8
Trojan.Win32.Bublik.bei entfernt
Der Trojaner schlug heute ein. Das System läuft wieder aber reicht das aus was ich durchführte??
Hallo,
Ich habe keine all zu große Erfahrung mit diesem Trojaner und weis auch nicht genau was er alles im Hintergrund modifiziert/e.
Der Trojaner kam per Email als Anhang und war als Rechnung getarnt. Mein Kollege hatte die Mail zwar unter Verdacht doch da unser Mcafee hier (auch bei einem explizieten Scan) nichts gefunden hat lies er die Mail durch. Auch weil der Empfänger öfter auch Bestellungen in der Höhe durchführt.
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Infos zur mail:
Betreff: Neue Bestellung 47593990197
Sehr geehrte Kundin sehr geehrter Kunde,
unser Versandpartner hat Ihre Bestellung mit der Bestell Nr. 13663430288 zur Lieferung an DHL AG übergeben.
Im Anhang befindet sich die Abrechnung und Empfängeradresse als Doc Datei.
Sie können die Abrechnung immer selbständig über den online Shop ansehen.
Diese Angaben werden gebraucht:
- Email-Adresse und die Bestellnummer oder
- die Bestellnummer und die Serien-Nr.
Auftragsnummer: 11401386924
Geräte Serien-Nr.: 70719550397
Preis 742,50 euro
Die Buchung erfolgt in Die einigen Tagen von Ihrem PayPal-Konto.
Ihre Bestellung ist hiermit fertig.
Mit freundlichen Grüßen
Ihr Kundendienst
___________
Raigo Media Online-Shop mit Sitz in Augsburg
Vorstand: Jürgen Lang, Klaus Lehner
Aufsichtsratsvorsitzender: Walter Bauer
Amtsgericht: Hannover 70189
Infos zum Anhang:
Details.zip (Größe 36kb)
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Jedenfalls kam der Betroffene Anwender vollkommen fertig zu mir, nach dem er auf den anhang klickte. Und ich fand einen Desktop vor der mit der Meldung versehen war das:
http://www7.pic-upload.de/23.05.12/wryghnjeq3jr.jpg
Mir kam das bekannt vor da ich von dem BKA/Ukash Trojaner gehört habe. Der ja so vorgeht.. und stieß auf einige identische Gene.
Eines Vorweg - das System war NICHT verschlüsselt! RemoteRegistry, Remote Dienste, Netzwerkzugriff von meinem PC per c$ Freigabe, auch der Remote Scan und co des Mcafee ließs sich problemlos ausführen. Der Scan von Mcafee brachte aber nichts zu Tage. (In einem anderen Forum stieß ich bei der Recherche darauf das dieser Trojaner nur von 5 oder 6 Antivierenherstellern überhaupt erkannt und entfernt werden kann.)
Darauf hin durchsuchte ich die Registry nach autostart einträgen und wurde fündig:
*Aktuell angemeldeter User* \current version\Run
\\0C53F11C\\
C:\Users\*User*\AppData\Roaming\Ryrbkn\652D61C20C53F11C7933.exe
Unter dem Pfad war die Datei zu finden - also wurde sie gelöscht da sie def. da NICHT hingehörte. Nur um sicher zu gehen.. wollte den Registry Pfad ebenfalls löschen, leider ohne Erfolg. Hier verweigerte er mir den Vorgang.
Weitere (auf die schnelle von Hand durchgeführte) Untersuchungen brachten auch keine neuen Erkenntnisse. Nach kurzer Recherche stieß ich auf Wege den Trjoaner zu entfernen. Ich entschied mich für die Kaspersky Rescue Disk mit remover. Führte die beschriebenen aktionen incl. Scan durch.
Es wurde der genannte Registryeintrag gefunden und gefixt. So wie:
Gefunden: Trojan.Win32.Bublik.bei /mnt/MountedDevices/PD-D7DDD74A-00000000065XXX/Users/*USER*/AppData/Roaming/mixersnwin.exe
Der Rest blieb ohne Befund. Nach dem Neustart konnte sich der Nutzer wieder Problemlos anmelden und es scheint zu laufen. allerdings traue ich dem ganzen nicht wirklich..
Ist diese Variante schon bekannt? Was GENAU macht der Trojaner noch? Reicht das was ich gemacht habe aus um sicher zu sein? Habe den Anhang gesichert und vorsichtshalber erneut gezippt. Und als Beweis weggesichert.
Hallo,
Ich habe keine all zu große Erfahrung mit diesem Trojaner und weis auch nicht genau was er alles im Hintergrund modifiziert/e.
Der Trojaner kam per Email als Anhang und war als Rechnung getarnt. Mein Kollege hatte die Mail zwar unter Verdacht doch da unser Mcafee hier (auch bei einem explizieten Scan) nichts gefunden hat lies er die Mail durch. Auch weil der Empfänger öfter auch Bestellungen in der Höhe durchführt.
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Infos zur mail:
Betreff: Neue Bestellung 47593990197
Sehr geehrte Kundin sehr geehrter Kunde,
unser Versandpartner hat Ihre Bestellung mit der Bestell Nr. 13663430288 zur Lieferung an DHL AG übergeben.
Im Anhang befindet sich die Abrechnung und Empfängeradresse als Doc Datei.
Sie können die Abrechnung immer selbständig über den online Shop ansehen.
Diese Angaben werden gebraucht:
- Email-Adresse und die Bestellnummer oder
- die Bestellnummer und die Serien-Nr.
Auftragsnummer: 11401386924
Geräte Serien-Nr.: 70719550397
Preis 742,50 euro
Die Buchung erfolgt in Die einigen Tagen von Ihrem PayPal-Konto.
Ihre Bestellung ist hiermit fertig.
Mit freundlichen Grüßen
Ihr Kundendienst
___________
Raigo Media Online-Shop mit Sitz in Augsburg
Vorstand: Jürgen Lang, Klaus Lehner
Aufsichtsratsvorsitzender: Walter Bauer
Amtsgericht: Hannover 70189
Infos zum Anhang:
Details.zip (Größe 36kb)
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Jedenfalls kam der Betroffene Anwender vollkommen fertig zu mir, nach dem er auf den anhang klickte. Und ich fand einen Desktop vor der mit der Meldung versehen war das:
http://www7.pic-upload.de/23.05.12/wryghnjeq3jr.jpg
Mir kam das bekannt vor da ich von dem BKA/Ukash Trojaner gehört habe. Der ja so vorgeht.. und stieß auf einige identische Gene.
Eines Vorweg - das System war NICHT verschlüsselt! RemoteRegistry, Remote Dienste, Netzwerkzugriff von meinem PC per c$ Freigabe, auch der Remote Scan und co des Mcafee ließs sich problemlos ausführen. Der Scan von Mcafee brachte aber nichts zu Tage. (In einem anderen Forum stieß ich bei der Recherche darauf das dieser Trojaner nur von 5 oder 6 Antivierenherstellern überhaupt erkannt und entfernt werden kann.)
Darauf hin durchsuchte ich die Registry nach autostart einträgen und wurde fündig:
*Aktuell angemeldeter User* \current version\Run
\\0C53F11C\\
C:\Users\*User*\AppData\Roaming\Ryrbkn\652D61C20C53F11C7933.exe
Unter dem Pfad war die Datei zu finden - also wurde sie gelöscht da sie def. da NICHT hingehörte. Nur um sicher zu gehen.. wollte den Registry Pfad ebenfalls löschen, leider ohne Erfolg. Hier verweigerte er mir den Vorgang.
Weitere (auf die schnelle von Hand durchgeführte) Untersuchungen brachten auch keine neuen Erkenntnisse. Nach kurzer Recherche stieß ich auf Wege den Trjoaner zu entfernen. Ich entschied mich für die Kaspersky Rescue Disk mit remover. Führte die beschriebenen aktionen incl. Scan durch.
Es wurde der genannte Registryeintrag gefunden und gefixt. So wie:
Gefunden: Trojan.Win32.Bublik.bei /mnt/MountedDevices/PD-D7DDD74A-00000000065XXX/Users/*USER*/AppData/Roaming/mixersnwin.exe
Der Rest blieb ohne Befund. Nach dem Neustart konnte sich der Nutzer wieder Problemlos anmelden und es scheint zu laufen. allerdings traue ich dem ganzen nicht wirklich..
Ist diese Variante schon bekannt? Was GENAU macht der Trojaner noch? Reicht das was ich gemacht habe aus um sicher zu sein? Habe den Anhang gesichert und vorsichtshalber erneut gezippt. Und als Beweis weggesichert.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 185373
Url: https://administrator.de/contentid/185373
Ausgedruckt am: 24.11.2024 um 03:11 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
lade dir mal die Rescue-CD von Kaspersky runter.
Die brennst du dir auf CD und bootest von dieser. Starte Sie dann am besten im grafischen Modus. Wenn er erfolgreich von der CD gebootet hat, verbinde deinen Computer mit dem Netzwerk (wenn er es noch nicht ist - eventuell abgetrennt vom eigenen / Firmennetzwerk) damit er sich die aktuellste Virensignatur laden kann.
Starte das Rescue-Center und folge dem Assistenten. Am Anfang bereinigt er nur die wichtigsten Stellen, lass dies erst durchlaufen. Danach starte einen neuen Scan, wo du sämtliche Partitionen durchsuchst (dies dauert allerdings ein wenig).
Bin mit der CD sehr zufrieden.
Gruß
===EDIT===
Kleiner Tipp am Rande, bei solchen E-Mails immer genauer hinsehen. Oftmals stimmt was mit der Absender-Adresse nicht (z.B. amazon-com.net, statt amazon.com). Oder es befinden sich grammatikalische Fehler im Text (was bei einer seriösen Firma ehr unwahrscheinlich sein sollte).
Zudem kenne ich persönlich kein Unternehmen, was Rechnungen etc. als .zip-Datei sendet (auch hier die Finger von lassen).
lade dir mal die Rescue-CD von Kaspersky runter.
Die brennst du dir auf CD und bootest von dieser. Starte Sie dann am besten im grafischen Modus. Wenn er erfolgreich von der CD gebootet hat, verbinde deinen Computer mit dem Netzwerk (wenn er es noch nicht ist - eventuell abgetrennt vom eigenen / Firmennetzwerk) damit er sich die aktuellste Virensignatur laden kann.
Starte das Rescue-Center und folge dem Assistenten. Am Anfang bereinigt er nur die wichtigsten Stellen, lass dies erst durchlaufen. Danach starte einen neuen Scan, wo du sämtliche Partitionen durchsuchst (dies dauert allerdings ein wenig).
Bin mit der CD sehr zufrieden.
Gruß
===EDIT===
Kleiner Tipp am Rande, bei solchen E-Mails immer genauer hinsehen. Oftmals stimmt was mit der Absender-Adresse nicht (z.B. amazon-com.net, statt amazon.com). Oder es befinden sich grammatikalische Fehler im Text (was bei einer seriösen Firma ehr unwahrscheinlich sein sollte).
Die Buchung erfolgt in Die (?!?!) einigen Tagen von Ihrem PayPal-Konto
Zudem kenne ich persönlich kein Unternehmen, was Rechnungen etc. als .zip-Datei sendet (auch hier die Finger von lassen).
Dies habe ich schon getan - die is wirklich klasse 
hatte mich im Name vertippt war kaspersky ned Avira...
hatte mich im Name vertippt war kaspersky ned Avira...
Hallo,
schau dich hier am Besten auch einmal um:
Das Kaspersky Virus Removal Tool kannst du auch gerne noch einmal durchlaufen lassen. Generell sollte die Rescue-Disk aber seinen Dienst getan haben.
Gruß
schau dich hier am Besten auch einmal um:
Das Kaspersky Virus Removal Tool kannst du auch gerne noch einmal durchlaufen lassen. Generell sollte die Rescue-Disk aber seinen Dienst getan haben.
Gruß
Tach,
alles was als Rechnung durchgeht und nicht PDF als Endung hat würde ich sofort ausschliessen, dafür gehört deinem User eins auf die Finger gehauen..
Warst du mal www.bka-trojaner.de ?!
AUch ein Kauf der Desinfec´t (da die der C´t beiliegt dauert deas mit Bestellung und Versand aber
ein paar Tage) kann nicht schaden.
Gruß
Carsten
alles was als Rechnung durchgeht und nicht PDF als Endung hat würde ich sofort ausschliessen, dafür gehört deinem User eins auf die Finger gehauen..
Warst du mal www.bka-trojaner.de ?!
AUch ein Kauf der Desinfec´t (da die der C´t beiliegt dauert deas mit Bestellung und Versand aber
ein paar Tage) kann nicht schaden.
Gruß
Carsten
Hi!
Wenn Du dir nicht sicher bist ob es Malware sein könnte, dann trenne den Anhang ab (am besten auf einer Linuxbox) und lad den Anhang bei Virustotal zur Analyse hoch...Zipfiles im Anhang sind nach meiner Erfahrung aber fast immer getarnte Malware...
mrtux
Wenn Du dir nicht sicher bist ob es Malware sein könnte, dann trenne den Anhang ab (am besten auf einer Linuxbox) und lad den Anhang bei Virustotal zur Analyse hoch...Zipfiles im Anhang sind nach meiner Erfahrung aber fast immer getarnte Malware...
mrtux
Hey TechnoX,
ich habe diesen und andere, nette Trojaner schon von den Rechnern mehrerer Bekannter entfernt und gehe dabei folgendermaßen vor:
1. Kaspersky Rescue Disc booten und WindowsUnlocker ausführen(Anleitung findest Du bei google)
2. Mit GDATA Boot CD(Testversion bietet die Möglichkeit der Erstellung) mit der aktuellen Virendefinition das System durchscannen
3. Gdata Testversion auf System installieren und kompletten Systemscan nach Update durchführen
Manchmal findet man bei 3. immernoch Viren, kann aber das System bereits wieder nutzen.
Hat mich bislang immer zum Ziel geführt.
Wer keine CD`s brennen will, nimmt die Tools Unetbootin und rescue2usb.exe von Kaspersky zur Hilfe, um sich entsprechende bootfähig USB-Sticks zu erstellen.
Gruß,
Chris
ich habe diesen und andere, nette Trojaner schon von den Rechnern mehrerer Bekannter entfernt und gehe dabei folgendermaßen vor:
1. Kaspersky Rescue Disc booten und WindowsUnlocker ausführen(Anleitung findest Du bei google)
2. Mit GDATA Boot CD(Testversion bietet die Möglichkeit der Erstellung) mit der aktuellen Virendefinition das System durchscannen
3. Gdata Testversion auf System installieren und kompletten Systemscan nach Update durchführen
Manchmal findet man bei 3. immernoch Viren, kann aber das System bereits wieder nutzen.
Hat mich bislang immer zum Ziel geführt.
Wer keine CD`s brennen will, nimmt die Tools Unetbootin und rescue2usb.exe von Kaspersky zur Hilfe, um sich entsprechende bootfähig USB-Sticks zu erstellen.
Gruß,
Chris
Hallo - momentaner Zwischenstand:
Der obengenannte Angriff hat trotz der anfänglichen euphorie einen kleinen Teil der installierten SQL datenbank verschlüsselt. Dies konnte dank der Datensicherung behoben werden.
Nachträglich erschien folgendes:
Scheinbar trägt sich der ### in die Systemwiederherstellung ein. Daraus schrieb sich die Datei aus dem Autostart (die oben benannte .exe) erneut in das Profil unter "///..AppData.../roaming" zurück.
Dies wurde behoben. Inzwischen erkennt Mcafee den Schädling siehe hier:
http://home.mcafee.com/virusinfo/virusprofile.aspx?key=1171744#none
Vorgang wie beschrieben ausgeführt - nachträglicher Scan läuft zur Zeit.
Ja ich weis Neuinstallation wäre besser. Aber is leider verworfen worden & man hat mich für Folgeschäden freigesprochen. Habe ausdrücklich darauf bestanden. Und ich rate jedem der das Drecksding ebenfalls hat die neuinstallation zu machen! sicher is sicher!
Es folgt ein Scan mit HijackThis und eine Prüfung mit cclean.
Der obengenannte Angriff hat trotz der anfänglichen euphorie einen kleinen Teil der installierten SQL datenbank verschlüsselt. Dies konnte dank der Datensicherung behoben werden.
Nachträglich erschien folgendes:
Scheinbar trägt sich der ### in die Systemwiederherstellung ein. Daraus schrieb sich die Datei aus dem Autostart (die oben benannte .exe) erneut in das Profil unter "///..AppData.../roaming" zurück.
Dies wurde behoben. Inzwischen erkennt Mcafee den Schädling siehe hier:
http://home.mcafee.com/virusinfo/virusprofile.aspx?key=1171744#none
Vorgang wie beschrieben ausgeführt - nachträglicher Scan läuft zur Zeit.
Ja ich weis Neuinstallation wäre besser. Aber is leider verworfen worden & man hat mich für Folgeschäden freigesprochen. Habe ausdrücklich darauf bestanden. Und ich rate jedem der das Drecksding ebenfalls hat die neuinstallation zu machen! sicher is sicher!
Es folgt ein Scan mit HijackThis und eine Prüfung mit cclean.
Mal so die Frage in die Runde.. gibt es eine Möglichkeit die Daten zu entschlüsseln??
Habe diverese Decrypter schon probiert - da das verschlüsselungsformat aber nicht dem Decrypter entspricht sondern aus einer Zufalls generierten Nummer mit einer Länge zwischen 5~20 Zeichen besteht ist das ganze leider oft zum scheitern verurteilt. Die Dateigröße hat sich nicht verändert.
Gibt es da was?
Ein typisches Beispiel für den Verschlüsselten Name wäre:
gXJqevpGLgjUgdQAtofr
Ich mein das System läuft wieder aber ich wüsste zu gerne ob das schon öfter in der Art auftrat und obs dagegen halt schon was gibt. Tools von avira, Kaspersky, etz. halt die üblichen Verdächtigen aus dem Trojaner board sind nicht in der Lage. Avira spuckt wenigsten die Meldung aus das die Datei nicht identisch sei.. obwohl ich sie anhand der selben Dateigröße zu geordnet habe. (von 5 Dateien war nur eine mit 8.104MB im Ordner)
Irgend ne Idee?
Habe diverese Decrypter schon probiert - da das verschlüsselungsformat aber nicht dem Decrypter entspricht sondern aus einer Zufalls generierten Nummer mit einer Länge zwischen 5~20 Zeichen besteht ist das ganze leider oft zum scheitern verurteilt. Die Dateigröße hat sich nicht verändert.
Gibt es da was?
Ein typisches Beispiel für den Verschlüsselten Name wäre:
gXJqevpGLgjUgdQAtofr
Ich mein das System läuft wieder aber ich wüsste zu gerne ob das schon öfter in der Art auftrat und obs dagegen halt schon was gibt. Tools von avira, Kaspersky, etz. halt die üblichen Verdächtigen aus dem Trojaner board sind nicht in der Lage. Avira spuckt wenigsten die Meldung aus das die Datei nicht identisch sei.. obwohl ich sie anhand der selben Dateigröße zu geordnet habe. (von 5 Dateien war nur eine mit 8.104MB im Ordner)
Irgend ne Idee?
