rechnung.pdf.exe |
||
---|---|---|
#0
| ||
18.01.2006, 12:27
Member
Beiträge: 17 |
||
|
||
18.01.2006, 13:40
Member
Beiträge: 1122 |
||
|
||
18.01.2006, 14:46
Member
Themenstarter Beiträge: 17 |
#3
Danke für die Info, DARFA!
|
|
|
||
18.01.2006, 16:12
Moderator
Beiträge: 7805 |
#4
Mal ein paar Infos dazu. Es installiert einen Trojan-Spy.Win32.Goldun.fn. Es wird eine exe Datei heruntergeladen, die eine dll als BHO im Internetexplorer einbindet. Diese zeichnet diverse Dinge auf(Passworte usw) diese werden in eine Datei forum.txt gespeichert, die so in dieser Form dort abgelegt werden. Die Daten darin sind von mir auf der deutschen Bank Seite eingetragen worden und wurden so vom Trojaner geloggt.Das dort angegeben Konto exoistiert natuerlich nicht!
---cut--- --------------------------------------------- Wed Jan 18 15:54:25 2006 URL: https://meine.deutsche-bank.de/mod/WebObjects/dbpbc.woa Action: /mod/WebObjects/dbpbc.woa/28/wo/MX03dIkratXsBlXgjokvPw/0.0.Login.0.27.20.1 Method: post Branch(text): 002 AccountNumber(text): 12455 SubAccount(text): 12 PIN(password): 25465 0.Login.0.27.20.1.40.0.1.3(select): 0 [checked] 0.Login.0.27.20.1.40.0.1.5(checkbox): 0.Login.0.27.20.1.40.0.1.5 [unchecked] VALIDATION_TRIGGER_1(submit): Login ausführen appName(hidden): Microsoft Internet Explorer appVersion(hidden): 4.0 (compatible; MSIE 6.0; Windows NT 5.1) platform(hidden): Win32 javaEnabled(hidden): true REQ: Branch=002&AccountNumber=12455&SubAccount=12&PIN=2(gekuerzt) ---cut--- Ein Hijackthis log sieht folgendermassen aus: Logfile of HijackThis v1.99.1 Scan saved at 15:56:25, on 18.01.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Messenger\msmsgs.exe c:\tools\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/ O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\System32\appwiz.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O21 - SSODL: sysldr - {FFFDCA1B-2B49-4656-ADE7-450D2E20ED67} - sysldr.dll (file missing) Die einzigen aktiven Dateien scheinen die sysldr.dll und die appwiz.dll zu sein. Ich gebe keine Garantie, das dies alles ist, bzw 100%ig stimmt! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
18.01.2006, 16:22
Moderator
Beiträge: 7805 |
#5
Das wird derzeit in den einzelnen Dateien gefunden:
File: appwiz.dll Status: INFECTED/MALWARE MD5 f82a437b68bf13569f7fe5af8bc4f1b7 Packers detected: PE_PATCH.PECOMPACT, PECBUNDLE, PECOMPACT Scanner results AntiVir Found Trojan/Spy.Goldun.FN.4 ArcaVir Found Trojan.Spy.Goldun.Fn Avast Found nothing AVG Antivirus Found nothing BitDefender Found nothing ClamAV Found nothing Dr.Web Found Trojan.PWS.Egold F-Prot Antivirus Found nothing Fortinet Found nothing Kaspersky Anti-Virus Found Trojan-Spy.Win32.Goldun.fn NOD32 Found Win32/Spy.Goldun.NE Norman Virus Control Found nothing UNA Found nothing VBA32 Found Malware.Agent.134 (paranoid heuristics) (probable variant) File: sysldr.dll Status: INFECTED/MALWARE MD5 e7fe2901196ed46fdaa7e9f3eea8ba3e Packers detected: - Scanner results AntiVir Found Trojan/Dldr.Goldun.FN.4 ArcaVir Found nothing Avast Found nothing AVG Antivirus Found nothing BitDefender Found Trojan.Downloader.Small.Gen (probable variant) ClamAV Found nothing Dr.Web Found DLOADER.Trojan (probable variant) F-Prot Antivirus Found nothing Fortinet Found W32/Yabe.I!tr Kaspersky Anti-Virus Found Trojan-Downloader.Win32.Sickob.b NOD32 Found Win32/TrojanDownloader.Sickob.B Norman Virus Control Found nothing UNA Found nothing VBA32 Found Trojan-PSW.LdPinch.5 (probable variant) File: ch[1].ex Status: INFECTED/MALWARE MD5 2cce0a5a6806d1f10f3a61597b073636 Packers detected: - Scanner results AntiVir Found Trojan/Spy.Goldun.FN.3 ArcaVir Found Trojan.Spy.Goldun.Fn Avast Found nothing AVG Antivirus Found nothing BitDefender Found nothing ClamAV Found nothing Dr.Web Found Trojan.PWS.Egold F-Prot Antivirus Found nothing Fortinet Found nothing Kaspersky Anti-Virus Found Trojan-Spy.Win32.Goldun.fn NOD32 Found Win32/Spy.Goldun.FN Norman Virus Control Found nothing UNA Found nothing VBA32 Found Trojan-Spy.Win32.Goldun.fn __________ MfG Ralf SEO-Spam Hunter |
|
|
||
18.01.2006, 18:36
Member
Themenstarter Beiträge: 17 |
#6
Für Eure Antworten vielen Dank, leider bin ich mit dieser Materie überhaupt nicht vertraut, so dass ich nicht viel damit anfangen kann. Da ich die exe-Datei jedoch nicht geöffnet habe und die Mail inzwischen auch gelöscht habe, hoffe ich dass kein Schaden entstanden ist, oder?
|
|
|
||
18.01.2006, 18:48
Moderator
Beiträge: 7805 |
#7
Du hast dann nichts zu befuerchten, wenn du den Anhang nicht geoeffnet hast.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
18.01.2006, 19:41
Member
Beiträge: 15 |
#8
auf meinem pc wurde folgendes gefundes
C:\WINNT\system32\sysldr.dll-win32/TrojanerDownloaderSickob13Trojaner |
|
|
||
18.01.2006, 19:45
Member
Beiträge: 1122 |
#9
@Topic
Selbst heise ist es eine news wert: http://www.heise.de/newsticker/meldung/68493 @jacgy1980 Versuch mal im Abgesicherten Modus zu scannen, dann sollte es eigentlich keine Probleme mit der Entfernung geben, da dein AV den Trojaner schon erkennt! MFG DAFRA |
|
|
||
18.01.2006, 19:49
Member
Beiträge: 15 |
#10
ok das probieren wir mal
|
|
|
||
18.01.2006, 19:50
Moderator
Beiträge: 7805 |
#11
Wenn die Datei auf deinem Rechner existiert, wurde der Anhang auch ausgefuehrt. Welches AV-Programm nutzt du?
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
18.01.2006, 20:15
Member
Beiträge: 15 |
#12
Nod32 damit haben wir gescannt haben das jetzt gelöscht und lassen grad nochmals drüberlaufen
Dieser Beitrag wurde am 18.01.2006 um 20:20 Uhr von jacqy1980 editiert.
|
|
|
||
24.01.2006, 11:55
...neu hier
Beiträge: 1 |
#13
Hallo zusammen,
@Raman: Hast Du den Trojaner auch dahingehend betrachtet, ob er einzelne Daten nur loggt oder aber auch aktiv nach aussen sendet (zur Vorbereitung von Phishing, ebay-Hacking, etc.) ? Wenn ich deine Logs richtig lese, wurde zunächst ja "nur" Daten gesammelt - hast Du vielleicht mal mit Etherreal oder ähnlichem geschaut, was da so an Outbound-Traffic läuft ? Kurze Antwort wäre nett. Gruß SquadMan |
|
|
||
24.01.2006, 12:29
Moderator
Beiträge: 7805 |
#14
Er verschickt die Dateien in regelmaessigen abstaenden. wenn die Dateien gesandt wurden, scheint er die txt Datei wieder zu loeschen.
Er uebertraegt halt "nur" Daten und Passwoerter, Egal welche, z.B. Simyo Passworte usw. Dafuer bindet er sich als BHO im Internetexplorer ein und faengt diese Passworte alle ab. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
24.01.2006, 19:13
Member
Themenstarter Beiträge: 17 |
#15
Ich möchte mich heute nochmal bei Euch melden, da Kaspersky nach dem Hochfahren des Computers mir (allerdings nur ganz kurz) die Meldung eines eventuellen Virenbefalles zeigt. Mittlerweile habe ich Greenhorn zumindest rausbekommen, wie ich einen logfile erstelle (hoffe ich), allerdings habe ich die von raman genannten sysldr.dll und die appwiz.dll nicht gesehen. Ich würde mich freuen, wenn Ihr mir sagen könnt, ob alles ok ist. Vielen Dank im Voraus!
Ingrid26 Logfile of HijackThis v1.99.1 Scan saved at 18:49:02, on 24.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\S24EvMon.exe C:\WINDOWS\system32\ZCfgSvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\sm56hlpr.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe C:\PROGRA~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest.ExE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe C:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe C:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\RegSrvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\1XConfig.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Seri*hier nicht!*] sm56hlpr.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - HKLM\..\Run: [OESpamTest] C:\PROGRA~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest.ExE O4 - HKLM\..\Run: [KASP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Spam Personal\OESpamTest.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Kaspersky Anti-Hacker.lnk = ? O4 - Global Startup: Picture Package Menu.lnk = ? O4 - Global Startup: Picture Package VCD Maker.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136445603288 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: Sebring - C:\WINDOWS\system32\LgNotify.dll O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe |
|
|
||
heute bekam ich von Grewe-Computertechnik (bestellung@grewe.de) eine angebliche Rechnung von 201 €-habe aber nichts bestellt. Der Anhang rechnung.pdf.exe wurde von outlook geblockt. Als Computerneuling: Was soll ich machen? Ignorieren?
Vielen Dank für Eure Hilfe!