Hallo,

ein Freundin bat um Rat, da sie einen email-Anhang nicht öffnen konnte.

Es handelt sich um eine als amazon-Mahnschreiben ("Unbeglichenen Rechnung...") getarnte mail, die vorgibt, von einem "Stellvertretenden Rechtsanwalt der Amazon AG" zu stammen. In der Abschlußfloskel ist als Name genannt: "Herrmann Maurice". Absender-Adresse ist jedoch "annavladi93" beim Provider "rambler.ru".

Da die Freundin vor einigen Wochen einer nicht erwarteten Konto-Abbuchung widersprochen hatte und die mail auf diese Stornierung der Abbuchung Bezug nahm (den zurückgeholten Abbuchungsbetrag plus zusätzliche Kosten einfordernd), dachte sie, es sei wichtig... Ansonsten kennt sie solche gefake-ten Mahnschreiben und ignoriert diese sachgerecht.

Da die Freundin 400km entfernt lebt und selbst kein PC-Freak ist, kann ich nicht einfach mal schnell hinfahren . sie selbst kann das Problem auch mit hiesiger Hilfe nicht selbständig lösen. Daher bitte ich um Einschätzung, was der Anhang beim mehrfachen Versuch, des Öffnens angerichtet haben könnte. Ich könnte eine Teamviever-Verbindung aufbauen, um auf ihrem PC Registry und Dateistruktur zu checken und/oder Analyseprogramme downzuloaden. Ich hätte allerdings Bedenken, auf diese Art bei aktiver Internet-Verbindung zu helfen, falls die vermutete Malware eine suffiziente Spionagefunktion hat (Keylogger o.ä.?)

Ich habe den mir weitergeleiteten email-Anhang (147 kB Größe vom mailprogramm angekündigt - nach dem Download aber nur 109,7 kB groß) hier unter Ubuntu 12.04 heruntergeladen (heruntergeladene Datei heißt: "Ausgleich stornierten Lastschrift Ihrer Bestellung Amazon AG vom 20.07.2015.zip") und entpackt. Es erscheint nach dem Entpacken wiederum eine Zip-Datei (nun mit 109,4 kB Größe) mit dem Namen "Rechnung an N.N. 20 07.2015 - Stellvertretender Rechtsanwalt Amazon AG.zip", das angegebene Datum ist allerdings der Eingangs-Tag der mail. Wenn man diese "gezippte Zip-Datei" nun nochmals entpackt, erhält man eine Datei namens "N.N. Rechnung 20.07.2015 - Stellvertretender Rechtsanwalt Amazon AG.com" von 177 kB Größe. Dies bekomme ich hier aber nur heraus, wenn ich beim Anzeigen des Inhaltes der zweiten Zip-Datei auf "Umbenennen" klicke, da ein erneutes Entpacken hier unter Ubuntu keinen erkennbaren Effekt hat. Bei der Freundin (unter Win7prof) sei irgendwann ein längerer Download-Vorgang geschehen - ich vermute das Nachladen der eigentlichen Malware...

Haltet Ihr eine online-Hilfe meinerseits per Teamviewer zur Analyse der Problems für machbar? Oder würde ich damit der Malware Zeit zum Arbeiten geben?

Danke und Grüße, Trojafried

hi,

was heißt Zeit zu arbeiten? Solange die Kiste nicht bereinigt wird hat sie zeit, als ran da

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)