rechnung.pdf.exe

#1 Hallo,
heute bekam ich von Grewe-Computertechnik (bestellung@grewe.de) eine angebliche Rechnung von 201 €-habe aber nichts bestellt. Der Anhang rechnung.pdf.exe wurde von outlook geblockt. Als Computerneuling: Was soll ich machen? Ignorieren?
Vielen Dank für Eure Hilfe!

#2 Lösche die Mail und öffne den Anhang nicht !
MFG
DAFRA

#3 Danke für die Info, DARFA!

#4 Mal ein paar Infos dazu. Es installiert einen Trojan-Spy.Win32.Goldun.fn. Es wird eine exe Datei heruntergeladen, die eine dll als BHO im Internetexplorer einbindet. Diese zeichnet diverse Dinge auf(Passworte usw) diese werden in eine Datei forum.txt gespeichert, die so in dieser Form dort abgelegt werden. Die Daten darin sind von mir auf der deutschen Bank Seite eingetragen worden und wurden so vom Trojaner geloggt.Das dort angegeben Konto exoistiert natuerlich nicht!

---cut---
--------------------------------------------- Wed Jan 18 15:54:25 2006
URL: https://meine.deutsche-bank.de/mod/WebObjects/dbpbc.woa

Action: /mod/WebObjects/dbpbc.woa/28/wo/MX03dIkratXsBlXgjokvPw/0.0.Login.0.27.20.1
Method: post
Branch(text): 002
AccountNumber(text): 12455
SubAccount(text): 12
PIN(password): 25465
0.Login.0.27.20.1.40.0.1.3(select): 0 [checked]
0.Login.0.27.20.1.40.0.1.5(checkbox): 0.Login.0.27.20.1.40.0.1.5 [unchecked]
VALIDATION_TRIGGER_1(submit): Login ausführen
appName(hidden): Microsoft Internet Explorer
appVersion(hidden): 4.0 (compatible; MSIE 6.0; Windows NT 5.1)
platform(hidden): Win32
javaEnabled(hidden): true

REQ: Branch=002&AccountNumber=12455&SubAccount=12&PIN=2(gekuerzt)
---cut---

Ein Hijackthis log sieht folgendermassen aus:

Logfile of HijackThis v1.99.1
Scan saved at 15:56:25, on 18.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Messenger\msmsgs.exe
c:\tools\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\System32\appwiz.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O21 - SSODL: sysldr - {FFFDCA1B-2B49-4656-ADE7-450D2E20ED67} - sysldr.dll (file missing)

Die einzigen aktiven Dateien scheinen die sysldr.dll und die appwiz.dll zu sein.

Ich gebe keine Garantie, das dies alles ist, bzw 100%ig stimmt!
__________
MfG Ralf
SEO-Spam Hunter

#5 Das wird derzeit in den einzelnen Dateien gefunden:

File: appwiz.dll
Status:
INFECTED/MALWARE
MD5 f82a437b68bf13569f7fe5af8bc4f1b7
Packers detected:
PE_PATCH.PECOMPACT, PECBUNDLE, PECOMPACT
Scanner results
AntiVir
Found Trojan/Spy.Goldun.FN.4
ArcaVir
Found Trojan.Spy.Goldun.Fn
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found nothing
ClamAV
Found nothing
Dr.Web
Found Trojan.PWS.Egold
F-Prot Antivirus
Found nothing
Fortinet
Found nothing
Kaspersky Anti-Virus
Found Trojan-Spy.Win32.Goldun.fn
NOD32
Found Win32/Spy.Goldun.NE
Norman Virus Control
Found nothing
UNA
Found nothing
VBA32
Found Malware.Agent.134 (paranoid heuristics) (probable variant)

File: sysldr.dll
Status:
INFECTED/MALWARE
MD5 e7fe2901196ed46fdaa7e9f3eea8ba3e
Packers detected:
-
Scanner results
AntiVir
Found Trojan/Dldr.Goldun.FN.4
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found Trojan.Downloader.Small.Gen (probable variant)
ClamAV
Found nothing
Dr.Web
Found DLOADER.Trojan (probable variant)
F-Prot Antivirus
Found nothing
Fortinet
Found W32/Yabe.I!tr
Kaspersky Anti-Virus
Found Trojan-Downloader.Win32.Sickob.b
NOD32
Found Win32/TrojanDownloader.Sickob.B
Norman Virus Control
Found nothing
UNA
Found nothing
VBA32
Found Trojan-PSW.LdPinch.5 (probable variant)


File: ch[1].ex
Status:
INFECTED/MALWARE
MD5 2cce0a5a6806d1f10f3a61597b073636
Packers detected:
-
Scanner results
AntiVir
Found Trojan/Spy.Goldun.FN.3
ArcaVir
Found Trojan.Spy.Goldun.Fn
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found nothing
ClamAV
Found nothing
Dr.Web
Found Trojan.PWS.Egold
F-Prot Antivirus
Found nothing
Fortinet
Found nothing
Kaspersky Anti-Virus
Found Trojan-Spy.Win32.Goldun.fn
NOD32
Found Win32/Spy.Goldun.FN
Norman Virus Control
Found nothing
UNA
Found nothing
VBA32
Found Trojan-Spy.Win32.Goldun.fn
__________
MfG Ralf
SEO-Spam Hunter

#6 Für Eure Antworten vielen Dank, leider bin ich mit dieser Materie überhaupt nicht vertraut, so dass ich nicht viel damit anfangen kann. Da ich die exe-Datei jedoch nicht geöffnet habe und die Mail inzwischen auch gelöscht habe, hoffe ich dass kein Schaden entstanden ist, oder?

#7 Du hast dann nichts zu befuerchten, wenn du den Anhang nicht geoeffnet hast.
__________
MfG Ralf
SEO-Spam Hunter

#8 auf meinem pc wurde folgendes gefundes

C:\WINNT\system32\sysldr.dll-win32/TrojanerDownloaderSickob13Trojaner

#9 @Topic

Selbst heise ist es eine news wert:
http://www.heise.de/newsticker/meldung/68493

@jacgy1980
Versuch mal im Abgesicherten Modus zu scannen, dann sollte es eigentlich keine Probleme mit der Entfernung geben, da dein AV den Trojaner schon erkennt!
MFG
DAFRA

#10 ok das probieren wir mal

#11 Wenn die Datei auf deinem Rechner existiert, wurde der Anhang auch ausgefuehrt. Welches AV-Programm nutzt du?
__________
MfG Ralf
SEO-Spam Hunter

#12 Nod32 damit haben wir gescannt haben das jetzt gelöscht und lassen grad nochmals drüberlaufen

#13 Hallo zusammen,

@Raman: Hast Du den Trojaner auch dahingehend betrachtet, ob er einzelne Daten nur loggt oder aber auch aktiv nach aussen sendet (zur Vorbereitung von Phishing, ebay-Hacking, etc.) ?

Wenn ich deine Logs richtig lese, wurde zunächst ja "nur" Daten gesammelt - hast Du vielleicht mal mit Etherreal oder ähnlichem geschaut, was da so an Outbound-Traffic läuft ?

Kurze Antwort wäre nett.

Gruß

SquadMan

#14 Er verschickt die Dateien in regelmaessigen abstaenden. wenn die Dateien gesandt wurden, scheint er die txt Datei wieder zu loeschen.

Er uebertraegt halt "nur" Daten und Passwoerter, Egal welche, z.B. Simyo Passworte usw. Dafuer bindet er sich als BHO im Internetexplorer ein und faengt diese Passworte alle ab.
__________
MfG Ralf
SEO-Spam Hunter

#15 Ich möchte mich heute nochmal bei Euch melden, da Kaspersky nach dem Hochfahren des Computers mir (allerdings nur ganz kurz) die Meldung eines eventuellen Virenbefalles zeigt. Mittlerweile habe ich Greenhorn zumindest rausbekommen, wie ich einen logfile erstelle (hoffe ich), allerdings habe ich die von raman genannten sysldr.dll und die appwiz.dll nicht gesehen. Ich würde mich freuen, wenn Ihr mir sagen könnt, ob alles ok ist. Vielen Dank im Voraus!

Ingrid26

Logfile of HijackThis v1.99.1
Scan saved at 18:49:02, on 24.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
C:\PROGRA~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest.ExE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
C:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\1XConfig.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Seri*hier nicht!*] sm56hlpr.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [OESpamTest] C:\PROGRA~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest.ExE
O4 - HKLM\..\Run: [KASP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Spam Personal\OESpamTest.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = ?
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136445603288
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: Sebring - C:\WINDOWS\system32\LgNotify.dll
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe