Vorsicht falsche Rechnung!

[wolfgang30]

Hallo nochmals!

Um 10:51 Uhr schrieb ich noch ".... neuere Varianten sind z.Z. zumindest nicht bekannt (aber alles möglich). "

Was lese ich um in der PC-Welt um 12:33 Uhr:

(--> http://www.pcwelt.de/news/sicherheit/107123/index.html )

Neue Variante falscher T-Com-Rechnungen im Umlauf

Eine neue Variante einer vorgeblichen Telekom-Rechnung wird seit Samstag verschickt. Sie enthält eine ZIP-Archiv-Datei (1.zip; 2,5 KB), in der eine Datei "Rechnung2005-02.exe" (5 KB) steckt. Durch das verwendete Datei-Symbol und den Text der Mail soll der Eindruck erweckt werden, es handele sich um ein PDF-Dokument - tatsächlich ist es ein Programm, genauer ein Trojanisches Pferd.

Kaspersky erkennt wieder "Trojan-Downloader.Win32.Vidlo.h", AntiVir meldet "TR/Dldr.Vidlo.h", einige andere derzeit noch nichts. Das Trojanische Pferd lädt einen weiteren Schädling aus dem Internet nach, der Daten für das Online-Banking ausspionieren soll.... usw
______________________________________________________

Es geht Schlag auf Schlag und ist hochgefährlich (Online-Banking ausspionieren ) und ist immer noch dieser Trojan-Downloader.Win32.Vidlo.h.

Offenbar haben da wirklich nur Kaspersky + AntiVir bis dato reagiert.
Und Rest? Sehr schwache Leistung....so sehe ich das.


PS: dies nur als Nachtrag zu meinem Posting von wegen
korrekter Berichterstattung

 

[binikay]

Hallo allerseits,
auch ich habe fertig gebracht, was ich nie für möglich gehalten hätte und wofür ich andere bisher immer ausgelacht habe: Als ich die gefälschte Telekom - Mail bekam, habe ich den Anhang ganz routiniert geöffnet, weil ich mir die Rechnung ausdrucken wollte (ich bekomme jeden Monate meine Rechnung von der Telekom online geschickt.)
Erst als es zu spät war, habe ich gemerkt, dass das ja eine .exe -Datei ist und kein .pdf!!
Mein Virenscanner F-Secure hat den Virus erkannt, konnte ihn aber anscheinend nicht löschen/desinfizieren, da er sich in einem Archiv aufhält. Auch Ad-Aware hat mir nicht geholfen.
Ich habe die Systemwiederherstellung deaktiviert und dann den Virenscanner noch mal laufen lassen, aber das hat wieder nix genützt.
Bei der F-Secure Hotline konnte man mir auch nicht helfen.
Ich habe Windows-XP und das Archiv mit dem Virus ist unter "Lokale Einstellungen /Temporary Internet Files" abgespeichert. Obwohl ich XP so eingestellt habe, dass mir auch versteckte Ordner u Dateien angezeigt werden, kann ich die virus-exe in diesem temporären Ordner nicht sehen!
Außerdem speichert XP downgeloadete Dateien immer in einem OLK-Ordner ab, was total nervt: auch diesen Ordner kann ich nicht sehen, obwohl er schon knallvoll ist und ich ihn gerne mal löschen würde!

Meine Fragen:
wie kriege ich die .exe Datei mit dem Virus von meinem Rechner runter, wenn mein (eigentlich gutes und teuer bezahltes) Virenprogramm nicht kann?
Kann das kostenlose AntiVir das vielleicht?
Wie bekomme ich Zugriff auf die o.g. "unsichtbaren" Ordner und Dateien?

Ich wäre total froh, wenn mir jemand von euch Cracks helfen könnte! Ich habe solche Angst, mein Computer ist mein Leben und meine Einkommensquelle!!!

 

[Bremsklotz]

@binikay
Versuche das ganze noch mal im abgesicherten Modus. Beim Starten mehrmals "F8" drücken. Ansonsten wie gehabt.
Rufe doch deine T-Online-Rechnung in Zukunft auf der T-Com Seite ab, und nicht über die Verlinkung deines Mail-Programmes.
Das gleiche gilt auch für Online-Banking.
Da gibst du deinen Nutzernamen und Login ein, und kannst auch alles ausdrucken, was du brauchst.

 

[wolfgang30]

Guten Morgen, binikay !

Das ist echt übel und das selbst F-Secure dir da nicht weiterhelfen kann, stimmt mich auch mißlich. Denn die sind schon sehr gut mit schnellen Reaktionszeiten (getestet von der Uni Magdeburg).

Wenn Du dir die Schadensbeschreibung von Kaspersky durchliest (s.o.) mit Backdoor-Funktionen des Schädlings, dann heißt das normalerweise komplette Neuaufsetzung des PC mit Format C ! Dein System ist nicht mehr vertrauenwürdig.

Eine richtige "Entfernung" (setzte es bewußt in " ") im klassischen Sinne ist nicht mehr möglich. Es wurden auf deinem PC Änderungen vorgenommen, die nicht mehr nachvollziehbar sind).
Es ist deine Entscheidung, ob du "reinigen" willst oder Format C machen (ist dein PC).
Sorry, aber so muss ich es dir sagen. Hilft dir nicht, wenn ich dir da Sand in die Augen streue. Die Risiken
mit einem komprittierten Computer zu arbeiten müssen dir bewußt sein.

Willst Du "reinigen", dann mit voller Breitseite vorgehen, um auch an die geschützten Systemdateien usw. ranzukommen wie folgt:

1. - Downloaded Program Files, Temporäre Internet Files, Office Setup File
Temporäre Dateien usw. löschen--->

Start --> ausführen ---> dort cleanmgr eingeben und mit OK
bestätigen. Dort alle anhaken und dann bereinigen lassen.

Habe auch mit Reinigungstools wie von www.clearprog.de (freeware)
gute Erfahrungen gemacht. Arbeitet gründlich (alle Browsertpyen,
viele add-ons für diverse Softwareprogramme etc.).

2. Systemwiederherstellung deaktivieren
(gibt's und gilt nur für ME + XP, sonst Punkt 2 vergessen): siehe z.B. service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

3. "alle dateien anzeigen" lassen : d.h. zum

Arbeitsplatz -> Extras -->Ordneroptionen -> Ansicht ------>

bei "Geschützte Systemdateien ausblenden (empfohlen)": Haken entfernen
und "Alle Dateien und Ordner anzeigen" aktivieren, d.h mit einem Haken -> dann "OK"

4. dann in den abgesicherten Modus gehen:
Wie kommst du in den abgesicherten Modus?
siehe: www.bsi.bund.de/av/texte/wiederher.htm

d.h. Du schaltest zunächst den PC aus und startest ihn wieder. Dabei drückst du mehrfach die Taste F8 bis du in den sog. abgesicherten Modus kommst bzw. diesen wählst du oben aus und dann mit ENTER bestätigst.


Nach diesen Schritten nochmals einen AV-Scan machen. Zwischenzeitlich weiß ich, daß Kaspersky/Gdata, AntiVir, Sophos und Clamwin diesen Virus definitiv erkennen.
Bei den anderen AV-Scannern läuft er möglicherweise unter anderem Namen wie so oft.
Aber F-Secure arbeitet ja auch mit den Kaspersky-Signaturen, also sollte er es auch nach der o.g. Anleitung klappen.
Wie ich weiter oben schon sagte, kann man durchaus mehrere AV-Scanner
parallel auf der Festplatte haben , allerdings immer nur 1 Wächter.
Keine Regel ohne Ausnahme! F-Secure duldet keine 2.AV-Scanner neben sich. Bei der F-Secure-Installation wird man ausdrücklich aufgefordert, etwaige andere AV-Scanner nicht nur zu deaktivieren (was bei den anderen genügt), sondern zu deinstallieren. Aber natürlich immer den AV-Wächter kurzfristig deaktivieren.

Deswegen ist ein Gegencheck mit z.B. AntiVir evlt. mit Störungen verbunden. Aber angesichts dieses Befalles würde ich es dennoch riskieren, wenn F-Secure es nicht schaffen sollte.

Viel Erfolg und lass mich wissen nach den obigen Schritten, wie sich F-Secure verhält.

Good luck.

 

[binikay]

Die Sonne scheint wieder auf meiner Festplatte und in meiner Registry!!
Anscheinend waren die Auswirkungen auf meinen PC doch nicht so dramatisch wie zuerst angenommen.

Ich habe folgendes gemacht: zuerst habe ich mir ein akutelles Backup von allen wichtigen Daten gemacht - man weiß ja so als unbedarfter User nie genau , was passiert, wenn man in seinem System rumfummelt...

Dann habe ich mir das Reinigungstool clearprog runtergeladen und installiert. Dann habe ich dieses Reinigungsprogramm laufen lasse und darauf geachtet, dass er vor allem meine Browser und die ganzen temporären-Dateien-Kisten säubert. Danach habe ich noch einmal F-Secure laufen lasse und es gab zum Glück keine Virusmeldung mehr! Ich gehe davon aus, dass der Virus jetzt weg oder zumindest unschädlich gemacht wurde.

Vorher habe ich auch nachgeschaut, ob der Virus schon entsprechende weitere schädlichen Dateien installiert hatte. Ich hatte mir bei Antivir.de die Beschreibung des Virus durchgelesen und in meiner Registry nachgeschaut, ob die erwähnten Dateien schon installiert waren. Waren sie aber nicht. Möglicherweise hatte sich der Virus in meinem PC von Anfang an nicht ausbreiten könne, da F-Secure die .exe-Datei des Virus umbenannt hatte (das ergab zumindest die Virenmeldung von dem F-Secure Scanner.) Die Meldung die am Anfang (also vor dem Reinigunseinsatz) durch F-Secure kam, hieß immer: "Virus in dem temporären Verzeichnis gefunden, konnte aber nicht desinfiziert oder gelöscht werden, da er in einem Archiv gespeichert ist. Hinweis: F-Secure bennent schädlich Dateien um, so daß sie gefahrlos geöffnet und untersucht werden können."
Erst durch den Einsatz von clearprog konnte die Virusdatei anscheinend gelöscht werden, jedenfalls meldet mir F-Secure nichts mehr.

Ein Gegencheck mit einem anderen AV-Scanner habe ich bisher aber noch nicht gemacht.

1000 Dank für deine Hinweise, Wolfgang!!!

 

[wolfgang30]

Hallo binikay !

Danke Dir für's feedback. Hat sich dann doch noch zum positiven gewendet. Freut mich für Dich. Auf eine lange virenfreie Zeit und schöne Woche.