Gefahr durch Virusmail:Virus: Trojan.Gen

6Antworten
  1. #1
    Avatar von drfius
    drfius ist offline
    Themen Starter

    Title
    Benutzer
    seit
    22.05.2012
    Beiträge
    4

    Standard Gefahr durch Virusmail:Virus: Trojan.Gen

    Moin,

    meine Mutter rief mich grad an und war ganz aufgeregt. Sie hat eine Mail bekommen, welche als Bestellbestätigung getarnt war. (Betrag irgendwas über 6000 €). Sie hat auf die angehängte Zip datei geklickt, wusste aber nicht, ob der was entpackt bzw. installiert hat.
    Sie ist 400 km entfernt und ich kann mir das nicht näher anschauen. Sie hat mir die Mail weitergeleitet, aber gmx hat direkt einen Virus erkannt:

    Liebes GMX Mitglied,

    eine an Sie adressierte E-Mail wurde von unserem Virenscanner als gefährlich eingestuft.

    Datei: Vertrag 17.05.2012.com
    Virus: Trojan.Gen


    Die Frage jetzt: ist der Virus auf dem Rechner? Kann man das sagen?
    Welchen Schaden richtet er an? Was muss getan werden? Kann man diesen manuell entfernen? Online Banking lieber sein lassen?

    Bin für jeden Rat dankbar.

    Gruß drfius

  2. #2
    Avatar von schmidtchen
    schmidtchen ist offline

    Title
    Moderator
    seit
    07.08.2005
    Ort
    Schleswig-Holstein
    Beiträge
    9.272

    Standard

    Moin,
    meines Wissens filtert 'gmx' verdächtigte Mails aus und meldet das dem Nutzer. Das müsste aber gleichzeitig mit der Bereitstellung der Mail geschehen. Wenn deine Mutter das übersehen hat, war das fahrlässig. Noch schlimmer war das Öffnen des Anhangs der Mail. Wenn die *.zip-Datei durch Anklicken entpackt wurde, ist davon auszugehen, dass ein Installationsprozess in Gang gesetzt wurde, denn wozu sollte eine 'Bestellbestätigung' extra gezipt werden?
    Weiß deine Mutter noch, was und wo sie bestellt haben soll?
    Verhaltensregeln:
    1. Online-Banking auf jeden Fall unterlassen, auch keine Webseiten aufrufen, wo Zugangsdaten verlangt werden. Nach Bereinigung später PIN und Passwörter ändern.
    2. Hat deine Mutter ein Virenwarnprogramm welches aktuell (Updates) gehalten wird?
    3. wurde ein Suchlauf damit gemacht? Funde? (in Quarantäne legen)
    4. Das Tool 'Malwarebytes' runter laden, nach Installation updaten und damit einen Suchlauf durchführen. Funde in Quarantäne legen.
    (Systemscan mit Malwarebytes ? eForum Wiki )
    5. Das Tool 'HiJackThis' laden,
    HijackThis Scanner zum Auffinden von Schadprogrammen ? eForum Wiki
    damit scannen (Scan and safe a Logfile)
    das Logfile dir senden und du stellst es hier ein.

  3. #3
    Avatar von drfius
    drfius ist offline
    Themen Starter

    Title
    Benutzer
    seit
    22.05.2012
    Beiträge
    4

    Standard

    Moin,

    danke für die umfangreiche Mail!
    Ja, hat es bei mir ja gemacht. Meine Mutter hat allerdings t-online. Nein, das war aus der Mail nicht ersichtlich, dafür sollte man ja den Anhang öffnen. In der Mail erschien nur der Betrag mit etwas über 6.000 €. Mir ist ja klar, dass man sowas nicht öffnet - alte Leute fängt man mit sowas halt ein.

    Vielen Dank für die Tipps. Gebe ich weiter und stelle es nachher hier ein.

    Viele Grüße
    drfius

  4. #4
    Avatar von drfius
    drfius ist offline
    Themen Starter

    Title
    Benutzer
    seit
    22.05.2012
    Beiträge
    4

    Standard

    3. erledigt. Funde durch meine Mutter, in Quarantäne. Was weiß ich nicht.
    4. erledigt, nichts gefunden.
    5. Logfile:

    Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 23:16:58, on 15.06.2012
    Platform: Windows 7 SP1 (WinNT 6.00.3505)
    MSIE: Internet Explorer v8.00 (8.00.7601.17514)
    Boot mode: Normal

    Running processes:
    C:\windows\system32\taskhost.exe
    C:\windows\system32\Dwm.exe
    C:\windows\Explorer.EXE
    C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
    C:\Program Files\Common Files\Java\Java Update\jusched.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
    C:\Program Files\Mozilla Firefox\plugin-container.exe
    C:\windows\system32\wuauclt.exe
    C:\Users\sneuglen\Downloads\HiJackThis204.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN Deutschland: Hotmail, Skype Download und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN Deutschland: Hotmail, Skype Download und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Windows Live ID-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
    O4 - HKLM\..\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.ex e" "C:\Program Files\CyberLink\YouCam" UpdateWithCreateOnce "Software\CyberLink\YouCam\2.0"
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
    O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
    O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
    O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
    O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\windows\system32\Macromed\Flash\FlashUtil10o_Pl ugin.exe -update plugin
    O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
    O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
    O23 - Service: ArcSoft Connect Daemon (ACDaemon) - Unknown owner - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe (file missing)
    O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
    O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
    O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
    O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\windows\system32\nvvsvc.exe
    O23 - Service: Oberon Media Game Console service (OberonGameConsoleService) - Unknown owner - C:\Program Files\Samsung Casual Games\GameConsole\OberonGameConsoleService.exe

    --
    End of file - 5914 bytes

  5. #5
    Avatar von schmidtchen
    schmidtchen ist offline

    Title
    Moderator
    seit
    07.08.2005
    Ort
    Schleswig-Holstein
    Beiträge
    9.272

    Standard

    Moin,
    die Auswertung von HjT meldet keine Unregelmäßigkeiten.
    Nach einem Durchlauf mit dem CCleaner - Datenmüll entfernen
    solte alles bereinigt sein.

  6. #6
    Avatar von drfius
    drfius ist offline
    Themen Starter

    Title
    Benutzer
    seit
    22.05.2012
    Beiträge
    4

    Standard

    Vielen Dank!

  7. #7
    Avatar von Catnight
    Catnight ist offline

    Title
    Benutzer
    seit
    21.09.2011
    Beiträge
    748

    Standard

    Hallo!
    Bitte sag deiner Mutter am besten auch das man NIE aber auch wirklich NIE
    bei diesen Fake-Emails wo man angeblich was bestellt oder ein Abo abgeschlossen hat die ZIP-Datei öffnet. Denn da werden bestimmt noch mehr antanzen, auch welche wo man was von sich aus angeben soll.
    Wenn eine E-Mail von einer unbekannten Firma reinkommt, wo Zahlungen verlangt werden oder gesgat wird dass Zahlungen vom Konto gebucht werden, dann das Konto beobachten und sonst nicht darauf reagieren.

Ähnliche Themen

  1. Explorer.exe erscheint nicht (Vllt. durch VIRUS)

    Von HiitZe im Forum Windows XP
    Antworten: 25
    Letzter Beitrag: 03.01.2012, 11:40
  2. LAn-Party in Gefahr!

    Von keggi1990 im Forum Netzwerk Probleme
    Antworten: 0
    Letzter Beitrag: 06.08.2009, 01:27
  3. mein arbeitsplatz ist im gefahr

    Von schura im Forum Off-Topic
    Antworten: 3
    Letzter Beitrag: 16.10.2008, 19:22
  4. Virus gefunden durch Antivir

    Von rudolfo im Forum Antivirus und PC Sicherheit
    Antworten: 10
    Letzter Beitrag: 02.04.2007, 08:03
  5. RAM Testen ohne Gefahr möglich???

    Von im Forum Mainboard, CPU und RAM
    Antworten: 7
    Letzter Beitrag: 07.06.2005, 22:00
Diese Seite benutzt Cookies Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Infos zum Datenschutz