Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner Screen locker Emaulation Tastatur/Maus (https://www.trojaner-board.de/123977-trojaner-screen-locker-emaulation-tastatur-maus.html)

leonardo8 12.09.2012 18:30
Trojaner Screen locker Emaulation Tastatur/Maus
 
Auf einem Kinder PC erschien ein Sperrbildschirm, angeblich von der GEMA :-)

Zitat:
--------------
Auf Ihrem Computer wurden illegal heruntegeladene Musikstücke ("Raubkopien") gefunden.
....
Um die Sperre aufzuheben und weiteren strafrechtlichen Konsequenzen aus dem Weg zu gehen, sind Sie verpflichtet eine Mahngebühr in Höhe von € 50,- zu bezahlen.
--------------

Es war nur das betroffene Useraccount gesperrt,
Ich fand den Schuldigen unter
C:\Users\*****\AppData\Roaming\1.exe
Im gleichen Verzeichnis fand sich noch eine bitidentische perfect.exe

Das Umbenennen der Dateien beendete den Spuk.

Bei eine Testlauf in der Sandbox tat er folgendes:

-Ändert Einträge in der Registry:
Um das Löschen seiner Datei zu verhindern,
Shell wird auf ihn umgebogen (Explorer,exe und cmd.exe)
Das Kontextmenue wird für Explorer und Desktop deaktiviert
Die Explorer-Sicherheitszonen wird verändert

- Sucht nach Debuggern

- Emuliert Keyboard/Mauseingaben.
(Das erschwerte mir die Bedienung der Sandbox,
soll aber wohl "nur" das Opfer behindern)

- Startet die Dienste: LanmanServer und RASMAN

- Versucht Explorer.exe zu beenden.

- Liest das Telefonbuch.

Er baut eine Verbindung zu: 95. 163 .68 .147 payz/stat.php auf wo er den Sperrbildschirm abruft. D.h. das könnte jederzeit geändert werden.

Die im Text angedrohte Dateiverschlüsselung fand ich erst mal nicht.

Kein Anspruch auf Vollständigkeit

Falls weitere Infos gewünscht bitte posten
Gruß an alle Trojaner Jäger

cosinus 14.09.2012 21:44
Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset




Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
hier steht das Log


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:43 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129