Eine neue Masche der Trickbetrüger ist heute aufetaucht; Um auch in Zukunft die Geschäftsleute die ja etwas sensibler mit Ihren Mails umgehen in die Falle zu locken, haben Sie die Online-Kriminellen wieder mal eine neue Variante ausgedacht.
Sie versenden eine Mail mit dem Betreff “Rechnung -Datum- Schmitd-Online-GmbH und folgendem Inhalt:
Sehr geehrter Kunde,
in unserer Email vom 28.07.2012 wurden Sie bereits abgemahnt, weil die offene Forderung von 775,21 Euro von Ihnen noch nicht bezahlt wurde.
Wir bitten Sie so schnell wie möglich, Ihrer offene Forderung zu begleichen.
Wir sehen uns gezwungen Ihnen die Kosten von 19,00 Euro dazu zu der noch offenen Forderung als Mahnung in Rechnung stellen.
Wir bitten Sie, den fälligen Betrag bis zum 1009.2012 auf das angegebene Konto zu übersenden.
Rechnung und bestellte Produkte sind in dem angefügten Ordner.
Mit verpflichtenden Grüßen
Schmidt-Online GmbH Arnstein
(Mo-Fr 9.00 bis 18.00 Uhr, Sa 9.00 bis 16.00 Uhr)
Geschäftsführer: Jonas Fuchs
Steuer-Nr.: DE149831047
Im Anhang befindet sich eine Datei mit dem Namen Rechnung<<Datum>>.zip, darin enthalten ist das Programm “Rechnung_<<Datum>>.exe und darin befindet sich der Trojaner:
Backdoor.Win32Nuclerrot.II
Wer also eine Zahlungserinnerung von Schmidt-Online-GmbH erhält, sollte tunlichst darauf verzichten, sich diese Rechnung anzusehen.
Hy kielerjung_74,
Nein keine Sorge, “,” am Ende ist RICHTIG
danke pc doktor !!!
bei mir ist glaub ich alles ok
oder muss ich mir sorgen wegen des kommas am ende machen? “C:\Windows\system32\userinit.exe,”
gruß kielerjung_74
Im riskanten Eigenversuch, konnte ich also nachweisen, dass das Öffnen der Zip-Datei mit aktuellem Kaspersky Virenscanner, keine Schäden anrichtet. Kaspersky schlägt sofort Alarm und isoliert den Trojaner.
Natürlich habe ich den Selbstversuch nicht selbst gemacht, sondern ein Mitarbeiter 🙂
Hallo kielerjung_74
der Weg in die Bearbeitung der Registry geht über “Start /Ausführen” regedit.exe
dort dann unter HeyKey_Local_Machine/Software/microsoft/windows NT/Current Version/WinLogon/ den Schlüssel “Userinint” suchen
der richtige Wert ist C:\Windows\system32\userinit.exe, (sofern das Windows auf C: installiert ist)
die BHO Objekte findet man in den Einstellungen des Internet-Explorers.
A B E R V O R S I C H T ! ! ! ! ! !
wenn man von der Bearbeitung der Registry keine tiefer gehende Kenntnisse hat, sollte man davon besser die Finger lassen, da man dort unbeabsichtigt das ganze Windows System lahm legen kann.
Besser wäre der Einsatz eines anderen Virenscanner, eines kommerziellen, also z.B. Kaspersky, Norton, McAfee, Sophos oder so was …
hallo pc doktor!
ich habe mir leider dieses ding eingefangen. mein virenscanner avira ( up to date ) hat mich aber leider nicht davor gewarnt.
ich habe nicht wirklich die ahnung von pc´s & daher kann verstehe ich auch nicht die beschreibung:
“Wenn der Virenscanner das nicht mitbekommen hat, ist Handarbeit angesagt: hier mal die technischen Infos um das Ding wieder los zu werden:
– in der Registry trägt er unter HKLM einen fehlerhaften Schlüssel ein C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\System32\ntos.exe,
– außerdem noch einen Webassistent (BrowserHelperObjekt) {85589B5D-D53D-4237-A677-46B82EA275F3} – C:\WINDOWS\WebAssist.dll
– die boshafte Datei befindet nach dem Ausführen unter C:\windows\System32\wsnpoem”
wie komme ich denn in meine registry rein und was muss ich dann schritt für schritt machen. ich habe schon in den ordnern geschaut, aber da kann ich solche einträge von dem virus nicht finden.
für eine schnelle antwort wäre ich sehr dankbar. oder sollte ich evtl. einen anderen virenscanner nehmen?
gruß kielerjung_74
Ich hatte sie gestern morgen im Posteingang. Das erste was ich gemacht habe, den Namen gegoogelt und bin auch fündig geworden das dies ein Trojaner ist. Also bevor man sowas öffnet, versuchen ob man über Goggle oder sonstige Browser was findet.
mit ios passiert hier nichts, sch… Exe files, und dann noch gepackt um scanner zu ueberlisten,.
Stellt eure scanner in den einstellungen auf jedenfall auf archive durchsuchen und haltet ihn up to date.
Schoen das eure Site gleich darueber informiert hat, gute Arbeit!
Hab diesen Dreck heute auch im Briefkasten gehabt, jedoch hab ich die mail mit dem pad gelesen, die werden immer dreister, wird zeit das man dehnen den server sprengt.
ja die Lösung steht weiter unten in den Kommentaren,
könnte es sein, das der Virenscanner das Öffnen der Datei verhindert hat ? Prüfe mal die Berichte vom Virenscanner
Und nun?
Supertoll: Ich hattte schon geöffnet und jetzt??
Da ich bei einem Reiseunternehmen mit ähnlichem Namen gebucht habe und mich über die schon bezahlte Rechnung wunderte, versuchte ich den Anhang zu öffnen, was aber nich gelang.
Sofern die Meldung sofort gekommen ist, scheint nichts passiert zu sein, den eigentlich sollte das Rechnung_<>.exe nach dem entpacken im Autostart liegen.
Am Besten mal mit msconfig die Startdateien prüfen, und zwar VOR DEM NÄCHSTEN NEUSTART ! ! ! !
Hallo,
die werden wirklich immer dreister! Sowas wandert bei mir sofort und ungesehen in den Mülleimer! Aber mein “Kaspersky” hat mir sofort den Trojaner gemeldet. Jedoch sollte der Kaspersky auch aktuell sein damit er dies erkennt. Was mich immer verwundert wo die “Spamer” immer die ganzen Mail Adressen her bekommen :-(, absolut Nervig!
Meine Empfangene Mail vom 29.08.2012 um 10 Uhr
Absender / Von: mahnstelle@Schmidt-Online.de
Betreff inkl Kaspersky Meldung: Message has been disinfected : Rechnung 28.08.2012 – Schmidt-Online GmbH
Inhalt: “Sehr geehrter Kunde,
in unserer Email vom 28.07.2012 wurden Sie bereits abgemahnt, weil die offene Forderung von 775,21 Euro von Ihnen noch nicht bezahlt wurde.
Wir bitten Sie so schnell wie möglich, Ihrer offene Forderung zu begleichen.
Wir sehen uns gezwungen Ihnen die Kosten von 19,00 Euro dazu zu der noch offenen Forderung als Mahnung in Rechnung stellen.
Wir bitten Sie, den fälligen Betrag bis zum 1009.2012 auf das angegebene Konto zu übersenden.
Rechnung und bestellte Produkte sind in dem angefügten Ordner.
Mit verpflichtenden Grüßen
Schmidt-Online GmbH Arnstein
(Mo-Fr 9.00 bis 18.00 Uhr, Sa 9.00 bis 16.00 Uhr)
Geschäftsführer: Jonas Fuchs
Steuer-Nr.: DE149831047”
Anhang: “Rechnung_28.08.2012.zip” mit einer Größe von 172 Byte
Ich habe es mir (wie immer) erspart die Zipdatei zu öffnen, geschweige denn diese zu entpacken 🙂
Aber ich kann mir gut vorstellen das es genug Anwender gibt die solch einen Anhang Ahnungslos öffnen (wegen schlechtem Gewissen oder “ojeh hab ich vergessen eine Rechnung zu begleichen…”).
Wenn ich mir weiter vorstelle das solche Spamer event. 100.000 Mails versenden und nur 1% der Empfänger öffnet solch einen Anhang, dann sind schon wieder 1.000 PCs infiziert!
An alle User: Installiert euch einen gescheiten Vierenscanner und haltet diesen stets aktuell! Öffnet keine Mails von unbekannten Absendern, wenn Ihr trotzdem Neugierig seit öffnet auf gar KEINEN Fall irgendwelche Mailanhänge oder klickt NICHT auf Links in den Nachrichten!
Solltet Ihr wirklich vergessen haben eine Rechnung beglichen zu haben, wird euch ein “Seriöser Mahner” die Mahnung auf dem guten alten Postweg zustellen…
Hallo,mein Computer hat geschrieben das er die zip Datei nicht öffnen kann hab ich jetzt Glück gehabt und den Trojaner nicht eingefangen.Bekomme ich ihn nur wenn ich die Rechnung öffne?
Naja, eigentlich sollte ein guter Virenschutz diesen Trojaner schon beim Lesen/Herunterladen der Mail entdecken, aber spätestens wenn man die Rechnung_<>.ZIP Datei öffnet.
Wenn der Virenscanner das nicht mitbekommen hat, ist Handarbeit angesagt: hier mal die technischen Infos um das Ding wieder los zu werden:
– in der Registry trägt er unter HKLM einen fehlerhaften Schlüssel ein C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\System32\ntos.exe,
– außerdem noch einen Webassistent (BrowserHelperObjekt) {85589B5D-D53D-4237-A677-46B82EA275F3} – C:\WINDOWS\WebAssist.dll
– die boshafte Datei befindet nach dem Ausführen unter C:\windows\System32\wsnpoem
Die System.ini und die Registry sollte aber nur bearbeitet werden, wenn man sich mit der Materie auskennt, da man hier ne ganze Menge kaputt machen kann
danke für die warnung =) ohne diese hätten meine eltern nun den trojaner drauf.
fällt ein wenig auf das es eine .exe datei ist =)
Hallo,
und wenn man so dumm war draufzuklicken? Läßt sich das auch wieder entfernen?
Grüße
Sven