|
Diskussionsforum: Neue Verschlüsselungs-Trojaner Variante im UmlaufWindows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
23.05.2012, 13:42 | #241 |
/// Malware-holic | Neue Verschlüsselungs-Trojaner Variante im Umlauf naja, norton erkennt bisher einen teil der malware, ob alles erkannt wurde kannst du erst wissen wenn du hier nen thema mit logfiles eröffnet hast. @Undertaker alte versionen nützen dir nichts, da deren server offline sind. die lieferschein.exe scheint das einzige zu sein was ransom ware ist. die andern teile klingen eher nach Bebloh hab dir mal n sample gesendet
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
23.05.2012, 14:17 | #242 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf so hab nun auch mal im kaspersky Forum unruhe gestiftet mit dem teil hier (Ujdmasöldfjkasf)
__________________Je mehr leute da dran arbeiten, des to besser, die haben ja auch schon einen decrpter für die -locked variante gemacht. |
23.05.2012, 14:26 | #243 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Ich lade gerade zwei frisch erstellte Videoanleitungen auf YouTube hoch zur Wiederherstellung von Dateien aus den Schattenkopien, eine zu Schattenkopien im Windows-Explorer und eine zum ShadowExplorer. Die Anleitung hier ist ja nur auf englisch: http://www.trojaner-board.de/115496-...erstellen.html
__________________Am sinnvollsten poste ich das dann in obigem Beitrag, oder? |
23.05.2012, 14:35 | #244 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf das mit shadow ist natürlich supa, damit hab ich auch schon einigs gerettet, aber blöderweise geht das bei mir nur mit laufwerk C und ich hab sehr viele Files als Bibliothek verlinkt auf ne große 2. Festplatte (Laufwerk H). Trotzdem nen Video wäre sicher mal super. |
23.05.2012, 14:46 | #245 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Auf meinen Log&Analyse Thread Antwortet leider niemand, daher möchte ich hier nochmal meine Erfahrungen äußern. Bei mir in der Firma setzen wir Citrix Xenapp ein. Auf einem der 4 Xenapp Server (Windows 2008 kein R2) hat sich eben genau der Verschlüsselungstrojaner eingeschläußt wie hier besprochen. Aufgefallen ist es uns natürlich durch den Screen der alles blockierte. Server also neugestartet im abgesicherten Modus (war nicht blockiert) und die hier empfohlenen Scans durchgeführt, die aber alle nicht wirklich was finden konnten. Die Daten schienen nicht verschlüsselt gewesen zu sein, wobei auf den XenApp Servern auch nur die Programme ausgeführt werden. Die UserProfile und Daten liegen auf einem anderem Server. Der Online Virenscanner von ESET konnte letzendlich den Win32/Trustezeb.B 3x auf dem System finden. -0EC911D90613A2D42F73.exe im System32 Ordner -C:\Users\Administrator.domäne\AppData\Local\Temp\16\ewclgycnhm.pre -C:\Users\Administrator.domäne\AppData\Local\Temp\16\ocoeoclnrp.pre Auf hxxp://www.paulsen-it.de/news-details/artikel/trskelfa.html konnte ich dann herausfinden das der Virus Registry und Sicherheitseinstellungen verändert. In meinem Fall ist mir Aufgeallen das die Firewall so konfiguriert war, dass auch Programme die nicht in den Ausnahmen Definiert sind, nach außen kommunizieren dürfen. Es würde mich besonders interessieren ob hier noch mehr Infos bekannt sind, welche Einstellungen und Registry einträge getöätigt wurden. Wie der Virus auf das System kam, kann ich nicht sagen. Ich bin alle Mails durchgegangen und konnte nichts Auffälliges finden. Kann aber natürlich sein das ein Mitarbeiter seine Privaten Mails über eine Weboberfläche aufgerufen hat und dort den Virus eingeschläust hat. Komisch fand ich nur, dass bei uns nichts vershclüsselt wurde und auch der Abgesicherte Modus kein problem war. (Unser GlücK!!!) |
23.05.2012, 15:14 | #246 |
/// Malware-holic | Neue Verschlüsselungs-Trojaner Variante im Umlauf hi, warte bitte dann in deinem thread auf ne antwort, is ja nicht so, als hätten wir nichts zu tun hier :-)
__________________ --> Neue Verschlüsselungs-Trojaner Variante im Umlauf |
23.05.2012, 15:17 | #247 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Sorry Markus, sollte nicht so rüberkommen, dass ich euch das übel nehme das mir noch niemand geantwortet hat. Sehe ja selbst das hier gerade der Bär los ist Wollte hier lediglich meine Erfahrungen teilen, vielleicht hilft es ja bei der weiteren Analyse. |
23.05.2012, 15:22 | #248 |
/// Malware-holic | Neue Verschlüsselungs-Trojaner Variante im Umlauf hi hab das auch nicht so aufgefasst, meinte nur das wir fragen zu pcs nicht hier erörtern sollten, diskusionen sind hier aber natürlich erwünscht
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
23.05.2012, 15:42 | #249 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Markus ... Du hast jetzt 2 *.zi1 Files bekommen. Matsnu und Matsnu.gen!A sagt Microsoft dazu. Krieg die Dateien mit keinem der Programme entschlüsselt Gruß Stefan |
23.05.2012, 15:46 | #250 |
/// Malware-holic | Neue Verschlüsselungs-Trojaner Variante im Umlauf hab ich, danke hattest du shadow explorer versucht?
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
23.05.2012, 15:57 | #251 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Erst gar nicht angefangen damit nachdem ich gesehen habe das die 2 Rechner gefühlte 100 Bilder Ordner haben. Bissel Bestrafung muß ja sein. Kunde soll mal schön auf einen Entcrypter warten und den Spenden Button klicken am Ende Im Nachvollzug festgestellt das die Frau es geschafft hat das Teil 12x !!! aus dem AOL runter zu laden und der Avira hats dann aufgegeben. Gruß Stefan |
23.05.2012, 15:59 | #252 |
/// Malware-holic | Neue Verschlüsselungs-Trojaner Variante im Umlauf ja, du weist ja, wenn frauen was haben wollen ...
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
23.05.2012, 16:16 | #253 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Hallo, ich habe seid heute auch diese Problem. Wie bekomme ich den Trojana wieder weg .habe keinen 2Rechner nur ein iPad . Diese Mail habe ich bekommen. Vielen Dank für Ihre Mitliedschaft, Sie haben soeben bei der Dating-Agentur www.Flirten.at die Premiummitgliedschaft bestellt. Der Betrag in Höhe von 375,49 EUR wird in den nächsten Tagen von Ihrem Konto abgebucht. Der Kontoeinzug erfolgt durch Poryment GmbH. Sie sind jetzt für die nächsten 48 Monate Starklient und dürfen in vollen Umfang die Premiummöglichkeiten nutzen. Entziehen Sie die Rechnungen bitte dem Zusatzordner in der E-Mail, dort finden Sie auch die Vertragsdaten und Stardienstvorteile. Falls Sie die Elitemitgliedschaft nicht mehr möchten, mailen Sie die Kündigung, mit der in dem Zusatzordner in der E-Mail, beigelegten Kündigungserklärung. Das Serviceteam wünscht dir viel Glück! Mit freundlichen Grüßen Manfred Wallner Serviceteam Dortmund 22485 Deutschland Phone: +49-962-83421657 Geschäftsleiter: Gerhard Scholz Inhaltlich Verantwortlicher gemäss § 6 MDStV: Andreas Jung Datenschutzbeauftragter: Hans Schneider UST-Nr.: DE5833188230 Amtsgericht Hannover. |
23.05.2012, 16:24 | #254 |
/// Malware-holic | Neue Verschlüsselungs-Trojaner Variante im Umlauf dann mal die mail an mich: an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert. wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ: .eml einstellen. dann bitte lesen: makrusg - trojaner-board.de und mir die soeben erstellte datei zukommen lassen. wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders. bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen. sie können dann dorthin solche verdächtigen mails senden. diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig. wegen der malware entfernung, thema im bereich logfiles eröffnen
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
23.05.2012, 16:58 | #255 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Ich hab leider auch mit der neuen Version des Verschlüsselungstrojaners zu kämpfen und hatte gerade schon hier ScareUncrypt - Tool für verschlüsselte Dateien gepostet. Für Neuigkeiten bin ich dankbar und ich drücke Euch ganz fest die Daumen. Vielleicht hilft Euch die Info, dass die verschlüsselten Dateien auf dem Mac als ausführbare Unixdatei angezeigt werden?! |