versehentlich gefakte Rechnungs-PDF angeklickt

[akimann]

ich hab jetzt mit Norton alles gescannt und noch das Norton Eraser Tool benutzt, und nix mehr gefunden.

Ich habe aber einen kleinen Zufall bei meinen E-Mails entdeckt:
der Rechnungsbetrag auf der Fakemail beträgt 209,64 Euro.
Und eine dreiviertel Stunde vor dieser Fakemail habe ich eine Werbemail einer (anderen) bekannten Firma bekommen, mit Supersparangebot.
Und welch Zufall, man kann bei dem Angebot ganz genau bis zu 209,- Euro sparen.
Klar kann wirklich Zufall sein, aber komisch ist das schon.

 

[Wiggum]

Wenn du kein Backup einspielen willst dann wäre es wirklich besser einen Scan von einer Live-CD aus zu machen (Stichwort: garantiert virenfreien Umgebung). So kannst du relativ sicher sein das nichts den Virenscan behindert oder sich selbst reproduziert bzw. neuen Schrott nachlädt.
Hatte gerade hier einen Win8 PC, verseucht mit WebCake und BitGuard.exe ect.

Bevor ich den AdwCleaner & Malwarewbyte auf dem Sytem selbst laufen ließ habe ich von Desinfec't aus gescannt und dafür gesorgt das keine Malware mehr aktiv ist wenn ich Win8 das nächte mal boote. AdwCleaner hat dann noch ein paar Registry Einträge gekillt die für das Vorhandensein einer DeltaSearch Toolbar in Chrome verantwortlich waren. Malwarewbyte fand dann auch nichts mehr.

 

[akimann]

ich hab keinen DVD-Brenner (Readonly) kann man diese Kapersky Live CD (KAV Rescue) auch auf einen USB Stick machen ? runtergeladen hab ichs schon

EDIT: habs schon gefunden bei Chip Downloads

 

[~TooL~]

Kaspersky USB Rescue Disk Maker

 

[akimann]

ok danke, KAV läuft gerade

 

[Tigerass 2.0]

Wenn ich das richtig sehe erkannte es die Datei im temp Ordner. Also kein grund zur Panik. Wenn du einen anhang öffnest, wird dieser dahin erstmal entpackt. Dabei ist dein AV gleich eingesprungen, ist also nix passiert. Kam nicht zur Ausführung. Kann aber bei unbekannten sachen böse enden, da hilft auch keine UAC mehr.

 

[akimann]

doch ich glaube die exe hat noch ein paar Sachen versucht, Norton hat noch ein paar Sachen notiert, kann nur gerade nicht an den PC da KAV läuft, ich poste die Nortonlogs nachher mal komplett

EDIT: KAV läuft noch und deshalb habe ich die Screenshots von Norton noch nicht hier, aber Virustotal.com hat auch was über die verlinkte Adresse und die Datei die runtergeladen wird:

https://www.virustotal.com/de/file/...c8f840e9292f71fe6342bc63/analysis/1386429698/

https://www.virustotal.com/de/url/2...f2d24e2dd5d0698419321875d2c4586e5b6/analysis/

 

[nobodo]

der Rechnungsbetrag auf der Fakemail beträgt 209,64 Euro. - Und eine dreiviertel Stunde vor dieser Fakemail habe ich eine Werbemail einer (anderen) bekannten Firma bekommen, mit Supersparangebot.
Und welch Zufall, man kann bei dem Angebot ganz genau bis zu 209,- Euro sparen.

Da hast Du sicher einen ganz gefährlichen Rabatt-Virus eingefangen, wo Du nur noch 64 Cent bezahlen musst... Sorry, ich schmeiße mich gerade weg vor Lachen....

Norton hat Dein Problem entfernt und die Nummer ist durch. Mach Dir nicht zuviel Gedanken. Wofür hast Du denn ein Antiviren-Programm?

 

[akimann]

so, nach über 20 Stunden ist KAV fertig und hat nix gefunden.

Hier noch der Nortonlog, das Ding hat jede Menge an der Registry gemacht, aber Norton hat es repariert wie es aussieht

Spoiler

Dateiname: mitteilung, rechnungsrückstände №9240209400015294 telekom deutschland gmbh vom 03.12.2013.exe
Bedrohungsname: SONAR.Heuristic.112
Vollständiger Pfad: Nicht verfügbar

____________________________

Details
Unbekannte Community-Verbreitung,* Unbekanntes Alter,* Risiko Hoch

Ursprung
Heruntergeladen von*Unbekannt

Aktivität
Ausgeführte Aktionen: 21

____________________________


Auf Computern ab*Nicht verfügbar
Zuletzt verwendet* um
Start-Element*Nein
Gestarted*Ja

____________________________


Unbekannt
Es ist nicht bekannt, wie viele Benutzer in der Norton Community diese Datei verwendet haben.

Unbekannt
Diese Dateiversion ist nicht bekannt.

Hoch
Das Risiko dieser Datei ist hoch.

SONAR-Schutz überwacht Ihren Computer auf verdächtige Programmaktivitäten.



____________________________



Quelle: externe Medien


____________________________

Dateiaktionen

Infizierte Datei: c:\users\username username\desktop\mitteilung, rechnungsrückstände №9240209400015294 telekom deutschland gmbh vom 03.12.2013.exeKeine Aktion erforderlich
____________________________

Registrierungsaktionen

Registrierungsänderung: HKEY_USERS\S-1-5-21-3919570581-3675104597-105195445-1000\Software\Microsoft\Windows NT\CFD8974F9, Registrierungsstruktur: 64 bitentfernt
Registrierungsänderung: HKEY_USERS\S-1-5-21-3919570581-3675104597-105195445-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings->ProxyEnable:0, Registrierungsstruktur: 64 bitRepariert
Registrierungsänderung: HKEY_USERS\S-1-5-21-3919570581-3675104597-105195445-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings->ProxyOverride:*.local;<local>, Registrierungsstruktur: 64 bitRepariert
Registrierungsänderung: HKEY_USERS\S-1-5-21-3919570581-3675104597-105195445-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections->SavedLegacySettings:..., Registrierungsstruktur: 64 bitRepariert
Registrierungsänderung: HKEY_USERS\S-1-5-21-3919570581-3675104597-105195445-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Content->CachePrefix, Registrierungsstruktur: 64 bitRepariert
Registrierungsänderung: HKEY_USERS\S-1-5-21-3919570581-3675104597-105195445-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Cookies->CachePrefix:Cookie:, Registrierungsstruktur: 64 bitRepariert
Registrierungsänderung: HKEY_USERS\S-1-5-21-3919570581-3675104597-105195445-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\History->CachePrefix:Visited:, Registrierungsstruktur: 64 bitRepariert
Registrierungsänderung: HKEY_USERS\S-1-5-21-3919570581-3675104597-105195445-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\ec-23-3d-ed-57-c1->WpadDecisionReason:1, Registrierungsstruktur: 64 bitRepariert
Registrierungsänderung: HKEY_USERS\S-1-5-21-3919570581-3675104597-105195445-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\ec-23-3d-ed-57-c1->WpadDecisionTime:..., Registrierungsstruktur: 64 bitRepariert
Registrierungsänderung: HKEY_USERS\S-1-5-21-3919570581-3675104597-105195445-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\ec-23-3d-ed-57-c1->WpadDecision:0, Registrierungsstruktur: 64 bitRepariert
Registrierungsänderung: HKEY_USERS\S-1-5-21-3919570581-3675104597-105195445-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\ec-23-3d-ed-57-c1->WpadDetectedUrl, Registrierungsstruktur: 64 bitentfernt
Registrierungsänderung: HKEY_USERS\S-1-5-21-3919570581-3675104597-105195445-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{CA4777FA-E63E-4693-88F9-9F10B53553AB}->WpadDecisionReason:1, Registrierungsstruktur: 64 bitRepariert
Registrierungsänderung: HKEY_USERS\S-1-5-21-3919570581-3675104597-105195445-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{CA4777FA-E63E-4693-88F9-9F10B53553AB}->WpadDecisionTime:..., Registrierungsstruktur: 64 bitRepariert
Registrierungsänderung: HKEY_USERS\S-1-5-21-3919570581-3675104597-105195445-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{CA4777FA-E63E-4693-88F9-9F10B53553AB}->WpadDecision:0, Registrierungsstruktur: 64 bitRepariert
Registrierungsänderung: HKEY_USERS\S-1-5-21-3919570581-3675104597-105195445-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{CA4777FA-E63E-4693-88F9-9F10B53553AB}->WpadNetworkName:Netzwerk 2, Registrierungsstruktur: 64 bitRepariert
Registrierungsänderung: HKEY_USERS\S-1-5-21-3919570581-3675104597-105195445-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\ec-23-3d-ed-57-c1->WpadDetectedUrl, Registrierungsstruktur: 64 bitRepariert
____________________________

Netzwerkaktionen

Ereignis: Netzwerkaktivität (Ausgeführt von c:\users\username username\desktop\mitteilung, rechnungsrückstände №9240209400015294 telekom deutschland gmbh vom 03.12.2013.exe, PID:1296)Keine Aktion unternommen
____________________________

Systemeinstellungsaktionen

Ereignis: Prozessstart (Ausgeführt von c:\users\username username\desktop\mitteilung, rechnungsrückstände №9240209400015294 telekom deutschland gmbh vom 03.12.2013.exe, PID:1296)Keine Aktion unternommen
Ereignis: Prozessstart: c:\users\username username\desktop\mitteilung, rechnungsrückstände №9240209400015294 telekom deutschland gmbh vom 03.12.2013.exe, PID:1296 (Ausgeführt von c:\users\username username\desktop\mitteilung, rechnungsrückstände №9240209400015294 telekom deutschland gmbh vom 03.12.2013.exe, PID:1296)Keine Aktion unternommen
____________________________

Verdächtige Aktionen

Ereignis: Versuch, einen Remote-Thread in einem Prozessadressraum zu starten (Ausgeführt von c:\users\username username\desktop\mitteilung, rechnungsrückstände №9240209400015294 telekom deutschland gmbh vom 03.12.2013.exe, PID:1296)Keine Aktion unternommen
____________________________


Dateiabdruck - SHA:
1f443628d4722d0ecdb7bdb305e953d4d25cdbfe07401080bab6525f202b9bf8
Dateiabdruck - MD5:
Nicht verfügbar

 

[Wiggum]

20h...puh da hätt ich eher ein Backup eingespielt...
Desinfec't nutzt ja mehrere Scanner hat aber bei mir noch nie länger als 2h gedauert.

 

[~TooL~]

Die Dauer des scans ist auch davon abhängig wieviel Daten man auf dem Rechner hat. Dann kannste Deinen PC ja jetzt wieder beruhigt nutzen!

 

[chrigu]

und jetzt noch malwarebytes und (ich glaube es gibt auch eines von norton), das mit einer starbaren-cd durchjagen lassen. so bist du sicher, dass dieses bösen-tool nicht von norton ignoriert wurde.

 

[akimann]

und jetzt noch malwarebytes und (ich glaube es gibt auch eines von norton), das mit einer starbaren-cd durchjagen lassen. so bist du sicher, dass dieses bösen-tool nicht von norton ignoriert wurde.

ich hab den normalen kompletten Systemscan von Norton gemacht, dann mit dem Norton Power Eraser und dann mit dem Kaspersky Live CD vom USB-Stick gestartet und komplett nochmal, das müsste hoffentlich reichen

EDIT: und zusätzlich noch das Norton SONAR auf aggressiv gestellt, damit es auf jede verdächtige Aktion gleich reagiert

 

[purzelbär]

akimann, lade dir einfach Malwarebytes Free runter, installiere es, achte dabei darauf das du die Testphase für Malwarebytes Pro abwählst und mach dann damit eine Vollständige Überprüfung und lass Malwarebytes Free dann installiert.

 

[akimann]

aber ist es nicht so, daß es zu Problemen kommen kann wenn man 2 AVs gleichzeitig installiert hat ?

 

[purzelbär]

Ja das ist richtig aber wenn du Malwarebytes Free installierst und während der Installation die Option für die Testphase von Malwarebytes Pro abwählst, wird Malwarebytes von Anfang an als Free ohne Hintergrundwächter/Echtzeitschutz installiert und es ist als OnDemand Scanner installiert.

 

[nobodo]

@akimann,

Du kannst Dich natürlich mit weiteren Programmen beschäftigen oder Du akzeptierst einfach die Tatsache, dass Norton die Sache für Dich schon lange erledigt hat.

Wundere Dich aber nicht, wenn Dein Rechner aufgrund der ganzen sinnlosen Programme irgendwann nicht mehr läuft.

Norton hatte bereits den vollständigen Zugriff unterbunden. Sonst wäre die Datei nicht direkt entfernt worden.

 

[akimann]

ich hab jetzt noch den Malewarebytes laufen lassen und der hat nur noch ein paar Adwareteile von der Babylontoolbar, die ich versehentlich mal installiert habe, gefunden.

@nobodo: ich habe ja ein erst paar Tage altes Backup, und so gesehen war es mal eine gute Übung für den Fall, daß mal kein aktuelles Backup da ist und irgendwas passiert. Jetzt weiß ich wenigstens was ich dann alles machen kann

EDIT: hmmm, jetzt gerade eben hab ich eine einzelne Mail in Livemail mit dem roten Löschenkreuz löschen wollen, und plötzlich waren alle meine Mailaccounts weg.
Als ich Livemail neugestartet habe waren wieder alle da ?!?!?!? Anscheinend hat nobodo nicht ganz unrecht