Supportnet Computer
Planet of Tech

Supportnet / Forum / Security/Viren

Auf rechnung.pdf.exe reingefallen - was nun?





Frage

Hallo, leider war ich so doof und bin auf die falsche Telekomrechnung mit der malware rechnung.pdf.exe reingefallen (bei Beträgen über 600 Euro setzt das Hirn anscheinend kurz aus). Bei mir ist folgendes passiert. - Sofort als ich doppelgeklickt habe wollte sich irgendein unbekanntes Programm (ich glaube es hieß "zulu") mit dem Netz verbinden. - Tiny firewall meldet das, ich habe deny gedrückt, es ist dann nichts weiter passiert. - Nach ein paar Recherchen habe ich den trojaner ipwf.exe entdeckt und aus dem system-Verzeichnis und der registry entfernt Frage: Ist mein Rechner nun sauber oder versteckt sich da noch was? Alle gängigen Suchprogramme mit aktuellen updates finden nichts (e-scan, pestpatrol, spybot, unhackme, avg, antivir, bitdfender, f-prot usw....) Danke für eure Tipps, Klaus

Antwort 1 von vadder

das auch :Hijackthis

vadder

Antwort 2 von Thomas27

wenn die Antivirenprogramme nichts mehr finden...
scheint alles ok zu sein.

allerdings...
Zitat:
http://oschad.de/wiki/index.php/Virenscanner


Antwort 3 von testaccount

hijackthis habe ich auch laufenlassen und nichts Auffäliges gefunden, außer diesem Eintrag, den ich nicht interpretieren kann (>>deleted<< stammt von mir):
O17 - HKLM\System\CCS\Services\Tcpip\..\>>deleted<< NameServer = 217.>>deleted<<
Kann das was mit DNS und DSL-router zu tun haben?

Antwort 4 von Thomas27

nochmal als ordentlichen Link zum anklicken
http://oschad.de/wiki/index.php/Virenscanner

Antwort 5 von TheRealBigDaddy

Hi!

Naja, wenn Dein Antivirenprogramm, welches Du auf dem Rechner laufen hast, nichts findet, sagt das leider rein gar nichts aus, insbesondere, wenn Du als Admin angemeldet bist.

Wenn Du allerdings Dein System über eine Boot-CD startest und einen VIrenscanner von der CD benutzt, heißt das schon ein bisschen mehr.
Wenn er was findet, heißt das, daß Du sehr wahrscheinlich noch was drauf hast. Findet er nichts, weißt Du es halt nicht.

Btw: welches Betriebssystem benutzt Du?

Antwort 6 von Das_Urmel

Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\..\>>deleted<< NameServer = 217.>>deleted<<


Völlig wurscht was du hast, XP wahrscheinlich?

Den Nameserver mit nslookup einfach mal prüfen, ist der nicht von deinem Provider, dann hat der Trojaner versucht dich zu entführen ;)
mfg
Michael

Antwort 7 von RTFM

Als ich das Ding gestern in meinem Fach sah, wusste ich, dass das garantiert auch hier im SN auftaucht. Ich hätte ein Haus drauf wetten können und hätte gewonnen. :-)

Antwort 8 von TheRealBigDaddy

Hi!

@Urmel : ich fragte wegen dem BS, weil der Schädling u.a. versucht, die Registrierung hinsichtlich der XP-Firewall zu ändern. Er strickt sich einen Eintrag, mit dem er sich als erlaubter Prozess einträgt.

Aber ist ja auch wirklich völlig wurscht. Da sich Dein System, Klaus, im Augenblick in einem undefinierten Zustand befindet, der alles andere als vertrauenswürdig ist, würde ich dazu raten, auf Nummer sicher zu gehen und Windows neu zu installieren.

Antwort 9 von Das_Urmel

@TRBD
Zitat:
die Registrierung hinsichtlich der XP-Firewall zu ändern.

Damit hättest du sicher auch Recht, nur bei dem ollen pdf.exe ist mir das noch nicht untergekommen, kann ja noch kommen ;)

Hijackthis sollte den aber als Fremdprozess aufspüren, autoruns etc. eigentlich auch?

Hier eine Möglichkeit
http://www.bsi.bund.de/av/vb/ldp_ak.htm

mfg
Michael

Antwort 10 von testaccount

Als der Trojaner von mir versehentlich angeklickt wurde hat meine firewall eine ausgehende Verbindung bemerkt, die ich mit "deny" weggeklickt habe. Es ist doch also möglich, dass die eigentliche Schadroutine noch gar nicht installiert wurde (die oben genannten Dateien z. B. finde ich bei meinem Rechner nicht)

Das Programm ipwf.exe und seinen registry-Eintrag sowie den Eintrag für das Programm rechnung.pdf.exe in der registry der windows-firewall habe ich manuell entfernt.

Das einzige, was mich nun noch stutzig macht ist, dass sich im system32-Verzeichnis ein temp-Ordner befindet, der sich nicht löschen lässt. Ist das bedenklich?

Bin für jeden guten Tipp (oder auch beruhigende Auskunft) dankbar.

ciao, Klaus

Antwort 11 von TheRealBigDaddy

Hi!

Falsch! Gerade weil die PFW eine ausgehende Verbindung gemeldet hat, hat sich das Teil installiert. Schließlich verbindet es sich nur dann mit dem Internet, wenn es ausgeführt und somit installiert wurde.

Ich plädiere in Deinem Fall trotzdem immer noch für eine Neuinstallation. Oder weißt Du genau, was auf Deinem System verändert wurde und was nicht?

Antwort 12 von testaccount

Hi,

ja klar, das Teil wurde von mir angeklickt und damit aktiviert. Aber ich habe das so verstanden, dass es sich um einen Trojaner ohne sonstige Schadfunktion handelt, der folgendes macht um dann über eine Internetverbindung den eigentlichen Schädling nachzuladen:

- sich selber als freigegeben für die windows firewall in der registry entragen
- sich selber in windows/system32/ installieren
- einen registry-Eintrag in HKLM/../../../run anlegen, damit das programm bei jedem neustart ausgeführt wird
- eine *.dat Datei anlegen mit serveradressen zum nachladen anderer Schädlinge

--> Diese vier Punkte habe ich manuell beseitigt
--> Die Verbindung zum Nachladen von anderer malware wurde von tiny firewall nicht zugelassen und fand nicht statt

Jetzt meine Frage: Ist da noch was oder wars das???

Danke, Klaus

Ich möchte kostenlos eine Frage an die Mitglieder stellen:


Ähnliche Themen:


Suche in allen vorhandenen Beiträgen: