Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner.: MyDirtyHobby.de Spam: Abrechnung Mydirtyhobby.de GmbH (https://www.trojaner-board.de/133520-trojaner-mydirtyhobby-de-spam-abrechnung-mydirtyhobby-de-gmbh.html)

outcast666 10.04.2013 19:38
Trojaner.: MyDirtyHobby.de Spam: Abrechnung Mydirtyhobby.de GmbH
 
Zitat:
From: "Mydirtyhobby.de GmbH" <verschiedene Absender>
Ihre Abrechnung MyDirtyHobby.de Ltd. 10.04.2013

Hallo sehr geehrter Benutzer,

in der beigefügten Datei erhalten Sie die Rechnung für die Mitgliedschaft von Mydirtyhobby.de Online für den Zeitraum von 6 Monaten. Wir hoffen Sie haben
auch zukünftig Spaß mit unterem Portal.

Die Rechnung ist innerhalb von 7 Tagen zu begleichen. In der Beilage finden Sie Ihre Rechnung, unsere AGBs und die Widerrufsbelehrung. Falls keine Zahlung
ankommen sollte erhalten Sie umgehend Mahnung von unserem Inkassobüro mit weiteren Kosten.

Rechnungsbetrag: 200,00 Euro

Mit freundlichen Grüßen Ihr Mydirtyhobby.de AG Support

Zitat:
Hallo Nutzer,

anbei bekommen Sie die Abrechnung für die Mitgliedschaft von
My-Dirty-Hobby Portal für den zeitlichen Raum von 48 Monaten. Wir
hoffen Sie haben auch zukünftig Spaß mit unterem Portal.

Wir bitten um Zahlung der Rechnung innerhalb von 14 Tagen an die in
den AGBs genannte Bankverbindung. In der beigefügten Datei finden Sie
die Rechnung, unsere AGBs und die Widerrufsbelehrung. Falls keine
Zahlung ankommen sollte bekommen Sie in 14 Tagen Schreiben von unserem
Anwalt mit zusätzlichen Kosten.

Rechnungsbetrag: 199,00 Euro

Mit freundlichen Grüßen Ihr MyDirtyHobby.de <hxxp://MyDirtyHobby.de>
Online Service Team
Es hängt an:
10.04.2013 MyDirtyHobby.de GmbH Rechnung.zip
Rund 98,2 KB groß.
Virustotal Ergebniss der enthaltenen .com Datei:
https://www.virustotal.com/file/caed...is/1365616064/
MD5: 7b2dd976849df0d37d1773d201478525
SHA1: ad93512e0a5531efd2fefca486eef6fb2df332e0
Detect: 22 / 46

Trojan.GenericKD.933878 (MicroWorld-eScan)
Trojan.GenericKD.933878 (nProtect)
Artemis!7B2DD976849D (McAfee)
Trojan.Agent.ED (Malwarebytes)
Trojan.Ransomlock.P (Symantec)
TROJ_GEN.F47V0410 (TrendMicro-HouseCall)
Trojan.Win32.Yakes.couu (Kaspersky)
Trojan.GenericKD.933878 (BitDefender)
Troj/Mdrop-EZF (Sophos)
UnclassifiedMalware (Comodo)
Trojan.GenericKD.933878 (F-Secure)
Trojan.Win32.Injector.zvr (v) (VIPRE)
TR/Injector.BC (AntiVir)
Artemis!7B2DD976849D (McAfee-GW-Edition)
Trojan.Win32.Agent.AMN (A) (Emsisoft)
Trojan:Win32/Matsnu (Microsoft)
Trojan.GenericKD.933878 (GData)
Trojan.Ransomlock.F!rem (PCTools)
a variant of Win32/Injector.AFAL (ESET-NOD32)
Trojan.NecursObfuscator2!51FC (Rising)
Trojan.Injector (Ikarus)
Trj/CI.A (Panda)




Es handelt sich hierbei um Trojan.trustezeb

Folgene Autostart Einträge werden erstellt:

HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run
wrknlbkv
C:\Dokumente und Einstellungen\Administrator\Miryflewq\fzlkjlbkv.exe

Starteintrag der Ransomware

HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run
KB00264022.exe
"C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\KB00264022.exe&quot"

Hierbei handelt es sich um Trojan.Cridex
die Malware verbindet zu:

aboutalikmatoskin.ru/de_di/

gogadorogoda.ru/de_di/

gogapervijman.ru/de_di/

mbqdczxrz.com/inbox.php

nvufvwieg.com/inbox.php

pcv-onlines.com/inbox.php

pgcv-online.com/inbox.php

porkysolderxx.com/inbox.php

seodirect-proxy.com/inbox.php

set1forus.ru/de_di/

zeouk-gt.com/inbox.php

Bitte beachten!
- Wer eine solche, oder ähnliche verdächtige Mail erhält, möge diese an uns weiterleiten.
markusg - trojaner-board.de
- Mails, die man erhält, immer gründlich lesen.
- wer den Link geöffnet hatt, bitte ein Thema bei uns eröffnen.
http://www.trojaner-board.de/log-analyse-auswertung
__________________
Hallo,

Ich habe heute auch diese Mail bekommen, und dummerweise geöffnet und ausgeführt.
Es wurden 2 Starteinträge gemacht (diese habe ich wieder deaktiviert) und die dazugehörigen exe. Dateien, welche durch den Virus erstellt wurden, in der App Data gelöscht.
Anschließend Antivir Live CD laufen lassen. Es wurde nix schadhaftes mehr gefunden.
Kurz nachdem ich die Datei geöffnet hatte, funktionierte firefox nicht mehr.
habe ich deinstalliert und wieder installiert.

Momentan läuft mein System stabil.
Ich bin kein Fachmann in diesem Gebiet, und wüsste gerne was es mit diesem Trojaner auf sich hat, und wie ich ihn sicher wieder wegbekomme.

Gruß,

Marc

P.S
Habe dir schon per email den Virus zukommen lassen


Lieben Gruß,

Marc

aharonov 11.04.2013 00:52
Hi Marc,

der 24-Stunden-Support zu deinen Diensten. ;)
Wir müssen mal ins System reinschauen:


Schritt 1

Downloade dir bitte defogger (von jpshortstuff) auf deinen Desktop.
  • Starte das Tool mit Doppelklick.
  • Klicke nun auf den Disable Button.
  • Bestätige diese Sicherheitsabfrage mit Ja.
  • Wenn der Scan beendet wurde (Finished), klicke auf OK.
  • Falls Defogger zu einem Neustart auffordert, bestätige dies mit OK.
  • Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt.
  • Nur falls Probleme aufgetreten sind, poste deren Inhalt mit deiner nächsten Antwort.
Klicke den Re-enable Button nicht ohne Anweisung!



Schritt 2

Lade dir Gmer herunter (auf den Button Download EXE drücken) und speichere das Programm auf den Desktop.
  • Deaktiviere alle Antivirenprogramme und Malware/Spyware Scanner.
  • Trenne alle bestehenden Verbindungen zu einem Netzwerk/Internet (WLAN nicht vergessen).
  • Schliesse bitte alle anderen Programme.
  • Starte gmer.exe (die Datei hat einen zufälligen Dateinamen).
    Vista und Win7 User mit Rechtsklick "als Administrator starten".
  • Sollte sich ein Fenster mit folgender Warnung öffnen
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    dann klicke unbedingt auf No.
  • Entferne rechts den Haken bei:
    • IAT/EAT
    • Show all
  • Setze rechts den Haken bei deiner Systempartition (normalerweise C:\).
  • Starte den Scan mit einem Klick auf Scan.
  • Mache gar nichts am Computer, während der Scan läuft!
  • Wenn der Scan fertig ist, klicke auf Save und speichere das Logfile unter Gmer.txt auf deinen Desktop.
  • Schliesse dann GMER und führe unmittelbar einen Neustart des Computers durch.
  • Füge bitte den Inhalt des Logfiles hier in deine Thread ein.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor du ins Netz gehst.



Schritt 3

Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.
  • Doppelklick auf die OTL.exe.
  • Unter Extra Registry, wähle bitte Use SafeList.
  • Setze den Haken bei Scan all Users.
  • Klicke nun auf Run Scan.
  • Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
  • Poste den Inhalt dieser Logfiles hier in den Thread.



Bitte poste in deiner nächsten Antwort:
  • Log von Gmer
  • Logs von OTL

outcast666 11.04.2013 01:14
Hi Leo,


danke für Deine Hilfe.
Ich werds leider erst morgen erledigen können.

Also eine schnelle Hilfe wie ein Anti Viren Programm das diesen Trojaner erkennt und löscht ist unwahrscheinlich?

Kannst Du an dem was Markus schon gepostet hat, erkennen ob es ein übler Virus ist?
Hoffe er zerstört keine Daten von mir ;)

Hi,

Schritt 1 hab ich schon erledigt, ohne besondere Vorkommnisse.
Es wird noch nicht mal eine LOG txt file erstellt

Hi Leo,


habe heute rausgefunden, das anti vir den Trojaner jetzt auch erkennt.
Sogar an einem alten mit PC äußerster Vorsicht gestest ;)


Ich hatte ja wie bereits geschrieben, den Trojaner auf eigene Faust im System verfolgt und zufassen bekommen.
Da das aktualisierte Antivir bei mir jetzt nichts findet, gehe ich davon aus das ich ihn beseitigt habe.
Oder erkennt ein Prog wie Anti Vir einen Virus nur dann, wenn er vollständig in Takt ist.
Ich habe ja definitiv Dateien vom Virus gelöscht.

Ich werde dir aber heute abend trotzdem mal die gewünschten Log Files rüberschicken, um auf nr. sicher zugehen.

Gruß,

Marc

aharonov 11.04.2013 12:45
Hallo Marc,

Zitat:
Da das aktualisierte Antivir bei mir jetzt nichts findet, gehe ich davon aus das ich ihn beseitigt habe.
Vielleicht, vielleicht auch nicht. Da wär ich nicht so sicher.

Zitat:
Ich werde dir aber heute abend trotzdem mal die gewünschten Log Files rüberschicken, um auf nr. sicher zugehen.
Ja, das würd ich auch empfehlen, dass wir da mal noch schnell drüberschauen, was noch zu sehen ist.

aharonov 15.04.2013 16:36
Hi,

ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.

Hinweis: Wir sind noch nicht fertig! Auch wenn die Symptome verschwunden sein sollten, kann dein System weiterhin infiziert sein und über Sicherheitslücken verfügen, welche eine erneute Infektion möglich machen.

outcast666 15.04.2013 21:52
oh sorry,

voll vergessen.
Ja, hat sich alles erledigt. Mein Rechner ist wieder sauber.

Thx anyway.

aharonov 15.04.2013 22:20
Ok, danke für die Mitteilung.


Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Ich bekomme somit keine Benachrichtigung mehr über neue Antworten.
Solltest du das Thema erneut brauchen, schicke mir bitte eine PM und wir machen hier weiter.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:23 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131