technox
Goto Top

Trojan.Win32.Bublik.bei entfernt

Der Trojaner schlug heute ein. Das System läuft wieder aber reicht das aus was ich durchführte??

Hallo,

Ich habe keine all zu große Erfahrung mit diesem Trojaner und weis auch nicht genau was er alles im Hintergrund modifiziert/e.

Der Trojaner kam per Email als Anhang und war als Rechnung getarnt. Mein Kollege hatte die Mail zwar unter Verdacht doch da unser Mcafee hier (auch bei einem explizieten Scan) nichts gefunden hat lies er die Mail durch. Auch weil der Empfänger öfter auch Bestellungen in der Höhe durchführt.

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Infos zur mail:
Betreff: Neue Bestellung 47593990197

Sehr geehrte Kundin sehr geehrter Kunde,

unser Versandpartner hat Ihre Bestellung mit der Bestell Nr. 13663430288 zur Lieferung an DHL AG übergeben.

Im Anhang befindet sich die Abrechnung und Empfängeradresse als Doc Datei.

Sie können die Abrechnung immer selbständig über den online Shop ansehen.

Diese Angaben werden gebraucht:

- Email-Adresse und die Bestellnummer oder
- die Bestellnummer und die Serien-Nr.

Auftragsnummer: 11401386924
Geräte Serien-Nr.: 70719550397
Preis 742,50 euro

Die Buchung erfolgt in Die einigen Tagen von Ihrem PayPal-Konto.

Ihre Bestellung ist hiermit fertig.

Mit freundlichen Grüßen

Ihr Kundendienst

___________
Raigo Media Online-Shop mit Sitz in Augsburg

Vorstand: Jürgen Lang, Klaus Lehner
Aufsichtsratsvorsitzender: Walter Bauer
Amtsgericht: Hannover 70189


Infos zum Anhang:
Details.zip (Größe 36kb)

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Jedenfalls kam der Betroffene Anwender vollkommen fertig zu mir, nach dem er auf den anhang klickte. Und ich fand einen Desktop vor der mit der Meldung versehen war das:

http://www7.pic-upload.de/23.05.12/wryghnjeq3jr.jpg

Mir kam das bekannt vor da ich von dem BKA/Ukash Trojaner gehört habe. Der ja so vorgeht.. und stieß auf einige identische Gene.

Eines Vorweg - das System war NICHT verschlüsselt! RemoteRegistry, Remote Dienste, Netzwerkzugriff von meinem PC per c$ Freigabe, auch der Remote Scan und co des Mcafee ließs sich problemlos ausführen. Der Scan von Mcafee brachte aber nichts zu Tage. (In einem anderen Forum stieß ich bei der Recherche darauf das dieser Trojaner nur von 5 oder 6 Antivierenherstellern überhaupt erkannt und entfernt werden kann.)

Darauf hin durchsuchte ich die Registry nach autostart einträgen und wurde fündig:

*Aktuell angemeldeter User* \current version\Run
\\0C53F11C\\
C:\Users\*User*\AppData\Roaming\Ryrbkn\652D61C20C53F11C7933.exe

Unter dem Pfad war die Datei zu finden - also wurde sie gelöscht da sie def. da NICHT hingehörte. Nur um sicher zu gehen.. wollte den Registry Pfad ebenfalls löschen, leider ohne Erfolg. Hier verweigerte er mir den Vorgang.

Weitere (auf die schnelle von Hand durchgeführte) Untersuchungen brachten auch keine neuen Erkenntnisse. Nach kurzer Recherche stieß ich auf Wege den Trjoaner zu entfernen. Ich entschied mich für die Kaspersky Rescue Disk mit remover. Führte die beschriebenen aktionen incl. Scan durch.

Es wurde der genannte Registryeintrag gefunden und gefixt. So wie:

Gefunden: Trojan.Win32.Bublik.bei /mnt/MountedDevices/PD-D7DDD74A-00000000065XXX/Users/*USER*/AppData/Roaming/mixersnwin.exe

Der Rest blieb ohne Befund. Nach dem Neustart konnte sich der Nutzer wieder Problemlos anmelden und es scheint zu laufen. allerdings traue ich dem ganzen nicht wirklich..

Ist diese Variante schon bekannt? Was GENAU macht der Trojaner noch? Reicht das was ich gemacht habe aus um sicher zu sein? Habe den Anhang gesichert und vorsichtshalber erneut gezippt. Und als Beweis weggesichert.

Content-ID: 185373

Url: https://administrator.de/forum/trojan-win32-bublik-bei-entfernt-185373.html

Ausgedruckt am: 27.12.2024 um 06:12 Uhr

d4shoerncheN
d4shoerncheN 23.05.2012 aktualisiert um 13:36:14 Uhr
Goto Top
Hallo,

lade dir mal die Rescue-CD von Kaspersky runter.

Die brennst du dir auf CD und bootest von dieser. Starte Sie dann am besten im grafischen Modus. Wenn er erfolgreich von der CD gebootet hat, verbinde deinen Computer mit dem Netzwerk (wenn er es noch nicht ist - eventuell abgetrennt vom eigenen / Firmennetzwerk) damit er sich die aktuellste Virensignatur laden kann.

Starte das Rescue-Center und folge dem Assistenten. Am Anfang bereinigt er nur die wichtigsten Stellen, lass dies erst durchlaufen. Danach starte einen neuen Scan, wo du sämtliche Partitionen durchsuchst (dies dauert allerdings ein wenig).

Bin mit der CD sehr zufrieden.

Gruß

===EDIT===
Kleiner Tipp am Rande, bei solchen E-Mails immer genauer hinsehen. Oftmals stimmt was mit der Absender-Adresse nicht (z.B. amazon-com.net, statt amazon.com). Oder es befinden sich grammatikalische Fehler im Text (was bei einer seriösen Firma ehr unwahrscheinlich sein sollte).

Die Buchung erfolgt in Die (?!?!) einigen Tagen von Ihrem PayPal-Konto

Zudem kenne ich persönlich kein Unternehmen, was Rechnungen etc. als .zip-Datei sendet (auch hier die Finger von lassen).
TechnoX
TechnoX 23.05.2012 um 13:37:05 Uhr
Goto Top
Dies habe ich schon getan - die is wirklich klasse face-smile hatte mich im Name vertippt war kaspersky ned Avira...
d4shoerncheN
d4shoerncheN 23.05.2012 um 13:45:45 Uhr
Goto Top
Hallo,

schau dich hier am Besten auch einmal um:

Das Kaspersky Virus Removal Tool kannst du auch gerne noch einmal durchlaufen lassen. Generell sollte die Rescue-Disk aber seinen Dienst getan haben.

Gruß
cardisch
cardisch 23.05.2012 um 15:23:20 Uhr
Goto Top
Tach,

alles was als Rechnung durchgeht und nicht PDF als Endung hat würde ich sofort ausschliessen, dafür gehört deinem User eins auf die Finger gehauen..
Warst du mal www.bka-trojaner.de ?!
AUch ein Kauf der Desinfec´t (da die der C´t beiliegt dauert deas mit Bestellung und Versand aber
ein paar Tage) kann nicht schaden.


Gruß

Carsten
mrtux
mrtux 23.05.2012, aktualisiert am 24.05.2012 um 00:27:47 Uhr
Goto Top
Hi!

Wenn Du dir nicht sicher bist ob es Malware sein könnte, dann trenne den Anhang ab (am besten auf einer Linuxbox) und lad den Anhang bei Virustotal zur Analyse hoch...Zipfiles im Anhang sind nach meiner Erfahrung aber fast immer getarnte Malware...

mrtux
ChrisIO
ChrisIO 23.05.2012 aktualisiert um 16:39:42 Uhr
Goto Top
Hey TechnoX,

ich habe diesen und andere, nette Trojaner schon von den Rechnern mehrerer Bekannter entfernt und gehe dabei folgendermaßen vor:

1. Kaspersky Rescue Disc booten und WindowsUnlocker ausführen(Anleitung findest Du bei google)
2. Mit GDATA Boot CD(Testversion bietet die Möglichkeit der Erstellung) mit der aktuellen Virendefinition das System durchscannen
3. Gdata Testversion auf System installieren und kompletten Systemscan nach Update durchführen

Manchmal findet man bei 3. immernoch Viren, kann aber das System bereits wieder nutzen.

Hat mich bislang immer zum Ziel geführt.

Wer keine CD`s brennen will, nimmt die Tools Unetbootin und rescue2usb.exe von Kaspersky zur Hilfe, um sich entsprechende bootfähig USB-Sticks zu erstellen.

Gruß,
Chris
TechnoX
TechnoX 29.05.2012 aktualisiert um 12:23:54 Uhr
Goto Top
Hallo - momentaner Zwischenstand:

Der obengenannte Angriff hat trotz der anfänglichen euphorie einen kleinen Teil der installierten SQL datenbank verschlüsselt. Dies konnte dank der Datensicherung behoben werden.

Nachträglich erschien folgendes:

Scheinbar trägt sich der ### in die Systemwiederherstellung ein. Daraus schrieb sich die Datei aus dem Autostart (die oben benannte .exe) erneut in das Profil unter "///..AppData.../roaming" zurück.

Dies wurde behoben. Inzwischen erkennt Mcafee den Schädling siehe hier:

http://home.mcafee.com/virusinfo/virusprofile.aspx?key=1171744#none

Vorgang wie beschrieben ausgeführt - nachträglicher Scan läuft zur Zeit.

Ja ich weis Neuinstallation wäre besser. Aber is leider verworfen worden & man hat mich für Folgeschäden freigesprochen. Habe ausdrücklich darauf bestanden. Und ich rate jedem der das Drecksding ebenfalls hat die neuinstallation zu machen! sicher is sicher!

Es folgt ein Scan mit HijackThis und eine Prüfung mit cclean.
TechnoX
TechnoX 31.05.2012 um 14:29:43 Uhr
Goto Top
Mal so die Frage in die Runde.. gibt es eine Möglichkeit die Daten zu entschlüsseln??

Habe diverese Decrypter schon probiert - da das verschlüsselungsformat aber nicht dem Decrypter entspricht sondern aus einer Zufalls generierten Nummer mit einer Länge zwischen 5~20 Zeichen besteht ist das ganze leider oft zum scheitern verurteilt. Die Dateigröße hat sich nicht verändert.

Gibt es da was?
Ein typisches Beispiel für den Verschlüsselten Name wäre:
gXJqevpGLgjUgdQAtofr

Ich mein das System läuft wieder aber ich wüsste zu gerne ob das schon öfter in der Art auftrat und obs dagegen halt schon was gibt. Tools von avira, Kaspersky, etz. halt die üblichen Verdächtigen aus dem Trojaner board sind nicht in der Lage. Avira spuckt wenigsten die Meldung aus das die Datei nicht identisch sei.. obwohl ich sie anhand der selben Dateigröße zu geordnet habe. (von 5 Dateien war nur eine mit 8.104MB im Ordner)

Irgend ne Idee?