TROJANER "TR/CRYPT.FKM.GEN" IN scr-DATEI
 

Hallo,
ich habe auf meinem Mac OS 10.5.8 Parallels 4 und darin Windows XP SP 3 mit gegenseitigen vollen Zugriffsrechten installiert.

Habe gestern morgen in Mac OS mit FF von meinem web.de Postfach die mails auf Thunderbird runtergeladen und kurz geöffnet.
In der Mittagspause war ich in einem Internetcafe, da ich mein note book zu Hause hatte und wollte einige mails beantworten. Das habe ich direkt im web.de Postfach getan.
Dabei war eine mail von einer mir bekannten Person, die in einer Rechnungsprüfungsstelle arbeitet und auf eine meiner Überweisungen Bezug genommen hatte und mir mitteilte, dass diese Überweisung auf Richtigkeit geprüft werden müßte. Dazu sollte ich einen link anklicken und eine Datei herunter laden. Normalerweise hätte ich das nicht getan, aber da ich die Person kannte und ich dachte, es müsse tatsächlich etwas hinsichtlich meiner letzten Überweisung geklärt werden, habe ich die Datei herunter geladen und Antivir hat die Meldung heraus gegeben: Trojanisches Pferd- TR/Crypt.FKM.Gen.

Daraufhin habe ich die Rechnungsprüfungsstelle angerufen und heraus bekommen, dass mir diese mail nicht von dort geschickt wurde.

Ich habe darauf hin den erweiterten header kopiert und die mail aus meinem web.de Postfach gelöscht.

Betreff: Comprovante de Deposito em Conta
Von: carla***@aioshi.com.br ins Adressbuch
| zum Chat einladen

24.08.09 06:11

Received: from [200.212.140.169] (helo=webmail.cidadesp.edu.br)
by mx34.web.de with esmtp (WEB.DE 4.110 #314)
id 1MfQtZ-0001u1-00; Mon, 24 Aug 2009 06:11:01 +0200
Received: from [189.98.224.244] ([189.98.224.244]) by webmail.cidadesp.edu.br with Microsoft SMTPSVC(6.0.3790.3959);
Mon, 24 Aug 2009 01:09:27 -0300
Content-Type: multipart/alternative; boundary="===============1292897289=="
MIME-Version: 1.0
Subject: Comprovante de Deposito em Conta
To: carla***@aioshi.com.br
From: carla***@aioshi.com.br
Date: Mon, 24 Aug 2009 01:10:47 -0300
Message-ID: <ANTARESwxXSXI3acH0x000074cc@webmail.cidadesp.edu.br>
X-OriginalArrivalTime: 24 Aug 2009 04:09:27.0234 (UTC) FILETIME=[ABE52A20:01CA2470]
Return-Path: carla***@aioshi.com.br


Die mail befindet sich noch in meinem Thunderbird - Posteingangsordner. Hier hatte ich zwar die mail geöffnet, aber den link nicht angeklickt.

Kann ich davon ausgehen, dass mein Rechner sauber ist und sauber bleibt oder gibt es ein Restrisiko, dass ich mir durch diese mail oder das Kopieren des erweiterten headers und weiterer Infos über diese Datei auch einen virus auf meinen Rechner geladen habe?.

Windows XP Prüfung durch Avast 4.8 meldet nichts verdächtiges.
Auf dem mac habe für das Mac OS 10.5.8 keine Virenschutzsoftware installiert und konnte hier auch nichts prüfen.

Ist es ratsam, dass ich mir nun AVAST für MAC noch installiere?

Habe mir ein logfile machen lassen, kann das aber nicht beurteilen.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:15:12, on 25.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Parallels\Parallels Tools\SIA\SharedIntApp.exe
C:\Programme\Parallels\Parallels Tools\prl_cc.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Parallels\Parallels Tools\Services\coherence.exe
C:\Programme\Parallels\Parallels Tools\Services\prl_tools_service.exe
C:\Programme\Parallels\Parallels Tools\Services\prl_tools.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\Programme\Microsoft Office\Office12\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Parallels Shared Internet Applications] "C:\Programme\Parallels\Parallels Tools\SIA\SharedIntApp.exe" /start
O4 - HKLM\..\Run: [Parallels Tools Center] "C:\Programme\Parallels\Parallels Tools\prl_cc.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase1140.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1250503958343
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Parallels Coherence Service - Parallels, Inc. - C:\Programme\Parallels\Parallels Tools\Services\coherence.exe
O23 - Service: Parallels Tools Service - Parallels, Inc. - C:\Programme\Parallels\Parallels Tools\Services\prl_tools_service.exe

--
End of file - 3852 bytes

Hallo Compuneuling und :hallo:

Das HJT-Log ist unauffällig...

Wenn ich es richtig verstanden habe, hast du die Datei nur heruntergeladen und nicht NICHT ausgeführt. Wenn das der Fall ist hast du nochmal Glück gehabt und dein Avira hat dich vor Schlimmeren Sachen geschützt.

Wenn du den Link noch haben solltest, kannst du mir ihn über eine PN (Private Nachricht) mal zukommen lassen... :)

Zur Sicherheit kannst du ja mal folgende Liste ab Punkt 2 abarbeiten:
http://www.trojaner-board.de/69886-a...-beachten.html

Alle anfallenden Logfiles bitte hier posten.

Meiner Meinung nach nicht.

Gruß
Handball10

Hallo Handball10,

vielen Dank für die superschnelle Antwort.

Ich habe von Computerviren leider nur ganz wenig Ahnung. Ich dachte, wenn man sich einen Trojaner herunter geladen hat, dann kommt dies der Ausführung der Datei gleich, bzw diese Programme führen sich dann selbst aus. Nach dem Herunterladen dieser Datei sind alle offenen Programme ( avira, word und Firefox ) abgestürzt.
Mein Glück war möglicherweise, dass mir dieses Malheur in einem Internet-Cafe passiert ist und nicht auf meinem Rechner. Habe dann am Computer des Internetcafes Avira über die Festplatte laufen lassen, da wurde aber nichts mehr gefunden.

Anti-Malware von Pkt 2 habe ich bereits vor dem Erstellen des Themas checken lassen. Nach meinem Dafürhalten nichts verdächtiges gefunden.

Den link habe ich noch. Die mail befindet sich ja noch auf meinem notebook im Posteingang von Thunderbird. Ich schicke sie Dir als PN.

Kann man eigentlich aus dem Header etwas erkennen?

Halli Hallo...

der Link per PN ist leider kein Link...
Lediglich der Name des Anhangs der Mail.

wenn du nichts dagegen hast , kannst du ja die E-Mail an mich weiterleiten...

Wenn das der Fall sein sollte , schick ich dir die Adresse per PN.

Gruß
Handball10

Noch zwei Fragen zu "meinem" Trojaner:

Bevor ich den link angeklickt hatte, kam mir die Angelegenheit schon etwas suspekt vor. Deshalb hatte ich mir aufgeschrieben, was der link angezeigt hatte, als ich ihn zuerst rechts anklickte:

https://freemailing0402-web.de/jump.htm?goto=http://82.108.167.181/images/index.asp
STRG + Klicken um link zu folgen

Nach dem Antivir den Trojaner gemeldet hatte, konnte ich weder FF noch irgend ein anderes Programm schließen.

Kann es sein, dass dadurch die ca 300 e-mails die sich in meinem web.de Postfach befunden hatten, in Kopie auf den server geschickt worden sind?

Muss bzw sollte ich in diesem Fall Anzeige erstatten?

Hallo compuneuling,

Meiner Meinung nach nein...

Bitte editiere den Link also das, was hinter dem "jump.htm?goto=".
Das ist ein Link zu Malware, der jedoch offline ist.
Trotzdem bitte editieren ;)

Für Rechtsfragen sind wir leider nicht zuständig. Jedoch gegen wen würdest du diese Azeige erstatten wollen?
Wie du schon gesagt hast, wurde die Email nicht von deinem Rechnungsinstitut versendet. Ich denke, dass diese Mail, von einem bereits irgendwo infiziertem Rechner gesendet wurde.
Bleibt aber im Endeffekt dir überlassen :)

Gruß
Handball10

Ich wollte gerade den link nachträglich editieren, gemäß:
"Wenn Sie einen Beitrag bearbeiten möchten, klicken Sie auf die Schaltfläche 'Ändern' Beitrag bearbeiten / löschen im jeweiligen Beitrag."

Ich habe jedoch keine Schaltfläche "editieren" oder "ändern" in meinem Beitrag.