Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Falsche Vodafonemail - PDF-Anhang geöffnet (https://www.trojaner-board.de/126157-falsche-vodafonemail-pdf-anhang-geoeffnet.html)

youwel 26.10.2012 16:00
Falsche Vodafonemail - PDF-Anhang geöffnet
 
Hallo Fachleute,

ich habe eine täuschend echt aussehende, aber leider dennoch gefakte Vodafone Mail mit namentlicher Ansprache bekommen und den pdf-Anhang GEÖFFNET :schrei:. Inhalt war Datensalat. In div. Foren habe ich gelesen, dass die Mail im Februar schon mal und nun wieder massenweise raus geht, es soll ein Trojaner enthalten sein und zusätzlich sollen über einen Link Passwörter abgefangen werden. Nun habe ich den Anhang geöffent, es ist bisher nichts auffälliges passiert. Auf meinem PC laufen Avira Free und Zonealarm. Beide haben nichts gemeldet. Zusätzlich habe ich mit Trojan Remover gescannt, der auch nichts findet. Acrobat Reader war auf dem neusten Stand.
Kann ich davon ausgehen, dass es nochmal gut gegangen ist, oder was genau kann ich noch unternehmen und heraus zu finden, ob ich meinem PC etwas eingefangen habe?
(Kaspersky kann ich leider nicht installieren, er meldet während des Installationsvorgangs einen fatalern Fehler, kann aufgrund fehlender Rechte irgendwas nicht schreiben.)

Freue mich auf -für eine Frau verständliche;)- Hilfe!

markusg 26.10.2012 16:04
hi
trojan hunter, ist, ums vorsichtig zu sagen, müll
hau den weg :-)
welche acrobat reader version nutzt du?

bitte leite mir die verdächtige mail mal weiter, wie das geht, steht in meiner signatur.
du musst bei mails ganz genau drauf achten, ob alle infos stimmen, der schreibstiehl, anrede, kommt die mail zb zu einem aussergewöhnlichen zeitpunkt etc.
wenn du mal wieder ein dokument bzw ne mail mit anhang bekommst, wo du dir nciht sicher bist, meld dich ruhig per mail bei uns.
außerdem kann man dokumente, die man per mail erhält, hier prüfen:
https://joedd.joesecurity.org
diese seite, prüft mit mehreren versionen von programmen, bei acrobat zb reader 8 bis 10, und gibt einen report aus, da steht auch drann ob die datei clean, oder malicious (verdächtig) ist.

youwel 26.10.2012 16:24
Hi,

ich nutze Adope Reader X Version 10.1.4.38

Ich habe echt auf alles bei der Mail geachtet, die ist super gemacht. Ich wurde im Betreff mit meinem Vor- und Zunamen angesprochen, keine Rechtschreibfehler, kein falsches Deutsch. der Link geht auf eine gehackte Seite. Soll auf Vodafone. de landen, linkt aber auf Arcor.de und dort sieht alles sehr proffessionell aus, ist aber fake. Ich kann nur sagen: Hut ab, gut gemacht... ;(


Mail versuche ich gleich zu schicken...

Hi Markus,

die Mail habe ich gerade gezippt und gesendet.

Wenn ich den gespeicherten Ordner in dem die Mail steckt nun direkt mit Avira scanne, erkennt er urplötzlich:"Virus oder unerwünschtes Programm gefunden. Fund: EXP/CVE-2010-0188.BC. Aktion in Quarantäne verschieben"
Allerdings bringt mir das jetzt nachher ja nicht viel. Was kann ich tun, um das Ding im Rechner zu finden wo es sich beim Öffnen der Datei hingesetzt hat?

Verseuchte Mail zur Analyse ans trojaner-board weitergeleitet.

markusg 29.10.2012 20:16
dein pc ist warscheinlich sauber.
gucken wir mal
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
C:\Windows\system32\*.tsp
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere
    nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:19 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131