Trojaner-Board - Vodafone PDF Trojaner?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Vodafone PDF Trojaner? (https://www.trojaner-board.de/125415-vodafone-pdf-trojaner.html)

Vodafone PDF Trojaner?

:pfeiff::schrei:Bin neu im Forum. Habe soeben versehentlich eine angehängte pdf "vodafone Rechnung" o.ä. geöffnet. Hat nichts geöffnet, sondern wohl entpackt, dann sind mir sofort Bedenken bekommen, zumal ich ja kein Vodafone Kunde bin (... ich Depp!). Dürfte sich also sicher um einen Virus, Trojaner o.ä. handeln. Wie soll ich vorgehen.
Den PC (OS: Windows 7, MS Security Essentials) habe ich sofort runtergefahren, um v.a. keine Netzwerkinfektion auszulösen (musste ich erzwingen).
Wie soll ich jetzt weiter vorgehen, wie die Logdatei erstellen, habe so was noch nicht gemacht und will keinen Fehler machen?!
Datensicherung ist nicht wirklich da, Daten sind tw. wichtig und sensibel.

Wenn du nichts ausgeführt hast, ist dem System durch den schadhaften Anhang auch kein Schaden entstanden

Zitat:

Datensicherung ist nicht wirklich da, Daten sind tw. wichtig und sensibel.

Ich versteh sowas einfach nicht. Warum merkt man immer erst wenn fast etwas passiert ist oder gar wenn es zu spät ist, dass die ach so wichtigen Daten nie gesichert wurden?!

Haste selbstverständlich recht, Datensicherung h ä t t e sein sollen und müssen, ist aber trotzdem nicht!
Habe die pdf im Anhang ausgeführt (... angehängte pdf geöffnet ...)!:heulen:

Das Teil war nur als PDF getarnt! Dank der grandiosen Windows-Standardeinstellungen Dateiendungen nicht anzuzeigen! Sonst hättest du eine PDF.EXE gesehen!

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Thx für die superschnelle Reaktion. Soll ich die Malwarebytes SW über den vermutl. infizierten Rechner runterladen und installieren oder extern von anderem PC aus downloaden und (dann wie???) auf dem infizierten System laufen lassen? Und wie siehts mit eset aus? Da tauchen just die gleichen Fragen auf wie bei Malwarebytes.

... ich hab den vermutl. infizierten Rechner seither nicht mehr angefasst und schick die Mail daher von einem anderen System aus ...

... und was heisst und wie geht das mit dem Scan unter Eset als Administrator?

Du musst alles von betroffenen Rechner aus machen

Hab ich versucht, der lässt mich nicht die Malwarebytes Datei runterladen. Was soll ich machen? Evtl. von anderem Rechner aus downloaden, auf CD brennen und dann starten? Was muss ich das an Dateien auf CD brennen? Geht es auch auf USB Stick? Und wie sieht das selbe mit ESET aus (was für Dateien brennen/auf Stick ziehen?:confused:

Funktioniert das nicht im abgesicherten Modus mit Netzwerktreibern?

Abgesicherter Modus zur Bereinigung

Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:

Malwarebytes:

Code:

Malwarebytes Anti-Malware 1.65.0.1400

www.malwarebytes.org
 

Datenbank Version: v2012.10.11.12
 

Windows 7 Service Pack 1 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)

Internet Explorer 9.0.8112.16421

hamis :: HAMIS-PC [Administrator]
 

11.10.2012 20:28:56

mbam-log-2012-10-11 (21-01-10).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 321189

Laufzeit: 29 Minute(n), 14 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 2

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|monnu (Trojan.Agent.GNI) -> Daten: "C:\Users\hamis\AppData\Roaming\monnu.exe" -autorun -> Keine Aktion durchgeführt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{775ADCBA-D784-CA32-FB38-3FA17EDF7B6B} (Trojan.ZbotR.Gen) -> Daten: C:\Users\hamis\AppData\Roaming\Ivy\zyucov.exe -> Keine Aktion durchgeführt.
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 5

C:\Users\hamis\AppData\Roaming\monnu.exe (Trojan.Agent.GNI) -> Keine Aktion durchgeführt.

C:\Users\hamis\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\K91H28L8\echo[1].exe (Trojan.Agent.GNI) -> Keine Aktion durchgeführt.

C:\Users\hamis\AppData\Local\Temp\tmp845e056f\echo.exe (Trojan.Agent.GNI) -> Keine Aktion durchgeführt.

C:\Users\hamis\AppData\Local\Temp\tmpa2bd7579\echo.exe (Trojan.Agent.GNI) -> Keine Aktion durchgeführt.

C:\Users\hamis\AppData\Roaming\Ivy\zyucov.exe (Trojan.ZbotR.Gen) -> Keine Aktion durchgeführt.
 

(Ende)

ESET:

Code:

C:\Users\hamis\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\K91H28L8\echo[1].exe        Variante von Win32/Injector.XNN Trojaner        Gesäubert durch Löschen - in Quarantäne kopiert

C:\Users\hamis\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook\1STO6BS9\Vodafone_Online-Rechnung pdf.zip        Win32/TrojanDownloader.Wauchos.A Trojaner        gelöscht - in Quarantäne kopiert

C:\Users\hamis\AppData\Local\Temp\00014afe.exe        Variante von Win32/Injector.XOY Trojaner        Gesäubert durch Löschen - in Quarantäne kopiert

C:\Users\hamis\AppData\Local\Temp\tmp845e056f\echo.exe        Variante von Win32/Injector.XNN Trojaner        Gesäubert durch Löschen - in Quarantäne kopiert

C:\Users\hamis\AppData\Local\Temp\tmpa2bd7579\echo.exe        Variante von Win32/Injector.XNN Trojaner        Gesäubert durch Löschen - in Quarantäne kopiert

C:\Users\hamis\AppData\Roaming\monnu.exe        Variante von Win32/Injector.XNN Trojaner        Gesäubert durch Löschen - in Quarantäne kopiert

C:\Users\hamis\AppData\Roaming\Ivy\zyucov.exe        Variante von Win32/Injector.XOY Trojaner        Gesäubert durch Löschen - in Quarantäne kopiert

Ausserdem hat - wohl schon gestern - MS Security Essentials eine Datei:
"worm:win32/Gamarue.I" in Quarantäne verschoben.

Zitat:

Gesäubert durch Löschen - in Quarantäne kopiert

Was hast du eigentlich an der ESET-Anleiotung nicht verstanden?

Hinweis: ESET zeigt durchaus öfter ein paar Fehlalarme. Deswegen soll auch von ESET immer nur erst das Log gepostet und nichts entfernt werden.

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Das mit dem ESET Scan lief im Programm irgendwie anders.
Heisst das mit dem "gelöscht und in Quarantäne kopiert", dass die Infektion jetzt endgültig beseitigt ist? Muss ich noch was machen? Muss ich die Dateien aus der Quarantäne löschen, ggfls. wie geht das? Für mich ist die Aussage "gelöscht und in Q. kopiert" eígentlich ein Widerspruch in sich :confused:(etwas gelöschtes kann ich doch nicht mehr kopieren ...). Was ist mit der Meldung aus MS-Security Essentials?

Nein, du solltest ja auch die Anleitung vorher lesen und dann ESET ausführen!
Hättest du nach der Anleitung gehandelt wäre auch nichts von ESET entfernt worden, warum ESET nichts entfernen sollte wurde auch beschrieben warum!

Zitat:

Für mich ist die Aussage "gelöscht und in Q. kopiert"

Ja weil kaum einer sich die Mühe macht mal zu überlegen was eine Q ist (sry nichts gegen dich)
Die Q ist ein isolierter Bereicht, wenn der Schädling dahin verschoben wurde ist er nicht mehr aktiv aber notfalls kommt man noch an ihn ran falls ein Fehlalarm vorlag!

Thx. Ist der Rechner jetzt "sauber" und ich kann alles so belassen oder besteht sonst noch irgendwie Handlungsbedarf?

Nein wir sind nicht fertig
Zudem weiß ich immernoch nicht ob es weitere Log von Malwarebytes gibt oder nicht

Nein, es gibt keine weiteren Logs von Malwarebytes