Neuer rechnung.pdf.exe Trojaner 2, diesmal mit Rootkit im Anhang Einstellungen

[raman]

So heute ist wieder ein neuer Trojaner hier aufgeschlagen, wieder als Telekomrechnung getarnt und als Anhang ein Backdoor, der auch ein Rootkit installiert.

Wenn dieser aktiv ist, sieht man von ihm nichts, weder die Dateien noch die Starteintraege. Er scheint auh zu versuchen sich via P2P Netzwerke zu verbinden. Zumindest erstellt er einen Ordner, in dem er diverse Dateien mit Namen von the bat! und NAV erstellt.
Rootkitdetektoren wie Blacklight und Rootkitrevealer lassen sich nicht starten oder geben eine Fehlermeldung aus.

Die orginal Mail, die der GMX Spamfilter allerdings abgefangen hat ist:
---cut---
From: Telekom <Rechnung-Online@t-com.net>
X-Mailer: The Bat! (v2.00.2) Personal
X-Priority: 3
To: Raman <raman@******l.de>
Subject: Rechnung Telekom

Guten Tag,

die Gesamtsumme für Ihre Rechnung im Monat Oktober 2005 beträgt: 628.97 Euro.
Mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung und - soweit von Ihnen beauftragt - die Einzelverbindungsübersicht.
Sind Sie Unternehmer und benötigen unsere Rechnung zur Geltendmachung von Vorsteuerabzug? Bitte beachten Sie dann, dass Sie seit 29.12.2004 die Möglichkeit haben, Ihre Rechnung per E-Mail mit einer qualifizierten elektronischen Signatur zu erhalten. Sie können diese im Bereich "persönliche Einstellungen" aktivieren.
Sollten Sie dem Finanzamt bisher eine von Ihnen zusätzlich beauftragte Rechnung in Papierform zum Vorsteuerabzug vorgelegt haben, bitten wir außerdem zu beachten, dass wir Ihnen diese nur noch in Form eines "Rechungsdoppels" bieten können, da nur so vermieden werden kann, dass T-Com mehrere Rechnungsoriginale ausstellt.

Antworten auf Ihre weiteren Fragen zur digitalen Signatur finden Sie auch in unseren FAQs unter dem Stichwort "Digitale Signatur".
=================================
RECHNUNG ONLINE - TIPP DES MONATS
Die neuen WünschDirWas Tarife sind jetzt da! Jetzt online anmelden unter www.t-com.de/reo/WuenschDirWas und bis zu 10,- Euro sparen.
Die aktuellen Top-Angebote der Deutschen Telekom finden Sie unter:
www.t-com.de/aktuell.
=================================

Bei Fragen zu Rechnung Online oder zum Rechnungsinhalt klicken Sie bitte unter www.t-com.de/rechnung (oben links) auf "Kontakt".

Mit freundlichen Grüßen

Ihre T-Com

------------------------------------------------------
Aktuelle Informationen zu den Allgemeinen Geschäftsbedingungen finden Sie unter www.t-com.de/aktuell-agb.
---cut---

[Gast_Dilia_*]

[FONT=Times][SIZE=7]N'abend... ich plage mich seit ein paar Tagen mit dem blöden Ding rum. Mein Virenscanner hat im Windows system einen Trojaner PWsteal ausgemacht - kann ihn aber nicht löschen. Ist das das Ding was mit der RTechnung kam ? Diese Telecom mail habe ich bekommen und leider angeklickt...im selben Moment wußte ich das das ein Fehler war. Einmal nicht aufgepasst...Norton scheint ebenso machtlos wie Micro World. Es lassen sich keinerlei Programme mehr öffnen. Nur über den Arbeitsplatz erreiche ich noch Dateien. Rest ist platt. Hat jemand einen Tip ?

[Yopie]

N'abend... ich plage mich seit ein paar Tagen mit dem blöden Ding rum. Mein Virenscanner hat im Windows system einen Trojaner PWsteal ausgemacht

Die genaue Meldung wäre sinnvoll, um dir gezielt helfen zu können:
Also Fundort (Ordner) und Dateiname.
Wenn der Schädling schon aktiv ist, wovon ich jetzt ausgehe, beachte die Hinweise unten.

Diese Telecom mail habe ich bekommen und leider angeklickt...im selben Moment wußte ich das das ein Fehler war.

Vom Anklicken der Mail wird man nicht infiziert. Und wer das Attachement öffnet, tja....

Einmal nicht aufgepasst...Norton scheint ebenso machtlos wie Micro World. Es lassen sich keinerlei Programme mehr öffnen.

Das hätte dir mit jedem anderen AV-Prog auch passieren können. Wenn der User unvernünftig handelt, wird das beste AV-Prog früher oder später bei der Verhinderung einer Infektion versagen.

Nur über den Arbeitsplatz erreiche ich noch Dateien. Rest ist platt. Hat jemand einen Tip ?

Tabula Rasa. Neu aufsetzen. Und dann dem User nur eingeschränkte Rechte einräumen, damit im Fall der Fälle nur das jeweilige Benutzerkonto betroffen ist.

Beachte folgende Anleitung zum Neuaufsetzen möglichst genau! Ansonsten wirst du schon Sekunden nach der Neuinstallation neue Probleme bekommen.
http://www.trojaner-board.com/showthread.php?t=12154

Außerdem natürlich so schnell wie möglich sämtliche Passwörter ändern.