Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Trojan.Win32.Bublik.bei entfernt

Mitglied: TechnoX

TechnoX (Level 2) - Jetzt verbinden

23.05.2012, aktualisiert 13:38 Uhr, 10008 Aufrufe, 8 Kommentare

Der Trojaner schlug heute ein. Das System läuft wieder aber reicht das aus was ich durchführte??

Hallo,

Ich habe keine all zu große Erfahrung mit diesem Trojaner und weis auch nicht genau was er alles im Hintergrund modifiziert/e.

Der Trojaner kam per Email als Anhang und war als Rechnung getarnt. Mein Kollege hatte die Mail zwar unter Verdacht doch da unser Mcafee hier (auch bei einem explizieten Scan) nichts gefunden hat lies er die Mail durch. Auch weil der Empfänger öfter auch Bestellungen in der Höhe durchführt.

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Infos zur mail:
Betreff: Neue Bestellung 47593990197

Sehr geehrte Kundin sehr geehrter Kunde,

unser Versandpartner hat Ihre Bestellung mit der Bestell Nr. 13663430288 zur Lieferung an DHL AG übergeben.

Im Anhang befindet sich die Abrechnung und Empfängeradresse als Doc Datei.

Sie können die Abrechnung immer selbständig über den online Shop ansehen.

Diese Angaben werden gebraucht:

- Email-Adresse und die Bestellnummer oder
- die Bestellnummer und die Serien-Nr.

Auftragsnummer: 11401386924
Geräte Serien-Nr.: 70719550397
Preis 742,50 euro

Die Buchung erfolgt in Die einigen Tagen von Ihrem PayPal-Konto.

Ihre Bestellung ist hiermit fertig.

Mit freundlichen Grüßen

Ihr Kundendienst

___________
Raigo Media Online-Shop mit Sitz in Augsburg

Vorstand: Jürgen Lang, Klaus Lehner
Aufsichtsratsvorsitzender: Walter Bauer
Amtsgericht: Hannover 70189

Infos zum Anhang:
Details.zip (Größe 36kb)

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Jedenfalls kam der Betroffene Anwender vollkommen fertig zu mir, nach dem er auf den anhang klickte. Und ich fand einen Desktop vor der mit der Meldung versehen war das:

http://www7.pic-upload.de/23.05.12/wryghnjeq3jr.jpg

Mir kam das bekannt vor da ich von dem BKA/Ukash Trojaner gehört habe. Der ja so vorgeht.. und stieß auf einige identische Gene.

Eines Vorweg - das System war NICHT verschlüsselt! RemoteRegistry, Remote Dienste, Netzwerkzugriff von meinem PC per c$ Freigabe, auch der Remote Scan und co des Mcafee ließs sich problemlos ausführen. Der Scan von Mcafee brachte aber nichts zu Tage. (In einem anderen Forum stieß ich bei der Recherche darauf das dieser Trojaner nur von 5 oder 6 Antivierenherstellern überhaupt erkannt und entfernt werden kann.)

Darauf hin durchsuchte ich die Registry nach autostart einträgen und wurde fündig:

*Aktuell angemeldeter User* \current version\Run
\\0C53F11C\\
C:\Users\*User*\AppData\Roaming\Ryrbkn\652D61C20C53F11C7933.exe

Unter dem Pfad war die Datei zu finden - also wurde sie gelöscht da sie def. da NICHT hingehörte. Nur um sicher zu gehen.. wollte den Registry Pfad ebenfalls löschen, leider ohne Erfolg. Hier verweigerte er mir den Vorgang.

Weitere (auf die schnelle von Hand durchgeführte) Untersuchungen brachten auch keine neuen Erkenntnisse. Nach kurzer Recherche stieß ich auf Wege den Trjoaner zu entfernen. Ich entschied mich für die Kaspersky Rescue Disk mit remover. Führte die beschriebenen aktionen incl. Scan durch.

Es wurde der genannte Registryeintrag gefunden und gefixt. So wie:

Gefunden: Trojan.Win32.Bublik.bei /mnt/MountedDevices/PD-D7DDD74A-00000000065XXX/Users/*USER*/AppData/Roaming/mixersnwin.exe

Der Rest blieb ohne Befund. Nach dem Neustart konnte sich der Nutzer wieder Problemlos anmelden und es scheint zu laufen. allerdings traue ich dem ganzen nicht wirklich..

Ist diese Variante schon bekannt? Was GENAU macht der Trojaner noch? Reicht das was ich gemacht habe aus um sicher zu sein? Habe den Anhang gesichert und vorsichtshalber erneut gezippt. Und als Beweis weggesichert.
Mitglied: d4shoerncheN
23.05.2012, aktualisiert um 13:36 Uhr
Hallo,

lade dir mal die Rescue-CD von Kaspersky runter.

Die brennst du dir auf CD und bootest von dieser. Starte Sie dann am besten im grafischen Modus. Wenn er erfolgreich von der CD gebootet hat, verbinde deinen Computer mit dem Netzwerk (wenn er es noch nicht ist - eventuell abgetrennt vom eigenen / Firmennetzwerk) damit er sich die aktuellste Virensignatur laden kann.

Starte das Rescue-Center und folge dem Assistenten. Am Anfang bereinigt er nur die wichtigsten Stellen, lass dies erst durchlaufen. Danach starte einen neuen Scan, wo du sämtliche Partitionen durchsuchst (dies dauert allerdings ein wenig).

Bin mit der CD sehr zufrieden.

Gruß

===EDIT===
Kleiner Tipp am Rande, bei solchen E-Mails immer genauer hinsehen. Oftmals stimmt was mit der Absender-Adresse nicht (z.B. amazon-com.net, statt amazon.com). Oder es befinden sich grammatikalische Fehler im Text (was bei einer seriösen Firma ehr unwahrscheinlich sein sollte).

Die Buchung erfolgt in Die (?!?!) einigen Tagen von Ihrem PayPal-Konto

Zudem kenne ich persönlich kein Unternehmen, was Rechnungen etc. als .zip-Datei sendet (auch hier die Finger von lassen).
Bitte warten ..
Mitglied: TechnoX
23.05.2012 um 13:37 Uhr
Dies habe ich schon getan - die is wirklich klasse hatte mich im Name vertippt war kaspersky ned Avira...
Bitte warten ..
Mitglied: d4shoerncheN
23.05.2012 um 13:45 Uhr
Hallo,

schau dich hier am Besten auch einmal um:

Das Kaspersky Virus Removal Tool kannst du auch gerne noch einmal durchlaufen lassen. Generell sollte die Rescue-Disk aber seinen Dienst getan haben.

Gruß
Bitte warten ..
Mitglied: cardisch
23.05.2012 um 15:23 Uhr
Tach,

alles was als Rechnung durchgeht und nicht PDF als Endung hat würde ich sofort ausschliessen, dafür gehört deinem User eins auf die Finger gehauen..
Warst du mal www.bka-trojaner.de ?!
AUch ein Kauf der Desinfec´t (da die der C´t beiliegt dauert deas mit Bestellung und Versand aber
ein paar Tage) kann nicht schaden.


Gruß

Carsten
Bitte warten ..
Mitglied: mrtux
23.05.2012, aktualisiert 24.05.2012
Hi!

Wenn Du dir nicht sicher bist ob es Malware sein könnte, dann trenne den Anhang ab (am besten auf einer Linuxbox) und lad den Anhang bei Virustotal zur Analyse hoch...Zipfiles im Anhang sind nach meiner Erfahrung aber fast immer getarnte Malware...

mrtux
Bitte warten ..
Mitglied: ChrisIO
23.05.2012, aktualisiert um 16:39 Uhr
Hey TechnoX,

ich habe diesen und andere, nette Trojaner schon von den Rechnern mehrerer Bekannter entfernt und gehe dabei folgendermaßen vor:

1. Kaspersky Rescue Disc booten und WindowsUnlocker ausführen(Anleitung findest Du bei google)
2. Mit GDATA Boot CD(Testversion bietet die Möglichkeit der Erstellung) mit der aktuellen Virendefinition das System durchscannen
3. Gdata Testversion auf System installieren und kompletten Systemscan nach Update durchführen

Manchmal findet man bei 3. immernoch Viren, kann aber das System bereits wieder nutzen.

Hat mich bislang immer zum Ziel geführt.

Wer keine CD`s brennen will, nimmt die Tools Unetbootin und rescue2usb.exe von Kaspersky zur Hilfe, um sich entsprechende bootfähig USB-Sticks zu erstellen.

Gruß,
Chris
Bitte warten ..
Mitglied: TechnoX
29.05.2012, aktualisiert um 12:23 Uhr
Hallo - momentaner Zwischenstand:

Der obengenannte Angriff hat trotz der anfänglichen euphorie einen kleinen Teil der installierten SQL datenbank verschlüsselt. Dies konnte dank der Datensicherung behoben werden.

Nachträglich erschien folgendes:

Scheinbar trägt sich der Scheiss in die Systemwiederherstellung ein. Daraus schrieb sich die Datei aus dem Autostart (die oben benannte .exe) erneut in das Profil unter " ;/..AppData.../roaming" zurück.

Dies wurde behoben. Inzwischen erkennt Mcafee den Schädling siehe hier:

http:
home.mcafee.com/virusinfo/virusprofile.aspx?key=1171744#none

Vorgang wie beschrieben ausgeführt - nachträglicher Scan läuft zur Zeit.

Ja ich weis Neuinstallation wäre besser. Aber is leider verworfen worden & man hat mich für Folgeschäden freigesprochen. Habe ausdrücklich darauf bestanden. Und ich rate jedem der das Drecksding ebenfalls hat die neuinstallation zu machen! sicher is sicher!

Es folgt ein Scan mit HijackThis und eine Prüfung mit cclean.
Bitte warten ..
Mitglied: TechnoX
31.05.2012 um 14:29 Uhr
Mal so die Frage in die Runde.. gibt es eine Möglichkeit die Daten zu entschlüsseln??

Habe diverese Decrypter schon probiert - da das verschlüsselungsformat aber nicht dem Decrypter entspricht sondern aus einer Zufalls generierten Nummer mit einer Länge zwischen 5~20 Zeichen besteht ist das ganze leider oft zum scheitern verurteilt. Die Dateigröße hat sich nicht verändert.

Gibt es da was?
Ein typisches Beispiel für den Verschlüsselten Name wäre:
gXJqevpGLgjUgdQAtofr

Ich mein das System läuft wieder aber ich wüsste zu gerne ob das schon öfter in der Art auftrat und obs dagegen halt schon was gibt. Tools von avira, Kaspersky, etz. halt die üblichen Verdächtigen aus dem Trojaner board sind nicht in der Lage. Avira spuckt wenigsten die Meldung aus das die Datei nicht identisch sei.. obwohl ich sie anhand der selben Dateigröße zu geordnet habe. (von 5 Dateien war nur eine mit 8.104MB im Ordner)

Irgend ne Idee?
Bitte warten ..
Ähnliche Inhalte
Windows 7

Windows entfernt selbstständig Druckeranschluss

Frage von 113320Windows 7

Hallo, bei mir und vielen weiteren Usern ist es vorgekommen (Domäne), dass ein bestimmter, erstellter Druckeranschluss immer nach einem ...

Windows Server

Teamviewer am entfernten Rechner.

Frage von DeathNoteWindows Server6 Kommentare

Hallo. Ich versuche mich gerade an einem Rechner per TV zu verbinden. Auf dem Rechner ist Server 2016Std installiert. ...

ISDN & Analoganschlüsse

Verteilerkasten, wie bekomme ich die Kabel entfernt

gelöst Frage von ProtectedISDN & Analoganschlüsse9 Kommentare

Sehr geehrte Damen und Herren, ich würde gerne auf der rechten Seite die Kabel vertauschen. Das Problem ist nur, ...

Netzwerkgrundlagen

Routing mit entferntem Gateway

gelöst Frage von agowa338Netzwerkgrundlagen4 Kommentare

Hallo, kann mir mal jemand den Verbindungsablauf erklären bei folgenden Routen in der Routing Tabelle des Windows Clients (IP: ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 1 TagWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 1 TagSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 2 TagenDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein interessanter Beitrag dazu: Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10 Anscheinend ...

Sicherheit
Information Security Hub Munich airport
Information von brammer vor 2 TagenSicherheit

Hallo, Neues Center für Cyber Kriminalität am Münchener Flughafen brammer

Heiß diskutierte Inhalte
DSL, VDSL
Mindestgeschwindigkeiten DSL Telekom
Frage von justlukasDSL, VDSL13 Kommentare

Hallo zusammen, Seit diesem Jahr habe ich Verständnisprobleme mit dem Verhalten der Telekom. Wir haben seit einem Jahr VDSL ...

Switche und Hubs
LANCOM-Switch: Probleme (no link) mit SFP-Modulen?
Frage von THETOBSwitche und Hubs11 Kommentare

Hi zusammen, ich habe folgendes Problem: Und zwar habe ich an einem Standort drei Switche verbaut - LANCOM GS-2326P+, ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)10 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall10 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...