Vielen Dank für das Tool.

Hallo,

ich habe festgestellt, dass der Trojaner NUR Donnerstags (evtl. noch MIttwochs) aktiv ist. Sonst schläft er.

Schöne Grüße,

make_fun

Zitat:

Zitat von make_fun

Hallo,

ich habe festgestellt, dass der Trojaner NUR Donnerstags (evtl. noch MIttwochs) aktiv ist. Sonst schläft er.

Schöne Grüße,

make_fun

moin moin,
wie kommst Du darauf?

fragt sich Volker.

Soeben ist eine neue Masche bei uns eingegangen :

Mails mit Logo-Header von DHL.com, die auf eine nicht erfolgte Zustellung wegen falscher Adresse hinweisen. Um die Sendung doch noch zu erhalten, soll man den Anhang öffnen.

Solche Emails bitte an markusg weiterleiten!

Zitat:

hi,
damit alle diese malware erkennen:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

Zitat:

Zitat von Undertaker

moin moin,
wie kommst Du darauf?

fragt sich Volker.

Dadurch, dass ich es "schmerzlich" feststellen musste.

Ein PC, wo er am 29.04. aktiv war, wurde wohl nicht komplett bereinigt und da ist er genau eine Woche später, am 03.05. wieder aktiv geworden. Zum Glück konnte er da aber nicht so viel verschlüsseln und konnte recht schnell und diesmal auch komplett entfernt werden und wurde dann am 10.05. nicht wieder aktiv. Die ersten Dateien sind beim ersten Auftreten wohl schon am 28.04. aufgetaucht, aber eben nur beim ersten Mal. Die entsprechende Meldung ist NUR am Donnerstag erschienen und das auch erst am Nachmittag, nachdem schon einiges verschlüsselt wurde.

Gruß,

make_fun

@make_fun

Zitat:

ich habe festgestellt, dass der Trojaner NUR Donnerstags (evtl. noch MIttwochs) aktiv ist. Sonst schläft er.

Ja und nein. Befall bei einem PC am 09.05.12 05:09 (Mittwoch) zuzüglich Verschlüsselung der Dateien (05:13). Der Screen mit der Zahlungsbitte kam
erst am Donnerstag. Möglicherweise durch Start des PC. Richtig ist, das bisher
nur am 09.05.12 verschlüsselt wurde (am 10.05.12 nicht, obwohl an).

Leider ist es das Teil mit mehreren oder Kombi-Schlüssel. Sprich ich konnte
bisher nur die Dateien entschlüsseln, aus denen auch der Schlüssel gewonnen
wurde. Andere verschlüsselte Dateien in dem Verzeichnis ließen sich damit
nicht zurückgewinnen.

ciao
Roland