Trojan.Win32.Bublik.bei entfernt

Hallo,

Ich habe keine all zu große Erfahrung mit diesem Trojaner und weis auch nicht genau was er alles im Hintergrund modifiziert/e.

Der Trojaner kam per Email als Anhang und war als Rechnung getarnt. Mein Kollege hatte die Mail zwar unter Verdacht doch da unser Mcafee hier (auch bei einem explizieten Scan) nichts gefunden hat lies er die Mail durch. Auch weil der Empfänger öfter auch Bestellungen in der Höhe durchführt.

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Infos zur mail:
Betreff: Neue Bestellung 47593990197

Sehr geehrte Kundin sehr geehrter Kunde,

unser Versandpartner hat Ihre Bestellung mit der Bestell Nr. 13663430288 zur Lieferung an DHL AG übergeben.

Im Anhang befindet sich die Abrechnung und Empfängeradresse als Doc Datei.

Sie können die Abrechnung immer selbständig über den online Shop ansehen.

Diese Angaben werden gebraucht:

- Email-Adresse und die Bestellnummer oder
- die Bestellnummer und die Serien-Nr.

Auftragsnummer: 11401386924
Geräte Serien-Nr.: 70719550397
Preis 742,50 euro

Die Buchung erfolgt in Die einigen Tagen von Ihrem PayPal-Konto.

Ihre Bestellung ist hiermit fertig.

Mit freundlichen Grüßen

Ihr Kundendienst

___________
Raigo Media Online-Shop mit Sitz in Augsburg

Vorstand: Jürgen Lang, Klaus Lehner
Aufsichtsratsvorsitzender: Walter Bauer
Amtsgericht: Hannover 70189


Infos zum Anhang:
Details.zip (Größe 36kb)

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Jedenfalls kam der Betroffene Anwender vollkommen fertig zu mir, nach dem er auf den anhang klickte. Und ich fand einen Desktop vor der mit der Meldung versehen war das:

http://www7.pic-upload.de/23.05.12/wryghnjeq3jr.jpg

Mir kam das bekannt vor da ich von dem BKA/Ukash Trojaner gehört habe. Der ja so vorgeht.. und stieß auf einige identische Gene.

Eines Vorweg - das System war NICHT verschlüsselt! RemoteRegistry, Remote Dienste, Netzwerkzugriff von meinem PC per c$ Freigabe, auch der Remote Scan und co des Mcafee ließs sich problemlos ausführen. Der Scan von Mcafee brachte aber nichts zu Tage. (In einem anderen Forum stieß ich bei der Recherche darauf das dieser Trojaner nur von 5 oder 6 Antivierenherstellern überhaupt erkannt und entfernt werden kann.)

Darauf hin durchsuchte ich die Registry nach autostart einträgen und wurde fündig:

*Aktuell angemeldeter User* \current version\Run
\\0C53F11C\\
C:\Users\*User*\AppData\Roaming\Ryrbkn\652D61C20C53F11C7933.exe

Unter dem Pfad war die Datei zu finden - also wurde sie gelöscht da sie def. da NICHT hingehörte. Nur um sicher zu gehen.. wollte den Registry Pfad ebenfalls löschen, leider ohne Erfolg. Hier verweigerte er mir den Vorgang.

Weitere (auf die schnelle von Hand durchgeführte) Untersuchungen brachten auch keine neuen Erkenntnisse. Nach kurzer Recherche stieß ich auf Wege den Trjoaner zu entfernen. Ich entschied mich für die Kaspersky Rescue Disk mit remover. Führte die beschriebenen aktionen incl. Scan durch.

Es wurde der genannte Registryeintrag gefunden und gefixt. So wie:

Gefunden: Trojan.Win32.Bublik.bei /mnt/MountedDevices/PD-D7DDD74A-00000000065XXX/Users/*USER*/AppData/Roaming/mixersnwin.exe

Der Rest blieb ohne Befund. Nach dem Neustart konnte sich der Nutzer wieder Problemlos anmelden und es scheint zu laufen. allerdings traue ich dem ganzen nicht wirklich..

Ist diese Variante schon bekannt? Was GENAU macht der Trojaner noch? Reicht das was ich gemacht habe aus um sicher zu sein? Habe den Anhang gesichert und vorsichtshalber erneut gezippt. Und als Beweis weggesichert.