen, wurde nicht angezeigt. Kann natürlich sein, dass es Dateien waren, die generell für das Entpacken eines Zipordners erforderlich sind. |
Es kann aber durchaus möglich sein, dass du ein update gemacht hast, dadurch hat sich an der Datei etwas geendert, und die Firewall musste eine neue Regel erstellen. |
und flashplayer wurde die woche auch aktualisiert. |
Ein Thunderbird-Update hat es heute nicht gegeben, weil ich vorher schon einige Male im Mailprogramm war und es keine Update-Meldung mit Neustart gab. Wodurch sonst kann die thunderbird.exe geändert worden sein? |
gabs bei dir gestern ein update? denn es gab sehr wohl eins in den letzten Tagen, evtl. hast du es einfach übersehen, denn es lief ohne neustart ab und ohne weitere Interaktion des Benutzers. |
Genau diese Mail habe ich auch bekommen.Die zip Datei hatte ich entpackt,und die scr Datei nicht ausgeführt.Rechnung als scr Datei ist ja schon komisch genug.Habe dann nur einen rechtsklick gemacht und mir die Eigenschaften angeschaut.Bis jetzt kein ungewöhnliches Verhalten des Rechners.Kaspersky Anti Virus hat nix bemerkt.Outlook läuft wie immer stabil. Sollte also alles Ok sein,solange man die Datei nicht Ausführt.Hoffe ich. |
ja, aber warum entpackt man ungefragt zugesendete Anhänge? wenn du mehr spam bekommst, bitte an uns. |
Neugier denke ich.Spam bekomme ich eigendlich nicht.Bis jetzt.:pfeiff: Gestern habe ich die Datei auch hochgeladen auf Virus Total und Jotti. Ganze 2 Scanner haben angeschlagen.Sophos und Clam AV.Das war aber gestern. Also ziehmlich neu das Teil. Und normalerweise scannt Kaspersky recht gut.Aber trotz rechtsklick und vollständiger Untersuchung der Datei hat Kasperle nix gefunden. |
gibt ja noch Möglichkeiten die beim ausführen zu erkennen. erkennungsrate is nu aber höher |
Also ich war auch so ein dummer der das geöffnet hat, weil ein Scan der Firewall keine Bedrohung angegeben hat. Ich hab nun mal Regedit gecheckt, hab aber keine Einträge gefunden. Meine Firewall blockiert aber jede Minute versuchte Zugriffe auf die angegeben Internetseiten. Gibt es noch ne Möglichkeit, wo die "Startkommandos" hinterlegt sein können, bzw. wo die rausgelöscht werden müssen? |
thema bei uns eröffnen bitte dann schaun wir uns deinen PC mal an |
Ist erledigt! Danke schon mal für die Hilfe. |
hallo, auch ich habe eine mail von elektrowagner bekommen und habe auf den anhang zum öffnen geklickt, dieser packte sich in mein downloadcenter und als ich da rauf ging, wurde ich gefragt, ob ich den zugriff zulassen will. da habe ich ABGEBROCHEN. erst habe ich nichts bemerkt und antivir hat auch nicht angeschlagen. dann klickte ich auf mein lesezeichen facebook und es öffnete sich ein fenster Ihr Account wurde gesperrt. Von Ihrem Account wurde die Spam ausgesendet und aus diesem Grund ist er zeitweilig gesperrt. Um Ihr Account freigeben, Sie müssen bestätigen, dass Sie der reale Mensch und nicht den Roboter sind und dass Sie wirklich ein Accountbesitzer sind. Dafür brauchen wir Ihnen verifizieren, füllen Sie die Form aus und senden Sie die Form niedriger ab. Sofort wird Ihr Account geöffnet sein. Bitte beachten Sie, dass die Daten, die für Verifikation gefordert werden, werden von den Servern facebook.com nicht erhalten und werden nur einmal für die Freigebung Ihres Accounts benutzt. Bitte, vergessen Sie nicht, die Parole nach der Freigebung des Accounts zu verändern. Wir danken Ihnen für das Verständnis. Land Vorname Nachname Straße und Hausnummer Ort PLZ Kartennummer Gültig bis (mm/jj) Kartenprüfnummer Erst da wurde ich hellhörig, wieso wollen die meine VISA-Card??? daraufhin habe ich den Antivir scanner durchlaufen lassen und er hat 3 Funde angezeigt: TR/Spy.ZBot.PR in Kuyrt.exe und TR/Spy.Abvier.A in msulxce.ba 2 Funde hat er in Quarantäne verschoben und dann sollte ich den PC neustarten, weil der Fund angeklickt wurde zum löschen, nach neu-start. Jetzt lass ich gerade wieder den Scanner drüber fahren und er hat schon wieder 3 Funde angezeigt. Allerdings hatte ich sie vorher noch nicht aus der Quarantäne gelöscht, somit weiß ich nicht, ob er sie nur da wieder findet. der TR/Spy.Bot.PR-Virus taucht hier noch nicht auf, habt ihr von dem auch schon was gehört? Welchen Schäden können sie anrichten? Danke für deine Antwort. |
eröffne ein thema im bereich plagegeister, danke |
Wie auch immer: Inzwischen hat sich AntiVir gemeldet und den TR/Spy.Abvier.A in der Datei A0078077.scr entdeckt. Die Datei steckte in der SytemVolumeInfomation von Laufwerk E:, das ich nur für Daten verwende. Wohlgemerkt: Ich hatte die entpackte scr-Datei nicht angeklickt, sondern sofort gelöscht und trotzdem ist der Trojaner auf dem PC gelandet. Das nur kurz zur Info, ich habe beim besten Willen keine Zeit, ein neues Thema mit allen nötigen Vorbereitungen zu eröffnen. |
wenn du so eine meldung wie oben bekommst ist mit deinem pc wohl was nicht in ordnung, ob du dann bereit bist dir daten klauen zu lassen oder zeit zu investieren um das Problem zu beheben bleibt dir überlassen |
Hallo, ich habe diese mail ebenfalls über gmx bekommen und dachte mir Anfangs noch, das sich da jemand einen schlechten Scherz erlaubte :D Da mir eine als zip verpackte Rechnung schon äusserst ungewöhnlich vorkam, liess ich diese vorerst mit Kaspersky checken und dieser schlug dann auch gleich Alarm und identifizierte dann einen Trojaner Namens : trojan-downloader.win32.andromeda.vbp Grüße vaco78 |
ok wenn du in zukunft mehr spam bzw verdächtiges bekommst, bitte an mich |
Hallo, ich war auch so doof und habe die Email geöffnet. Sowohl auf Handy als auch PC. Ich habe die Zip auch heruntergeladen. Bin mir aber nicht mehr ganz sicher, ob ich sie auch geöffnet habe. Gut zu wissen, dass Android nicht betroffen ist. Danke für die Info. Bei dem PC bin ich mir allerdings nicht ganz sicher. Der PC hat sich den ganzen Tag normal verhalten. Virenscan hat keine Funde entdeckt. Die beiden Dateien, die der Virus verändern soll, existieren auf dem PC nicht. Kann es sein, dass ich Glück gehabt habe oder sind weitere Diagnosen erforderlich/empfehlenswert? |
eröffne mal ein thema im bereich plagegeister und wir gucken mal |
Kann das mit AVIRA bestätigen. Hab gesern einen Suchlauf starten lassen und es wurden 11 infizierte Dateien gefunden. Hatte leider noch keine Zeit mir das AVIRA LOG genauer anzuschauen. Hab den PC im Moment Offline genommen und werd mir das am WE mal genauer anschauen. Benötigt ihr noch mehr von diesen Elektroshop Wagner Mails ? oder LOG Files von AVIRA ? Da es sich nicht um meinen Hauptrechner handelt aber dort Online Banking etc. gemacht wird, werde ich mit die Kiste demnächst neu aufsetzen. |
aktuelle spams sind immer willkommen |
Scheinen wohl wieder ne neue Welle zu starten, grad neuen Dropper mit erkennung 3/46 bei Virustotal bekommen. |
Liebe Leute, habe heute ein Mail bekommen, das genauso ausschaut, nur ist die Auftragsnummer eine andere! Auftragsnummer K10500-648089 www.ElektroshopWagner.de Rechnung zu Ihrer Bestellung Sehr geehrte(r) , Folgende Artikel wurden an Sie versendet: •Waschsauger Kärcher SE5.100 (1.081-200.0) Anbei befindet sich Ihre Rechnung. Bitte heben sie diese für evtl. Garantieleistungen auf. Ihre Garantie beginnt mit dem Datum der Ablieferung. Mit freundlichen Grüßen, Ihr Team vom Elektroshop Wagner Elektroshop Wagner Ich habe es zwar geöffnet, aber nicht downgeloaded! Liebe Grüße |
hi, hab ja geschrieben das die Nummern varieren können. solltest du mal wieder spam bzw verdächtiges bekommen maile uns das doch bitte |
Hallo, hab auch so eine mail bekommen, wollte die an euch schicken geht aber nicht da A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address failed: <markusg@trojaner-board.de> Was ist da Falsch? |
Die mail is warscheinlich schon ewig alt, also ungefähr so alt, wie dieser Artikel und wird daher bereits als spam bzw malware erkannt. Wenn du mehr spam bekommst, gerne an uns. Hattest du den Anhang geöffnet?b |
Hallo, hier noch ein Nachtrag zu o.g. Spam-Mail: Die Mail mit dem bekannten Anhang trug das Absendedatum 15.5.13, 23:05:55, und hinter der vorgegebenen Absender-Adresse verbarg sich "mjacopet@tin.it". Da ich bei Elektroshop Wagner noch nie etwas bestellt hatte, wanderte die Mail per Klick auf das Junk-Symbol (Thunderbird) sofort ungeöffnet in den Papierkorb. Von dort habe ich sie dann wenig später gelöscht. Umso erstaunter war ich, dass G-Data beim anschließenden Virenscan einen Trojaner namens "Trojan.GenericKDV.993671" in meinem Inbox-Verzeichnis gefunden hatte, obwohl ich ja weder die Mail noch den Anhang geöffnet hatte. Normalerweise fängt der im Hintergrund arbeitende Wächter von G-Data eingehende, infizierte Mails ab. Das konnte diesmal nicht funktionieren, weil ich meine Mails seit einiger Zeit in verschlüsselter Form vom t-online-Server bezog (securepop.t-online.de). Dadurch hatte mein Virenscanner keine Zugriffsmöglichkeit auf eingehende Mails. Habe nun wieder auf das gute, alte "popmail..." bzw. "smtpmail..." umgestellt, da anscheinend der eigene, lokale Virenschutz besser ist als der von der Telekom. Nun saß ich aber immer noch mit dem Trojaner da. In meiner Verzweiflung habe ich den Schädling in die Quarantäne verbannt, wohl wissend, dass damit alle meine Mails im Posteingang verloren waren (Archiv !). Dann habe ich es mit einem Klick auf den Button "Desinfizieren" versucht - war ja eh schon alles egal. Doch - o Wunder - erschien nach wenigen Sekunden die frohe Botschaft "Die Datei wurde erfolgreich gesäubert und zurückbewegt". Wunder Nr.2: Alle verschwunden geglaubten Mail aus dem Posteingang waren wieder da ! Kann mir einer erklären, wieso sich ein Trojaner einnisten konnte, obwohl weder die infizierte Mail noch der Anhang geöffnet worden sind ? Und wieso war es möglich einen Schädling aus einem Archiv heraus zu desinfizieren, ohne das gesamte Archiv unbrauchbar zu machen ? |
Hi, 1. würde ich wieder auf verschlüsselt umstellen, ist sicherer. 2. zum löchsten, gehört auch das komprimieren der ordner, erst dann sind die Mails tatsächlich weg |
Hallo Markus, danke für die schnelle Antwort. Mit "würde ich wieder auf verschlüsselt umstellen, ist sicherer" hast Du bestimmt nicht unrecht. Nur - der Nachteil beim Download verschlüsselter Mails ist leider, dass der lokale Virenscanner, genauer gesagt der "Wächter" für die eingehenden Mails, damit ausgehebelt wird - und dann hat man das Malheur auf dem Rechner ! |
eigendlich sollte die nach dem Download erkannt werden, also ist doch alles gut, im Archiv tut dir die Malware nichts. Ich würde eine Verschlüsselung immer einem Malware Scan vorziehen. |
Hallo zusammen, Ich hab heute auch so eine Mail im Postfach gehabt... Rechnung zu Ihrer Bestellung: K10500-647999 Da ich die Tage einiges gekauft habe, habe ich sie natürlich auch geöffnet.. Als ich dann aber gesehen hab das es sich dabei um einen Waschsauger handelt fand ich das schon komisch und bin dann beim googeln nach elektroshop wagner auf diesen Thread hier gekommen.. zum Glück.. Den Anhang hab ich glücklicherweise noch nicht geöffnet... Ich habe bisher nur "Bilder anzeigen" angeklickt.. da Bilder bei mir im Mail program generell erstmal gesperrt sind. Und ich habe mir die Details zum absender angeschaut.. Das sollte ja beides noch nicht schlimm gewesen sein oder hab ich mir damit schon was eingefangen? Interessant finde ich, das mir neben dem elektroshop wagner als Absender auch eine italienische Emailadresse angezeigt wird... Teilweise sehr praktisch das AOL neben den Pseudonym auch immer den richtigen Absender anzeigt wenn vorhanden. Und darüber hinaus ist die Mail auch als CC an eine weitere Adresse mit Endung Mauriseu.com gegangen. Kann man damit evtl was näheres anfangen? Grüße |
Hi, eher nicht, da solche versenderadressen entweder zum Spamversand angelegt, oder gehackte Mailaccounts genutzt werden. ich hoffe, du hast in deinem Mailprogramm auch ausgewählt, dass die mail als reiner Text, nicht im HTML Format angezeigt wird. aber ansonsten ist dir nichts passiert. Solltest du in Zukunft weitere verdächtige Mails bzw Spams erhalten gerne an die in meiner Signatur genannte Mailadresse weiterleiten |
Zitat:
Ich "glaube" wenn die Bilder gesperrt sind als Text und wenn ich sie zulasse als HTML... Aber sicher bin ich mir da nicht. Dann bin ich ja beruhigt... Ok falls da weiteres kommt, was ich nicht hoffe, leite ich es Dir weiter... Bei Bedarf kann ich Dir auch diese noch zusenden... Ich hab aber keinen Plan wie ich ne Mail als .eml Datei abseicher..grübel Grüße |
weiterleiten geht auch, aber die von heute brauch ich nicht, denke mal die kam heute früh an, dann habe ich sie. welches Mailprogramm nutzt du? |
Zitat:
Ich logge mich über einen Browser (idr. Opera) in die das AOL Postfach ein... (mail.aol.com) |
glaub da kann man dnichs weiter einstellen. |
Zitat:
Es gibt zwar einige Einstellmöglichkeiten, aber was von HTML und Text hab ich nicht gefunden. Wäre das denn wichtig? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:58 Uhr. |
Copyright ©2000-2025, Trojaner-Board