| |  T-online "Rechnung"-Link angeklickt und gezipte exe ausgeführt
 Hi,
ich habe heute folgende Mail erhalten Zitat:
Return-Path: verschluesselung@t-online.de
Received: from endor3.nwt.de ([193.41.252.172]) by mx-ha.web.de (mxweb106)
with ESMTPS (Nemesis) id 0LnQCg-1WJf472vJm-00hbV1 for <***@web.de>; Wed,
04 Jun 2014 13:52:21 +0200
Received: from localhost (localhost [127.0.0.1])
by endor3.nwt.de (Postfix) with ESMTP id D980263AA2A2
for <xxx>; Wed, 4 Jun 2014 13:50:33 +0200 (CEST)
Received: from endor3.nwt.de ([127.0.0.1])
by localhost (endor.nw-team.de [127.0.0.1]) (amavisd-maia, port 10024)
with ESMTP id 05960-12 for <***@web.de>;
Wed, 4 Jun 2014 13:50:33 +0200 (CEST)
Received: from pc03 (unknown [80.123.85.230])
by endor3.nwt.de (Postfix) with ESMTPA id 751CA63AA1C3
for <xxx>; Wed, 4 Jun 2014 13:50:33 +0200 (CEST)
Date: Wed, 04 Jun 2014 13:52:16 +0200
From: verschluesselung@t-online.de
<xxx@acss.de>
To: xxx
X-MSMail-Priority: High
X-Priority: 1
Priority: urgent
Importance: high
X-MimeOLE: Produced by Blat v3.1.1
X-Mailer: Blat v3.1.1, a Win32 SMTP/NNTP mailer hxxp://www.blat.net
Message-ID: <01cf7feb$Blat.v3.1.1$6fcca953$afcf5ddf1dc@nwt.de>
Subject: RechnungOnline Monat Mai 2014 (Buchungskonto: 2560345632)
Content-Type: text/html;
charset="ISO-8859-1"
Content-Transfer-Encoding: quoted-printable
Envelope-To: <xxx>
X-UI-Filterresults: unknown:5;V01:K0:jQOKPiMM7Ew=:V1u2uPBsbZqFyr/MbBj4QoJt40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<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN" "hxxp://www=
.w3.org/TR/REC-html40/loose.dtd">
<HTML>
<HEAD>
<meta http-equiv=3D"Content-Type" content=3D"text/html; charset=3DWINDOWS=
-1252"><TITLE>RechnungOnline Mai 2014</TITLE></HEAD>
<BODY leftMargin=3D0 topMargin=3D0 bgColor=3D#ededed marginheight=3D"0" m=
arginwidth=3D"0">
<TABLE cellSpacing=3D0 cellPadding=3D0 width=3D"100%" border=3D0>
<TBODY>
<TR>
<TD height=3D30 vAlign=3Dmiddle align=3Dcenter><SPAN=20
style=3D"FONT-SIZE: 10px; FONT-FAMILY: Arial, Helvetica, sans-serif=
; COLOR: #7c7c7c; LINE-HEIGHT: normal"> </SPAN></TD></TR>
<TR>
<TD vAlign=3Dtop align=3Dcenter>
<TABLE cellSpacing=3D0 cellPadding=3D0 width=3D620 bgColor=3D#fffff=
f border=3D0>
<TBODY>
<TR>
<TD height=3D20 vAlign=3Dtop width=3D620 colSpan=3D3 align=3Dle=
ft> </TD></TR>
<TR>
<TD width=3D20> </TD>
<TD height=3D50 vAlign=3Dtop width=3D580 align=3Dleft><IMG=20
style=3D"DISPLAY: block" border=3D0=20
alt=3D"Telekom - erleben, was verbindet."=20
src=3D"hxxp://www.t-online.de/email/newsletter/1402/img/heade=
r.jpg"=20
width=3D580 height=3D50> </TD>
<TD width=3D20> </TD></TR>
<TR>
<TD height=3D20 vAlign=3Dtop width=3D620 colSpan=3D3 align=3Dle=
ft> </TD></TR>
<TR>
<TD width=3D20> </TD>
<TD vAlign=3Dtop width=3D580 align=3Dleft><SPAN=20
style=3D"FONT-SIZE: 14px; FONT-FAMILY: Arial, Helvetica, sans=
-serif; TEXT-TRANSFORM: uppercase; FONT-WEIGHT: bold; COLOR: #4b4b4b; MAR=
GIN: 5px 0px 0px; DISPLAY: block; LINE-HEIGHT: 20px">
Telekom Deutschland GmbH</SPAN></TD>
<TD width=3D20> </TD></TR>
<TR>
<TD width=3D20> </TD>
<TD height=3D35 vAlign=3Dtop width=3D580 align=3Dleft><IMG=20
style=3D"DISPLAY: block" border=3D0 alt=3D""=20
src=3D"hxxp://www.t-online.de/email/newsletter/1402/img/separ=
ator.jpg"=20
width=3D580 height=3D35> </TD>
<TD width=3D20> </TD></TR>
<TR>
<TD width=3D20> </TD>
<TD vAlign=3Dtop width=3D580 align=3Dleft><SPAN=20
style=3D"FONT-SIZE: 14px; FONT-FAMILY: Arial, Helvetica, sans=
-serif; COLOR: #4b4b4b; LINE-HEIGHT: 20px">
Guten Tag, </SPAN></TD>
<TD width=3D20> </TD></TR>
<TR>
<TD height=3D20 vAlign=3Dtop width=3D620 colSpan=3D3 align=3Dle=
ft> </TD></TR>
<TR>
<TD width=3D20> </TD>
<TD vAlign=3Dtop width=3D580 align=3Dleft><SPAN style=3D"FONT-S=
IZE: 14px; FONT-FAMILY: Arial, Helvetica, sans-serif; COLOR: #4b4b4b; LIN=
E-HEIGHT: 20px">
als Anlage ist die Rechnung 305541 als PDF-Datei beigef=FCgt: <a href=3D"=
">443367_G_29264521_Q_23_8743.pd=
f</a>.
<BR><BR>Die Gesamtsumme im Monat Mai 2014 beträgt: <strong>233,=
89 Euro</strong>.
</STRONG> </SPAN>
<TD width=3D20> </TD></TR>
<TR>
<TD height=3D25 vAlign=3Dtop width=3D620 colSpan=3D3 align=3Dle=
ft> </TD></TR>
<TR>
<TD height=3D25 vAlign=3Dtop width=3D620 colSpan=3D3 align=3Dle=
ft> </TD></TR>
<TR>
<TD width=3D20> </TD>
<TD vAlign=3Dtop width=3D580 align=3Dleft><SPAN=20
style=3D"FONT-SIZE: 14px; FONT-FAMILY: Arial, Helvetica, sans=
-serif; COLOR: #4b4b4b; LINE-HEIGHT: 20px">Mit=20
freundlichen Gr=FC=DFen<BR>Ihre Telekom </SPAN></TD>
<TD width=3D20> </TD></TR>
<TR>
<TD height=3D40 vAlign=3Dtop width=3D620 colSpan=3D3 align=3Dle=
ft> </TD></TR>
<TR>
<TD width=3D20> </TD>
<TD=20
style=3D"BORDER-TOP: #d0d0d0 1px solid; BORDER-BOTTOM: #d0d0d0 =
1px solid"=20
height=3D30 vAlign=3Dmiddle width=3D580 align=3Dleft><SPAN=20
style=3D"FONT-SIZE: 12px; FONT-FAMILY: Arial, Helvetica, sans=
-serif; COLOR: #4b4b4b; LINE-HEIGHT: 20px">=A9=20
Deutsche Telekom AG 2014</SPAN> <SPAN=20
style=3D"FONT-SIZE: 12px; FONT-FAMILY: Arial, Helvetica, sans=
-serif; COLOR: #4b4b4b; LINE-HEIGHT: 20px">|=20
</SPAN><A=20
style=3D"FONT-SIZE: 12px; TEXT-DECORATION: none; FONT-FAMILY:=
Arial, Helvetica, sans-serif; COLOR: #0090c4; LINE-HEIGHT: 20px"=20
href=3D"hxxp://www.t-online.de/email/hilfe" target=3D_blank>H=
ilfe</A>=20
<SPAN=20
style=3D"FONT-SIZE: 12px; FONT-FAMILY: Arial, Helvetica, sans=
-serif; COLOR: #4b4b4b; LINE-HEIGHT: 20px">|=20
</SPAN><A=20
style=3D"FONT-SIZE: 12px; TEXT-DECORATION: none; FONT-FAMILY:=
Arial, Helvetica, sans-serif; COLOR: #0090c4; LINE-HEIGHT: 20px"=20
href=3D"hxxp://www.t-online.de/email/verschluesselung/kontakt=
"=20
target=3D_blank>Kontakt</A> <SPAN=20
style=3D"FONT-SIZE: 12px; FONT-FAMILY: Arial, Helvetica, sans=
-serif; COLOR: #4b4b4b; LINE-HEIGHT: 20px">|=20
</SPAN><A=20
style=3D"FONT-SIZE: 12px; TEXT-DECORATION: none; FONT-FAMILY:=
Arial, Helvetica, sans-serif; COLOR: #0090c4; LINE-HEIGHT: 20px"=20
href=3D"hxxp://www.t-online.de/email/datenschutz"=20
target=3D_blank>Datenschutz</A> <SPAN=20
style=3D"FONT-SIZE: 12px; FONT-FAMILY: Arial, Helvetica, sans=
-serif; COLOR: #4b4b4b; LINE-HEIGHT: 20px">|=20
</SPAN><A=20
style=3D"FONT-SIZE: 12px; TEXT-DECORATION: none; FONT-FAMILY:=
Arial, Helvetica, sans-serif; COLOR: #0090c4; LINE-HEIGHT: 20px"=20
href=3D"hxxp://www.t-online.de/email/agb" target=3D_blank>AGB=
</A> <SPAN=20
style=3D"FONT-SIZE: 12px; FONT-FAMILY: Arial, Helvetica, sans=
-serif; COLOR: #4b4b4b; LINE-HEIGHT: 20px">|=20
</SPAN><A=20
style=3D"FONT-SIZE: 12px; TEXT-DECORATION: none; FONT-FAMILY:=
Arial, Helvetica, sans-serif; COLOR: #0090c4; LINE-HEIGHT: 20px"=20
href=3D"hxxp://www.t-online.de/email/impressum"=20
target=3D_blank>Impressum</A> </TD>
<TD width=3D20> </TD></TR>
<TR>
<TD width=3D20> </TD>
<TD width=3D580><SPAN=20
style=3D"FONT-SIZE: 10px; FONT-FAMILY: Arial, Helvetica, sans=
-serif; COLOR: #7c7c7c; LINE-HEIGHT: 16px">Sie=20
erhalten diese Systeminformation, da Sie versuchen, =FCber ei=
ne=20
unverschl=FCsselte Verbindung auf Ihr Postfach zuzugreifen.<B=
R>Es=20
handelt sich um eine aus dem System generierte Nachricht.=20
</SPAN><BR><SPAN=20
style=3D"FONT-SIZE: 10px; FONT-FAMILY: Arial, Helvetica, sans=
-serif; COLOR: #7c7c7c; LINE-HEIGHT: 16px">Sie=20
haben eine Frage an den Kundenservice? Dann nutzen Sie bitte =
unser=20
<A=20
style=3D"FONT-SIZE: 10px; TEXT-DECORATION: none; FONT-FAMILY:=
Arial,Helvetica,sans-serif; COLOR: #0090c4; LINE-HEIGHT: 14px"=20
href=3D"hxxp://www.t-online.de/email/kontaktformular">E-Mail=20
Kontaktformular. </A></SPAN></TD>
<TD width=3D20> </TD></TR>
<TR>
<TD height=3D20 vAlign=3Dtop width=3D620 colSpan=3D3=20
align=3Dleft> </TD></TR></TBODY></TABLE></TD></TR>
<TR>
<TD height=3D30> </TD></TR></TBODY></TABLE></BODY></HTML>
| Statt der pdf wie im Text zu sehen wird eine zip Datei heruntergeladen
Beim doppelklick im automatisch geöffneten 7-zip sehe ich gerade noch dass ich eine exe geöffnet habe -es passiert aber vordergründig nichts
MBAm findet 3 Objekte, die habe ich entfernt Zitat:
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Datenbank Version: v2014.06.04.09
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
xxx :: xxxxx [Administrator]
04.06.2014 20:18:35
mbam-log-2014-06-04 (20-18-35).txt
Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 409308
Laufzeit: 7 Minute(n), 2 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 1
HKCU\Software\Softonic\Universal Downloader (PUP.Optional.Softonic.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 2
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)
(Ende)
| Ms security essentials merkt nichts trotz echtzeitschutz (na ja, xp-rechner ?!)
War es das?
Danke & Grüße
popeye
ps hier die url in der obigen mail, die die malware lädt entfernt
Geändert von aharonov (05.06.2014 um 21:36 Uhr)
Grund: Malwarelink/Emailadresse entfernt
|
04.06.2014, 19:35
Baum-Darstellung