Mahnung mit Zip- Datei heruntergeladen und geöffnet
Hallo,
Ich hab vor ein paar Tagen (23.08.2013) eine Mail von einem angeblichen Anwalt bekommen. In der Mail stand das eine Abbuchung fehlgeschlagen sei und ich nun fast 200€ nachzahlen solle. Im Anhang der Mail war eine ZIP Datei, welche alle möglichen Informationen beinhalten sollte.
Aus lauter Panik und Angst versuchte ich diese zu öffnen jedoch passierte nichts. Habe mich dann mal hier im Forum etwas schlau gemacht und festgestellt das weitere Leute ähnliche Mails bekommen haben und ich schätze mal das ich auch von einem Virus befallen wurde. Heute musste ich feststellen das meine explorer.exe 2 mal abgestürzt ist und das sich kurz danach meine Firewall verabschiedet hat. Ich habe mittlerweile einen Scan mit Avira gemacht.
Hier die Logfiles : Code:
Exportierte Ereignisse:
24.08.2013 18:20 [System-Scanner] Malware gefunden
Die Datei 'C:\Program Files (x86)\Windows NT\defmvideo.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/BankZone.A.2' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '54734f70.qua'
verschoben!
Der Registrierungseintrag
<HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\defmvideo>
wurde erfolgreich repariert.
24.08.2013 18:18 [Echtzeit-Scanner] Malware gefunden
In der Datei 'C:\Program Files (x86)\Windows NT\defmvideo.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/BankZone.A.2' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
24.08.2013 16:19 [System-Scanner] Malware gefunden
Die Datei 'C:\Users\*****\Desktop\MF2BOB\M2Bob - Version 1.6.5.rar'
enthielt einen Virus oder unerwünschtes Programm 'TR/Strictor.26857.2' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '518506b1.qua'
verschoben!
24.08.2013 16:19 [System-Scanner] Malware gefunden
Die Datei 'D:\*****-TOSH\Backup Set 2012-10-21 070416\Backup Files 2012-10-29
131911\Backup files 12.zip'
enthielt einen Virus oder unerwünschtes Programm 'TR/Strictor.26857.2' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7cfe29ee.qua'
verschoben!
24.08.2013 16:18 [System-Scanner] Malware gefunden
Die Datei 'D:\*****-TOSH\Backup Set 2012-10-21 070416\Backup Files 2012-10-29
131911\Backup files 3.zip'
enthielt einen Virus oder unerwünschtes Programm 'TR/Strictor.26857.2' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '00e66984.qua'
verschoben!
24.08.2013 16:18 [System-Scanner] Malware gefunden
Die Datei 'D:\*****-TOSH\Backup Set 2012-10-21 070416\Backup Files 2012-11-11
190002\Backup files 11.zip'
enthielt einen Virus oder unerwünschtes Programm 'TR/Strictor.26857.2' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c5e442d.qua'
verschoben!
24.08.2013 16:17 [System-Scanner] Malware gefunden
Die Datei 'D:\*****-TOSH\Backup Set 2012-10-21 070416\Backup Files 2012-11-11
190002\Backup files 133.zip'
enthielt einen Virus oder unerwünschtes Programm 'TR/Strictor.26857.2' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '33457612.qua'
verschoben!
24.08.2013 16:16 [System-Scanner] Malware gefunden
Die Datei 'D:\*****-TOSH\Backup Set 2013-05-31 113820\Backup Files 2013-05-31
113820\Backup files 204.zip'
enthielt einen Virus oder unerwünschtes Programm 'TR/Strictor.26857.2' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '76c15b37.qua'
verschoben!
24.08.2013 16:16 [System-Scanner] Malware gefunden
Die Datei 'D:\*****-TOSH\Backup Set 2013-05-31 113820\Backup Files 2013-05-31
113820\Backup files 7.zip'
enthielt einen Virus oder unerwünschtes Programm 'TR/Strictor.26857.2' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '10f61422.qua'
verschoben!
24.08.2013 16:15 [System-Scanner] Malware gefunden
Die Datei 'D:\*****-TOSH\Backup Set 2013-07-01 205700\Backup Files 2013-07-01
205700\Backup files 7.zip'
enthielt einen Virus oder unerwünschtes Programm 'TR/Strictor.26857.2' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '42a94e88.qua'
verschoben!
24.08.2013 16:14 [System-Scanner] Malware gefunden
Die Datei 'D:\*****-TOSH\Backup Set 2013-07-01 205700\Backup Files 2013-08-02
100915\Backup files 23.zip'
enthielt einen Virus oder unerwünschtes Programm 'TR/Strictor.26857.2' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5a3e613f.qua'
verschoben!
Danach habe ich nochmal einen Scan mit Malewarebytes gemacht: Code:
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Datenbank Version: v2013.08.24.02
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16660
***** :: *****-TOSH [Administrator]
24.08.2013 16:22:42
mbam-log-2013-08-24 (16-22-42).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 541981
Laufzeit: 1 Stunde(n), 48 Minute(n), 22 Sekunde(n)
Infizierte Speicherprozesse: 2
C:\Program Files (x86)\Betcat\WBDesktop.Updater.exe (PUP.Optional.WebCake.A) -> 2108 -> Löschen bei Neustart.
C:\Users\*****\AppData\Roaming\Betcat\WebCakeDesktop.exe (PUP.WebCake.A) -> 4456 -> Löschen bei Neustart.
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 23
HKLM\SYSTEM\CurrentControlSet\Services\WebCake Desktop Updater (PUP.Optional.WebCake.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{2A5A2A90-3B30-4E6E-A955-2F232C6EF517} (Adware.WebCake) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\TypeLib\{EFDF368C-8DD9-4E05-87CD-16AA5CB03CB8} (Adware.WebCake) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{0AFD55C8-ADF8-4A33-A6E1-DEDB7A36AEB4} (Adware.WebCake) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\WebCakeIEClient.Layers.1 (Adware.WebCake) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\WebCakeIEClient.Layers (Adware.WebCake) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2A5A2A90-3B30-4E6E-A955-2F232C6EF517} (Adware.WebCake) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\AppID\{7169BBB3-3289-4696-B35D-4A88BCF6FB12} (PUP.Optional.WebCake.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{2A5A2A90-3B30-4E6E-A955-2F232C6EF517} (PUP.WebCake) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\TypeLib\{EFDF368C-8DD9-4E05-87CD-16AA5CB03CB8} (PUP.WebCake) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{0AFD55C8-ADF8-4A33-A6E1-DEDB7A36AEB4} (PUP.WebCake) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\WebCakeIEClient.Layers.1 (PUP.WebCake) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\WebCakeIEClient.Layers (PUP.WebCake) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2A5A2A90-3B30-4E6E-A955-2F232C6EF517} (PUP.WebCake) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{AF6B0594-6008-4327-93E5-608AD710A6FA} (PUP.Optional.WebCake.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\WebCakeIEClient.Api.1 (PUP.Optional.WebCake.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\WebCakeIEClient.Api (PUP.Optional.WebCake.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{AF6B0594-6008-4327-93E5-608AD710A6FA} (PUP.Optional.WebCake.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{BB975E58-E769-4E5A-BA12-B765BC559FF3} (PUP.Optional.WebCake.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{DF84E609-C3A4-49CB-A160-61767DAF8899} (PUP.Optional.WebCake.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{DF84E609-C3A4-49CB-A160-61767DAF8899} (PUP.Optional.WebCake.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\AppID\WebCakeIEClient.DLL (PUP.WebCake) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Google\Chrome\Extensions\fjoijdanhaiflhibkljeklcghcmmfffh (PUP.WebCake) -> Erfolgreich gelöscht und in Quarantäne gestellt.
Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|WebCake Desktop (PUP.WebCake.A) -> Daten: C:\Users\Jakob\AppData\Roaming\Betcat\WebCakeDesktop.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|xetprioo (Trojan.Zbot) -> Daten: C:\Users\Jakob\AppData\Local\Temp\Djjtqjdn\vlurvgrioo.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 5
C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38} (PUP.WebCake) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}\Cache (PUP.WebCake) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\Tarma Installer (PUP.Optional.Tarma.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504} (PUP.Optional.Tarma.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504}\Cache (PUP.Optional.Tarma.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
Infizierte Dateien: 19
C:\Program Files (x86)\Betcat\WBDesktop.Updater.exe (PUP.Optional.WebCake.A) -> Löschen bei Neustart.
C:\Users\Jakob\AppData\Roaming\Betcat\WebCakeDesktop.exe (PUP.WebCake.A) -> Löschen bei Neustart.
C:\Users\Jakob\AppData\Local\Temp\Djjtqjdn\vlurvgrioo.exe (Trojan.Zbot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Betcat\WebCakeIEClient.dll (Adware.WebCake) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Betcat\WebCakeIEClient.dll (PUP.WebCake) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\Web Cake\WADesktop.Updater.exe (PUP.Optional.WebCake.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504}\Setup.exe (PUP.Optional.Tarma.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}\Setup.exe (PUP.Optional.Tarma.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Jakob\AppData\Local\Temp\{00003C2D-A1E1-F9} (Trojan.Ransom.PA) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Jakob\AppData\Roaming\Web Cake\WebCakeDesktop.exe (PUP.WebCake.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}\Setup.ico (PUP.WebCake) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}\Setup.dat (PUP.WebCake) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}\_Setup.dll (PUP.WebCake) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}\_Setupx.dll (PUP.WebCake) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Tasks\schedule!3036567561.job (PUP.Optional.OptimizerPro.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504}\Setup.dat (PUP.Optional.Tarma.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504}\Setup.ico (PUP.Optional.Tarma.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504}\_Setup.dll (PUP.Optional.Tarma.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504}\_Setupx.dll (PUP.Optional.Tarma.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
(Ende)
Ich hoffe mir kann jemand helfen. Schon mal :dankeschoen: im vorraus ! | 