Trojan.Win32.Bublik.bei entfernt
Der Trojaner schlug heute ein. Das System läuft wieder aber reicht das aus was ich durchführte??
Hallo,
Ich habe keine all zu große Erfahrung mit diesem Trojaner und weis auch nicht genau was er alles im Hintergrund modifiziert/e.
Der Trojaner kam per Email als Anhang und war als Rechnung getarnt. Mein Kollege hatte die Mail zwar unter Verdacht doch da unser Mcafee hier (auch bei einem explizieten Scan) nichts gefunden hat lies er die Mail durch. Auch weil der Empfänger öfter auch Bestellungen in der Höhe durchführt.
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Infos zur mail:
Betreff: Neue Bestellung 47593990197
Sehr geehrte Kundin sehr geehrter Kunde,
unser Versandpartner hat Ihre Bestellung mit der Bestell Nr. 13663430288 zur Lieferung an DHL AG übergeben.
Im Anhang befindet sich die Abrechnung und Empfängeradresse als Doc Datei.
Sie können die Abrechnung immer selbständig über den online Shop ansehen.
Diese Angaben werden gebraucht:
- Email-Adresse und die Bestellnummer oder
- die Bestellnummer und die Serien-Nr.
Auftragsnummer: 11401386924
Geräte Serien-Nr.: 70719550397
Preis 742,50 euro
Die Buchung erfolgt in Die einigen Tagen von Ihrem PayPal-Konto.
Ihre Bestellung ist hiermit fertig.
Mit freundlichen Grüßen
Ihr Kundendienst
___________
Raigo Media Online-Shop mit Sitz in Augsburg
Vorstand: Jürgen Lang, Klaus Lehner
Aufsichtsratsvorsitzender: Walter Bauer
Amtsgericht: Hannover 70189
Infos zum Anhang:
Details.zip (Größe 36kb)
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Jedenfalls kam der Betroffene Anwender vollkommen fertig zu mir, nach dem er auf den anhang klickte. Und ich fand einen Desktop vor der mit der Meldung versehen war das:
http://www7.pic-upload.de/23.05.12/wryghnjeq3jr.jpg
Mir kam das bekannt vor da ich von dem BKA/Ukash Trojaner gehört habe. Der ja so vorgeht.. und stieß auf einige identische Gene.
Eines Vorweg - das System war NICHT verschlüsselt! RemoteRegistry, Remote Dienste, Netzwerkzugriff von meinem PC per c$ Freigabe, auch der Remote Scan und co des Mcafee ließs sich problemlos ausführen. Der Scan von Mcafee brachte aber nichts zu Tage. (In einem anderen Forum stieß ich bei der Recherche darauf das dieser Trojaner nur von 5 oder 6 Antivierenherstellern überhaupt erkannt und entfernt werden kann.)
Darauf hin durchsuchte ich die Registry nach autostart einträgen und wurde fündig:
*Aktuell angemeldeter User* \current version\Run
\\0C53F11C\\
C:\Users\*User*\AppData\Roaming\Ryrbkn\652D61C20C53F11C7933.exe
Unter dem Pfad war die Datei zu finden - also wurde sie gelöscht da sie def. da NICHT hingehörte. Nur um sicher zu gehen.. wollte den Registry Pfad ebenfalls löschen, leider ohne Erfolg. Hier verweigerte er mir den Vorgang.
Weitere (auf die schnelle von Hand durchgeführte) Untersuchungen brachten auch keine neuen Erkenntnisse. Nach kurzer Recherche stieß ich auf Wege den Trjoaner zu entfernen. Ich entschied mich für die Kaspersky Rescue Disk mit remover. Führte die beschriebenen aktionen incl. Scan durch.
Es wurde der genannte Registryeintrag gefunden und gefixt. So wie:
Gefunden: Trojan.Win32.Bublik.bei /mnt/MountedDevices/PD-D7DDD74A-00000000065XXX/Users/*USER*/AppData/Roaming/mixersnwin.exe
Der Rest blieb ohne Befund. Nach dem Neustart konnte sich der Nutzer wieder Problemlos anmelden und es scheint zu laufen. allerdings traue ich dem ganzen nicht wirklich..
Ist diese Variante schon bekannt? Was GENAU macht der Trojaner noch? Reicht das was ich gemacht habe aus um sicher zu sein? Habe den Anhang gesichert und vorsichtshalber erneut gezippt. Und als Beweis weggesichert.
Hallo,
Ich habe keine all zu große Erfahrung mit diesem Trojaner und weis auch nicht genau was er alles im Hintergrund modifiziert/e.
Der Trojaner kam per Email als Anhang und war als Rechnung getarnt. Mein Kollege hatte die Mail zwar unter Verdacht doch da unser Mcafee hier (auch bei einem explizieten Scan) nichts gefunden hat lies er die Mail durch. Auch weil der Empfänger öfter auch Bestellungen in der Höhe durchführt.
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Infos zur mail:
Betreff: Neue Bestellung 47593990197
Sehr geehrte Kundin sehr geehrter Kunde,
unser Versandpartner hat Ihre Bestellung mit der Bestell Nr. 13663430288 zur Lieferung an DHL AG übergeben.
Im Anhang befindet sich die Abrechnung und Empfängeradresse als Doc Datei.
Sie können die Abrechnung immer selbständig über den online Shop ansehen.
Diese Angaben werden gebraucht:
- Email-Adresse und die Bestellnummer oder
- die Bestellnummer und die Serien-Nr.
Auftragsnummer: 11401386924
Geräte Serien-Nr.: 70719550397
Preis 742,50 euro
Die Buchung erfolgt in Die einigen Tagen von Ihrem PayPal-Konto.
Ihre Bestellung ist hiermit fertig.
Mit freundlichen Grüßen
Ihr Kundendienst
___________
Raigo Media Online-Shop mit Sitz in Augsburg
Vorstand: Jürgen Lang, Klaus Lehner
Aufsichtsratsvorsitzender: Walter Bauer
Amtsgericht: Hannover 70189
Infos zum Anhang:
Details.zip (Größe 36kb)
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Jedenfalls kam der Betroffene Anwender vollkommen fertig zu mir, nach dem er auf den anhang klickte. Und ich fand einen Desktop vor der mit der Meldung versehen war das:
http://www7.pic-upload.de/23.05.12/wryghnjeq3jr.jpg
Mir kam das bekannt vor da ich von dem BKA/Ukash Trojaner gehört habe. Der ja so vorgeht.. und stieß auf einige identische Gene.
Eines Vorweg - das System war NICHT verschlüsselt! RemoteRegistry, Remote Dienste, Netzwerkzugriff von meinem PC per c$ Freigabe, auch der Remote Scan und co des Mcafee ließs sich problemlos ausführen. Der Scan von Mcafee brachte aber nichts zu Tage. (In einem anderen Forum stieß ich bei der Recherche darauf das dieser Trojaner nur von 5 oder 6 Antivierenherstellern überhaupt erkannt und entfernt werden kann.)
Darauf hin durchsuchte ich die Registry nach autostart einträgen und wurde fündig:
*Aktuell angemeldeter User* \current version\Run
\\0C53F11C\\
C:\Users\*User*\AppData\Roaming\Ryrbkn\652D61C20C53F11C7933.exe
Unter dem Pfad war die Datei zu finden - also wurde sie gelöscht da sie def. da NICHT hingehörte. Nur um sicher zu gehen.. wollte den Registry Pfad ebenfalls löschen, leider ohne Erfolg. Hier verweigerte er mir den Vorgang.
Weitere (auf die schnelle von Hand durchgeführte) Untersuchungen brachten auch keine neuen Erkenntnisse. Nach kurzer Recherche stieß ich auf Wege den Trjoaner zu entfernen. Ich entschied mich für die Kaspersky Rescue Disk mit remover. Führte die beschriebenen aktionen incl. Scan durch.
Es wurde der genannte Registryeintrag gefunden und gefixt. So wie:
Gefunden: Trojan.Win32.Bublik.bei /mnt/MountedDevices/PD-D7DDD74A-00000000065XXX/Users/*USER*/AppData/Roaming/mixersnwin.exe
Der Rest blieb ohne Befund. Nach dem Neustart konnte sich der Nutzer wieder Problemlos anmelden und es scheint zu laufen. allerdings traue ich dem ganzen nicht wirklich..
Ist diese Variante schon bekannt? Was GENAU macht der Trojaner noch? Reicht das was ich gemacht habe aus um sicher zu sein? Habe den Anhang gesichert und vorsichtshalber erneut gezippt. Und als Beweis weggesichert.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 185373
Url: https://administrator.de/forum/trojan-win32-bublik-bei-entfernt-185373.html
Ausgedruckt am: 27.12.2024 um 06:12 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
lade dir mal die Rescue-CD von Kaspersky runter.
Die brennst du dir auf CD und bootest von dieser. Starte Sie dann am besten im grafischen Modus. Wenn er erfolgreich von der CD gebootet hat, verbinde deinen Computer mit dem Netzwerk (wenn er es noch nicht ist - eventuell abgetrennt vom eigenen / Firmennetzwerk) damit er sich die aktuellste Virensignatur laden kann.
Starte das Rescue-Center und folge dem Assistenten. Am Anfang bereinigt er nur die wichtigsten Stellen, lass dies erst durchlaufen. Danach starte einen neuen Scan, wo du sämtliche Partitionen durchsuchst (dies dauert allerdings ein wenig).
Bin mit der CD sehr zufrieden.
Gruß
===EDIT===
Kleiner Tipp am Rande, bei solchen E-Mails immer genauer hinsehen. Oftmals stimmt was mit der Absender-Adresse nicht (z.B. amazon-com.net, statt amazon.com). Oder es befinden sich grammatikalische Fehler im Text (was bei einer seriösen Firma ehr unwahrscheinlich sein sollte).
Zudem kenne ich persönlich kein Unternehmen, was Rechnungen etc. als .zip-Datei sendet (auch hier die Finger von lassen).
lade dir mal die Rescue-CD von Kaspersky runter.
Die brennst du dir auf CD und bootest von dieser. Starte Sie dann am besten im grafischen Modus. Wenn er erfolgreich von der CD gebootet hat, verbinde deinen Computer mit dem Netzwerk (wenn er es noch nicht ist - eventuell abgetrennt vom eigenen / Firmennetzwerk) damit er sich die aktuellste Virensignatur laden kann.
Starte das Rescue-Center und folge dem Assistenten. Am Anfang bereinigt er nur die wichtigsten Stellen, lass dies erst durchlaufen. Danach starte einen neuen Scan, wo du sämtliche Partitionen durchsuchst (dies dauert allerdings ein wenig).
Bin mit der CD sehr zufrieden.
Gruß
===EDIT===
Kleiner Tipp am Rande, bei solchen E-Mails immer genauer hinsehen. Oftmals stimmt was mit der Absender-Adresse nicht (z.B. amazon-com.net, statt amazon.com). Oder es befinden sich grammatikalische Fehler im Text (was bei einer seriösen Firma ehr unwahrscheinlich sein sollte).
Die Buchung erfolgt in Die (?!?!) einigen Tagen von Ihrem PayPal-Konto
Zudem kenne ich persönlich kein Unternehmen, was Rechnungen etc. als .zip-Datei sendet (auch hier die Finger von lassen).
Hallo,
schau dich hier am Besten auch einmal um:
Das Kaspersky Virus Removal Tool kannst du auch gerne noch einmal durchlaufen lassen. Generell sollte die Rescue-Disk aber seinen Dienst getan haben.
Gruß
schau dich hier am Besten auch einmal um:
Das Kaspersky Virus Removal Tool kannst du auch gerne noch einmal durchlaufen lassen. Generell sollte die Rescue-Disk aber seinen Dienst getan haben.
Gruß
Tach,
alles was als Rechnung durchgeht und nicht PDF als Endung hat würde ich sofort ausschliessen, dafür gehört deinem User eins auf die Finger gehauen..
Warst du mal www.bka-trojaner.de ?!
AUch ein Kauf der Desinfec´t (da die der C´t beiliegt dauert deas mit Bestellung und Versand aber
ein paar Tage) kann nicht schaden.
Gruß
Carsten
alles was als Rechnung durchgeht und nicht PDF als Endung hat würde ich sofort ausschliessen, dafür gehört deinem User eins auf die Finger gehauen..
Warst du mal www.bka-trojaner.de ?!
AUch ein Kauf der Desinfec´t (da die der C´t beiliegt dauert deas mit Bestellung und Versand aber
ein paar Tage) kann nicht schaden.
Gruß
Carsten
Hey TechnoX,
ich habe diesen und andere, nette Trojaner schon von den Rechnern mehrerer Bekannter entfernt und gehe dabei folgendermaßen vor:
1. Kaspersky Rescue Disc booten und WindowsUnlocker ausführen(Anleitung findest Du bei google)
2. Mit GDATA Boot CD(Testversion bietet die Möglichkeit der Erstellung) mit der aktuellen Virendefinition das System durchscannen
3. Gdata Testversion auf System installieren und kompletten Systemscan nach Update durchführen
Manchmal findet man bei 3. immernoch Viren, kann aber das System bereits wieder nutzen.
Hat mich bislang immer zum Ziel geführt.
Wer keine CD`s brennen will, nimmt die Tools Unetbootin und rescue2usb.exe von Kaspersky zur Hilfe, um sich entsprechende bootfähig USB-Sticks zu erstellen.
Gruß,
Chris
ich habe diesen und andere, nette Trojaner schon von den Rechnern mehrerer Bekannter entfernt und gehe dabei folgendermaßen vor:
1. Kaspersky Rescue Disc booten und WindowsUnlocker ausführen(Anleitung findest Du bei google)
2. Mit GDATA Boot CD(Testversion bietet die Möglichkeit der Erstellung) mit der aktuellen Virendefinition das System durchscannen
3. Gdata Testversion auf System installieren und kompletten Systemscan nach Update durchführen
Manchmal findet man bei 3. immernoch Viren, kann aber das System bereits wieder nutzen.
Hat mich bislang immer zum Ziel geführt.
Wer keine CD`s brennen will, nimmt die Tools Unetbootin und rescue2usb.exe von Kaspersky zur Hilfe, um sich entsprechende bootfähig USB-Sticks zu erstellen.
Gruß,
Chris