"Telekom Virurs" göffnet !

[HerrFornit]

Hallo,

brauch mal schnell Eure Hilfe,

meine Frau hat leider in einer gefälschte Telekomrechnung das im .zip file enthaltene gefakte pdf geöffnet, dass eine .exe war.
Leider hat sie den Windows8 Schutz manuell overruled.
Es zeigte sich keine Reaktion des laufenden Windows Defender. Im Moment lade ich Avira Antivir runter um einen Systemscan durchzuführen. Der Rechner wurde noch nicht neu gestartet.

Vielleicht könnt Ihr mir was raten?

Dank!

 

[Tjorben]

Vielleicht könnt Ihr mir was raten?

Ein sauberes System Backup zurückspielen.

 

[elkechen]

schau mal da rein. LG

http://www.trojaner-board.de/160617-summerblast-problem-telekom-rechnung-getarnt.html

 

[HerrFornit]

danke, aber ein Systembackup habe ich leider nicht zur Verfügung.

 

[purzelbär]

Nimm einen OnDemand Scanner und überprüf damit das System. Zum Beispiel EEK: http://www.emsisoft.de/de/software/eek/ lade das an einem sauberen PC runter, entpacke es, packe es auf einen USB Stick, starte den Emsisoft Emergency Kit Scanner, mach zuerst ein Update für die Signaturen und mach dann damit einen Smart Scan oder noch besser den länger dauernden Detail Scan des betroffenen PC's. Den Scanner kannst du auch im Abgesicherten Modus verwenden.

Ein sauberes System Backup zurückspielen.

das haben viele User leider nicht Tjorben.

 

[DrWolfsherz]

War vor dem Befall ein Antiviren-Programm installiert?

Falls die Antwort auf diese Frage "Nein" lautet habe ich tatsächlich einen Rat für dich: Mach das nie wieder!

Windows-Defender: Alles schön und gut, ersetzt aber kein anständiges Antiviren-Programm. Und der nächste Rat wäre deine Frau ein bischen zu schulen.

 

[purzelbär]

Windows-Defender: Alles schön und gut, ersetzt aber kein anständiges Antiviren-Programm.

Er bzw seine Frau hat Windows 8 und der Defender dort ist ein Virenschutz Programm das von Microsoft schon mitintegriert wurde und der Nachfolger von MSE ist. Wie gut oder schlecht das ist, darüber gibt es tausende Diskussionen im Netz und bei AV Test schneidet es regelmässig schlecht ab(letzter Platz).

 

[Whoozy]

Eines sei dir gesagt die Telekom verschickt niemals Rechnungen mit Anhang ! Deswegen finde ich auch 1und1 scheisse, weil die das ständig machen.

 

[En3rg1eR1egel]

danke, aber ein Systembackup habe ich leider nicht zur Verfügung.

dvd rein , neu installieren , fertig

das system ist kompromittiert
und da du hier fragst, i'm sorry, kriegst du das auch nie wieder richtig sauber.

alles andere ist nur grob fahrlässig

 

[AdoK]

Wenn kein Backup/ Image vorhanden, dann deine Frau das System neuinstallieren lassen.

Sollte dann als zukünftige Lektion dazu dienen nicht immer alles zu öffnen was nicht bei 3 auf den Bäumen ist.

Davon mal abgesehen, dass die Telekom keine Rechnungen verschickt, die als Anhang kommen. Dafür gibt es das Kundencenter um dort die Rechnungen einzusehen und sich ggfs. runterzuladen.

 

[purzelbär]

Sollte dann als zukünftige Lektion dazu dienen nicht immer alles zu öffnen was nicht bei 3 auf den Bäumen ist.

Adok nicht jeder der einen Windows PC besitzt beschäftigt sich so sehr mit Computersicherheit wie zum Beispiel User dieses Forumsein Forum wie dieses hier sollte in erster Linie Anlaufstelle sein für hilfesuchende User
@HerrFornit
Für die nahe Zukunft: wenn ihr Windows neu aufgesetzt habt und alles wieder sauber drauf ist(ruhig mal das neue System mit einem Scanner überprüfen), dann schafft euch eine externe USB Festplatte an wenn ihr noch keine habt und holt euch dieses Programm für Systembackups: https://www.paragon-software.de/de/home/br-free/download.html und macht damit bitte regelmässig Backups eures Systems. Wichtig: vergesst nicht aus dem Programm heraus eine Boot/Rettungs CD zu brennen, die braucht ihr dann(hofentlich nicht zu bald)um damit ein erstelltes Systembackup einspielen zu können. Die USB Festplatte solltet ihr als Ziellaufwerk für die Backups verwenden und nicht die im PC/Notebook verbaute Festplatte als Ziellaufwerk nehmen.

 

[HerrFornit]

ich würde mich bei einer Neuinstallation auch sicherer fühlen. Möchte aber noch wissen was es ist. werde als den eek von emisofrt runterladen, wie beschrieben.
@purzelbär: danke für die VErteidigung ;-)

 

[purzelbär]

werde als den eek von emisofrt runterladen, wie beschrieben.

mach dann aber nach der Signaturen Aktualisierung aber den Scan gleich im Abgesicherten Modus

@purzelbär: danke für die VErteidigung ;-)

Was heisst schon Verteidigungnicht jeder hat das Wissen zu Computerschutz wie zum Beispiel Adokund wenn du auf mich hörst: nehmt auf dem neu eingerichteten System ein Freeware Virenschutz Programm wie Avast Free, Avira Free(hab ich keine Erfahrung mit)oder AVG Free. Die haben alle 3 wohl eine bessere Erkennung bzw Schutz als der in Windows 8 integrierte Defender.

 

[SEL33]

Leider ein bisschen zu spät für den TE,der Windows 8 Defender erkennt den Trojaner jetzt auch:

https://www.virustotal.com/de/file/...6024d6a0822c035ccbac2b68b995a8c35a5/analysis/

 

[x-traxion]

Wenn kein Backup/ Image vorhanden, dann deine Frau das System neuinstallieren lassen.

Sollte dann als zukünftige Lektion dazu dienen nicht immer alles zu öffnen was nicht bei 3 auf den Bäumen ist.

Davon mal abgesehen, dass die Telekom keine Rechnungen verschickt, die als Anhang kommen. Dafür gibt es das Kundencenter um dort die Rechnungen einzusehen und sich ggfs. runterzuladen.

Ehmmmm nöö?
Ich bekomme monatlich meine Rechnungen von der Telekom per E-Mail. Die Rechnung is allerdings nich als Zip angehängt sondern als PDF.
Zip oder exe dateien die per E-Mail kommen werden generell sofort gelöscht und der absender blockiert^^

 

[emlyn d.]

Leider ein bisschen zu spät für den TE,der Windows 8 Defender erkennt den Trojaner jetzt auch:

https://www.virustotal.com/de/file/...6024d6a0822c035ccbac2b68b995a8c35a5/analysis/

Ob es sich um ein und dieselbe Datei handelt, ist fraglich.
@HerrFornit
Bitte poste mögliche Fundmeldungen von EEK.
Ansonsten sind FRST-Logs(siehe Signatur, die Prozedur dauert nur wenige Minuten) sicher auch nicht verkehrt.

 

[HerrFornit]

ok, danke, folgende Ergebnisse:

MS Defender (vor Neustart):
vollständiger scan: Kein Fund

Emsisoft (abgesichert):
Detail scan: Kein Fund (außer ein addapp in einem alten download coretemp)

Emsisoft Emergency Kit - Version 9.0
Letztes Update: 11.11.2014 21:23:59
Benutzerkonto: LianLi

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\, H:\

PUPs-Erkennung: An
Archiv Scan: An
ADS Scan: An
Dateitypen-Filter: Aus
Erweitertes Caching: An
Direkter Festplattenzugriff: Aus

Scan Beginn:	11.11.2014 22:03:56
H:\Downloads\Benchmark&Test&Diagnose\coretemp_1236.exe 	gefunden: Application.InstallAd (A)

Gescannt	276551
Gefunden	1

Scan Ende:	11.11.2014 22:23:38
Scan Zeit:	0:19:42

Ereignisanzeige:

Name der fehlerhaften Anwendung: 2014_11rechnung_K4768955881_pdf_sign_telekom_de_deutschland_gmbh, Version: 8.10.3560.65011, Zeitstempel: 0x53f205e3
Name des fehlerhaften Moduls: 2014_11rechnung_K4768955881_pdf_sign_telekom_de_deutschland_gmbh, Version: 8.10.3560.65011, Zeitstempel: 0x53f205e3
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00001196
ID des fehlerhaften Prozesses: 0xb4c
Startzeit der fehlerhaften Anwendung: 0x01cffde3076bfe5e
Pfad der fehlerhaften Anwendung: C:\Users\xxx\AppData\Local\Temp\Temp1_2014_11rechnung_K4768955881.zip\2014_11rechnung_K4768955881_pdf_sign_telekom_de_deutschland_gmbh.exe
Pfad des fehlerhaften Moduls: C:\Users\xxx\AppData\Local\Temp\Temp1_2014_11rechnung_K4768955881.zip\2014_11rechnung_K4768955881_pdf_sign_telekom_de_deutschland_gmbh.exe
Berichtskennung: 4525d998-69d6-11e4-835f-bc5ff4b8fefd
Vollständiger Name des fehlerhaften Pakets: 
Anwendungs-ID, die relativ zum fehlerhaften Paket ist:

Ist der Dämliche Virus einfach abgestürzt und konnte sich nicht installieren?

 

[kisser]

Ja, ist er.
Hat eine access violation (Code: 0xc0000005) verursacht. Hat vermutlich versucht, auf einen geschützten Speicherbereich zuzugreifen.

 

[HerrFornit]

im zuverlässigkeitsverlauf steht unter kritische ereignisse:
"procureur pokeys"

google führt zu:
https://malwr.com/analysis/NmFhM2FhMGNjZDkxNDI1NDlmMzBjZmZiOTI1NjM5NzM/