Ist/war das ein Virus ?

[MetalForLive]

Hi,


Vorerst, mein Vadder ist nicht der hellste.

Folgendes: Mein Vater bekam eine E-Mail die mit Sicherheit ein Virus ist.

Hier der Text:

Sehr geehrter Schlecker Kunde XXX,

unsere Anwaltskanzlei wurden heute am 25.06.2013 von Schlecker GmbH beauftragt die finanziellen Interessen in Ihrem Fall zu schützen. Die ordnungsgemäße Bevollmächtigung wurde notariell zugesichert.

Durch Ihre online Bestellung vom 27.04.2013 haben Sie sich vertraglich verpflichtet die Summe von 328,00 Euro an unseren Mandanten zu überweisen. Die Lieferung erfolgte an die angegebene Adresse und ist nachweisbar.

Die Leistungen unserer Beauftragung und die rechtlichen Mahnungen:
1,00 Euro (Vergütung gemäß RVG § 8 Abs. 1 und 2)
19,00 Euro (nach Nummer 2684 RGV)

Die Rechnung haben Sie bis jetzt nicht an das Bankkonto von unseren Mandanten übertragen. Weiterhin sind Sie gezwungen die Ausgaben unserer Beauftragung im vollen Umfang zu zahlen.

Wir zwingen Sie nach Gesetz den Gesamtbetrag auf das Konto unseren Mandanten zu übersenden.

Die Bankdaten und die Einzelheiten der Bestellung sehen Sie im Anhang. Für den Eingang der Zahlung geben wir Ihnen eine gesetzliche Frist bis zum 28.06.2013.

Mit freundlichen Grüßen
Pauline Friedrich Inkasso-Buro

Also erst mal interessant und auch etwas amüsant finde ich ja das man am 27.04.2013 bei Schlecker Sachen bestellen kann, ich dachte ja das Schlecker seit Ende 2012 Pleite ist aber ok, weiter im Kontext.
In der Mail von der netten Frau Friedrich steht das man die Bankdaten im Anhang findet, nun gut der Alte Herr ist natürlich nicht auf die Idee gekommen die Mail einfach zu löschen, nein er öffnet die .zip Datei im Anhang, darin noch eine .zip Datei und darin eine MS-Dos Anwendung, natürlich öffnet man sowas ohne drüber nach zu denke was es denn sein könnte.
OK MS-Dos ??? Ja zu den Zeiten gab es natürlich Schlecker noch, gut was kommt dabei raus Hyroglyphen.
Ich gehe davon aus das es sich um einen Uralt Virus handelt der mit heutigen Systemen überhaupt nicht mehr Kompatibel ist.
Kann das sein ?

Im Autostart finde ich nichts Verdächtiges und ich kann auch keine verdächtigen Prozesse sehen, Kaspersky hat auch nichts gesagt.

Kann mir jemand mehr sagen ? Zur Not installier ich Windows neu

Hier ein paar Screenshots dazu

Einmal die .zip Datein




Und einmal die Dos Anwendung

 

[Deathcore]

Mit Kaspersky auch mal die Zip gescannt?

 

[1668mib]

a) "MZ" ist EXE-Header...
b) Wer lesen kann, ist klar im Vorteill. Da steht "cannot be run in DOS mode."
EXE-Dateien sind schließlich ursprünglich MS-DOS-Dateien gewesen. Deshalb prüft das Programm erst mal, ob auch wirklich Windows läuft ...

Und was soll es sonst sein, außer Malware?

 

[komma]

Check mal die Datei bzw. zip auf virustotal.com

 

[MetalForLive]

Kaspersky Findet nichts

Ergänzung (26. Juni 2013)

Virustotal.com sagt Erkennungsrate: 6 / 47

 

[powerfx]

Die Datei hast du doch so gar nicht ausgeführt, sondern einfach in einem Texteditor geöffnet. Da passiert nichts.
Du kannst sie auf VirusTotal hochladen und überprüfen lassen.

 

[Freak-X]

Ach man, bitte. Das ist doch ehrlich schon soooooo uralt. Dieser Anhang ist ein Virus. Einfach löschen und gut ist...

Warum das Ding in diesem Fall nichts anrrichten konnte; seie ma so dahin gestellt, aber auch die Vorhergehensweiße danach ist immer die Selbe: Boot-CD eine Virenscanners rein, updaten und scannen.

Möglichst mt 2 unterschiedlichen Scannern; um siche zu gehen ^

 

[MetalForLive]

Ja ich will halt wissen ob da jetzt was passiert ist oder nicht, das das ein Virus ist, ist relativ offensichtlich.
Nur das mit diesen Hyroglyphen ist merkwürdig, normalerweise wenn man ne .exe in Winrar öffnet dann wird die doch nicht in einem Editor geöffnet.

 

[BrollyLSSJ]

Die Datei ist auch keine exe, sondern eine com Datei. Da sollte aber nichts passiert sein. Die wurde ja nicht ausgefuehrt. Ich hatte heute auch so eine Mail, aber von Galleria Kaufhof GmbH. Kaspersky hat die auch erst nach dem entpacken erkannt und angemeckert.

 

[Moselbär]

Lösch das Ding und gut is.

 

[makiyt]

Hab ich auch neulich bekommen, aber von angeblich Blizzard. Gelöscht, weils bei Virustotal -ganz überraschend- n Trojaner war

Scann bei Dir lieber mal mit nen paar Programmen durch und gut is

 

[MetalForLive]

OK das Teil wird gelöscht und gut ist, danke für die schnelle Hilfe !

 

[purzelbär]

Wie schon ein paar Vorredner geschrieben haben: lösche die Mail samt Anhang/Datei und scanne sicherheitshalber danach das System zuerst mit einer Linux/Live Virenscanner CD wie zum Beispiel Kaspersky, BitDefender oder dergleichen und mache danach unter Windows noch einen Scan zum Beispiel mit Malwarebytes Free oder Emsisoft Emergency Kit.

 

[smuper]

Die Datei ist auch keine exe, sondern eine com Datei. Da sollte aber nichts passiert sein. Die wurde ja nicht ausgefuehrt.

Wo wurde die nicht ausgeführt? Wenn die Beschreibung des Threaderstellers so stimmen, dann wurde die Datei ausgeführt.

Ich gehe davon aus das es sich um einen Uralt Virus handelt der mit heutigen Systemen überhaupt nicht mehr Kompatibel ist.

Absolut falsch, die sind in ihren unterschiedlichen Varianten brandneu, Windows, oder hier Winrar, benennt die Datei nur als MS-Dos Anwendung, weil die Endung .com ist. Das ändert aber nichts an der Ausführbarkeit auf aktuellen Systemen.

Scann die Datei heute noch mal per Virustotal, spätestens in ein paar Tagen sollten es dann 40 von X Scannern hageln.

Virenscanner CD wie zum Beispiel Kaspersky, BitDefender oder dergleichen

Wenn die Quellmalware bei Virustotal noch eine so geringe Erkennungsrate hat, dann bringt auch der Wechsel auf Linux nichts, die Signaturen bleiben die gleichen. Nach einem Tag sieht die Welt aber meistens schon ganz anders aus.

 

[chrigu]

wie der vater so der sohn

ich vermute auch, dass beim doppelklick des anhanges etwas ausgeführt wurde... wahrsch. vom internet "mit erlaubnis des admis" etwas runtergeladen und installiert inkl. virenscanner überlisten.

scanne das system mit z.b. malwarebytes intensiv.