E-Mail von mms@t-mobile-sms.de! Zusammenhang mit Trojan:Win32/Bublik.B?
 

Hallo,
habe gestern (11.2.2013) eine E-Mail von mms@t-mobile-sms.de (Betreff: MMS-Nachricht) bekommen, den Anhang aber nicht geöffnet. Kam mir verdächtig vor. Habe über Google auf Ihrer Seite gefunden, dass das Spam sei. Habe die E-Mail dann heute früh an trojaner board [markusg@trojaner-board.de] geschickt (Erhalt wurde bestätigt).

Am 30.1.2013 hatte ich schon einmal eine solche E-Mail, die ich zu öffnen versucht hatte!!! Habe seit dem 31.1.2013 immer wieder die Nachricht von meinem MicrosoftSecurityEssentials, dass ein Trojan:Win32/Bublik.B in Quarantäne verschoben wurde.
1. Kann das damit zusammenhängen?
2. Wie kann ich diesen Trojaner wieder beseitigen?

Danke für Ihre Hilfe,

Fischbach

hi
hängt damit zusammen, denn die Mail enthält besagten Backdoor.
Kannst du mal einige der Fundmeldungen posten?
dann:
Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Im Verlauf von Microsoft Security Essentials wird angezeigt:

Erkanntes Element: Trojan:Win32/Bublik.B
Warnstufe: Schwerwiegend
Datum 13.2.2012 etc. (war fast täglich gemeldet, wurde dann „In Quarantäne“ geschickt
Ausgeführte Aktion: In Quarantäne

Das ist der dazugehörende Infotext:
Kategorie: Trojaner

Beschreibung: Dieses Programm ist gefährlich. Es führt Befehle eines Angreifers aus.

Empfohlene Aktion: Entfernen Sie diese Software unverzüglich.

Security Essentials hat Programme erkannt, die Ihre Privatsphäre gefährden oder Ihren Computer beschädigen könnten. Sie können auf die von diesen Programmen verwendeten Dateien weiterhin zugreifen, ohne sie zu entfernen (nicht empfohlen). Wählen Sie zum Zugreifen auf diese Dateien die Aktion "Zulassen" aus, und klicken Sie dann auf "Aktionen anwenden". Wenn diese Option nicht verfügbar ist, melden Sie sich als Administrator an, oder bitten Sie den Sicherheitsadministrator um Unterstützung.

Elemente:
process:pid:4240

Lesen Sie im Internet weitere Informationen zu diesem Element. (hab ich versucht, ist mir aber wegen englischer Fachbegriffe etc. zu kompliziert)

Ich werden jetzt TDSS-Killer runterladen und melde mich wieder.

Schon mal Danke fürs Erste!

Anbei der Inhalt des Ergebnisses von TDSSKiller. Er hat nicht gemeckert...

Hi,
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hi,
ich habe z. Zt. nur den MSE als Scanner installiert. Den kann ich deaktivieren (war ja schon mal nötig für die ersten Scans).
Muss ich eigentlich auch die Firewall deaktivieren? Das hatte ich letztes Mal nicht gemacht.

Und natürlich das Ganze vom Internet trennen, vermute ich...

Danke für jeden Tipp

mse reicht, aber pc nicht vom Netz trennen, da ein Download nötig ist, und Cf das dann autom. erledigt.

So, Combifix ist fertig. Logfile hängt bei...

Bin gespannt, wie es weitergeht.

hi
malwarebytes:
Downloade Dir bitte Malwarebytes

• Installiere
  das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche
  nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet
  ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste
  das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Hallo,
hier ist das Ergebnis von Malwarebytes. Es wurde nichts gefunden.

Morgen mache ich weiter... gute Nacht:kaffee:

hi
instaliere mal den Internet explorer 9, auch wenn du einen andern nutzt, muss der aktuell sein.
Internet Explorer*9 herunterladen - Microsoft Windows
Dann:
lade den CCleaner standard:
CCleaner - Download - Filepony
falls der CCleaner
bereits instaliert, überspringen.
öffnen, Tools (extras),uninstall Llist, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Hallo,
tut mir Leid, ich komme nicht richtig klar. Habe CCleaner installiert. Wenn ich auf "Extras" (=Tools?) klicke, bekomme ich links ein Menü mit

• Programme deinstallieren
• Autostart
• Systemwiederherstellung
• Festplatten Wiper

Habe jetzt mal "Programme deinstallieren" angeklickt und dann "Als Textdatei speichern". Dort entsprechend reingeschrieben.
Das Ganze liegt bei.

Ich hoffe, das war so o.k. Falls nicht, brauche ich nochmal Hilfe.

Passt so!
deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden, instalieren.
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
Sicherheit (erweitert)
Erweiterte Sicherheit anhaken
und alle Dateien auswählen.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok



deinstaliere:
Ask : beide
CyberLink : alle
e-Wörterbücher
FreePDF XP
GPL : beide
Java(TM
Letstrade
LetsTrade
MakeDisc
PowerDVD
Sceneo
SCHLECKER
SmartTools
Spelling
TVsweeper
Windows Live : alle für dich unnötigen
WISO

Öffne bitte CCleaner, analysieren, starten, PC neustarten.
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Zwischenmeldung:
Adove Flash player und Reader sind jetzt aktuell.

Bei den Einstellungen im Reader...

...fand ich keine Auswahlmöglichkeit für "Alle Dateien" im Punkt "Sicherheit(erweitert)".

...hieß das bei mir "java script aktivieren"; hab ich den Haken entfernt.

Bei den Deinstallationen gab es kleine Fehler:

• CyberLink youCam ging nicht, da angeblich Skype in Betrieb sei (war aber inaktiv).
• bei e-Wörterbücher gab es einige Dateien, die sich nicht löschen ließen (z.B. C:/Windows/fonts/UC_270.TTF)
• LetsTrade Komponenten konnte nicht gelöscht werden, hätte vielleicht zuerst dran müssen, aber da war die andere Letstrade-Datei schon gelöscht)
• Bei PowerDVD gab es die Meldung: Folgende Dateien wurden nicht selbst-registriert: C:/Program Files/HomeCinema/PowerDVD/AudioFilter/ComTruSurroundXT.dll und Fehler beim Laden der Typbibliothek/DLL (die slashes krieg ich nich andersrum hin:rolleyes:)
• SmartTools ließ sich auch nicht löschen.

Nun noch eine Zwischenfrage, bevor ich weitermache:


Habe jetzt den CCleaner wieder gestartet: "Analyze" ist fertig. Soll ich jetzt "Run Cleaner" anklicken???

Ich warte die Antwort ab - erneut Danke!
Fischbach

du musst den haken bei geschützter Modus setzen und da hast du eine mehrfach auswahl:
keine,
Dateien mit potentiell unsicherem Ursprung und alle. Letzteres wählen.
und dann auf run cleaner klicken, richtig.
Wegen er deinstalationen, das ist ok.