Ich hab 6 oder 7 Stück davon im Spamverdachtsordner auf GMX, geöffnet hab ich die Anhänge natürlich nicht, sollte also nichts passiert sein. Allerdings wüßte ich jetzt nicht, wie ich euch die Dinger zukommen lassen kann, sofern noch Bedarf besteht. Können plötzlich auftretende fehlgeschlagene Login-Versuche auf GMX etwas damit zu tun haben? Ich kann nämlich ausschließen, dass ich das war.

So nach dem ich fast 2 Wochen diesen Threat beobachtete, und ich dann gestern selbst eine Mail mit mit einem Link bekommen hatte, dachte ich mir, öffest Du mal den Link, und schaust was passiert.
Also der Firefox öffnete sich und zeigte eine Seite mit dem Hinweis, das nun Windows Security Client oder so ähnlich den Rechner nach Malware Scannen würde. Ca. nach einer Sekunde war der Spuk dann vorbei und Avast blockierte den Angriff.
Ich wette das ist die 2. Stufe des Rollup Tests um den Fiesling via Drive by zu verbreiten. Ich veröffentliche nun mal den Link dorthin.
Also bitte das Ding nur öffen wenn Ihr wisst was Ihr tut!!!
hxxp://rescuetrojansservant.in/9555d1a2792be496/11/
Wessen Rechner nicht meinen Schutzlevel hat, liest bestimmt die Scanmeldung während der Trojaner im Hintergrund Daten verschlüsselt.
Marckusg schau es dir an!

Hallo allerseits!
Mich hat es vor ein paar Stunden auch erwischt. Habe exakt das Bild was auf der ersten Seite des Threads zu sehen ist (das ich was bezahlen soll). die Mail kam angeblich von einer mir bekannten Seite, deshalb hab ich nicht gleich Verdacht geschöpft (war in der Adresse nur ein Letter anders). Ich habe mich nur gewundert, daß ich 6,5GB RAM-auslastung hatte und das System ausgeschalten, doch beim Neustart kam dann besagtes Startbild. Jetzt habe ich das Problem, daß schon einige Ordner den Zugriff verweigern auf C (u.a. Programme, mein User-Ordner). Leider komme ich mit dem Decrypthelper nicht weiter, da ich die Ordner ja nicht öffnen kann zum schlüssel erzeugen.
Da ich 2 Userkonten angelegt habe, komme ich noch in den Rechner rein, abgesicherter Modus geht auch noch.
Ich hatte mein System wegen CPU- und Boardwechsel erst vor 14Tagen neu aufgesetzt und eigentlich nicht schon wieder Lust, alles neu zu machen.
Werde gerne nach dem Schlafen mehr dazu posten - würde mich dann über Lösungsvorschläge sehr freuen.
Erst einmal gute Nacht, auch im Urlaub muss man mal schlafen.

Zitat:

Zitat von blueeyes77

Hallo an Alle

Bin so ziemlich neu hier und habe seid heute auch diesen Verschlüsselungstrojaner (über eine Mail von flirt fever) auf meinem Netbook.

Um mein Netbook wenigstens erstmal wieder zum laufen zu bekommen, habe ich im abgesicherten Modus eine Systemwiederherstellung gemacht.

Als weiteres hab ich mir das Programm Anti-Malware runter geladen und vollständig meinen MiniLappi überprüfen lassen.

Dabei kam dieses hier raus:

Trojaner C:Users\manjas\AppData\Local\Temp\glagpueepu.pre
Trojaner C:User\manjas\AppData\Local\Temp\lsnblhzzhh.pre

So. Nun habe ich zwar diese beiden Trojaner, kann aber damit nichts anfangen.
Sollen diese gelöscht werden oder in Quarantäne?

Als nächsten Schritt habe ich gelesen sollte man sich das Programm Decrypthelper runter laden. Hab ich auch gemacht. Version 0.5.3

Und jetzt kommt glaub ich das eigentliche Problem. Ich weiss absolut nicht, was ich da machen soll. Kann mir das jemand Step by Step hier schreiben?

Mfg
blueeyes

moin moin blueeyes,
Du brauchst individuelle Hilfe.
Hier ist das Diskussionsforum, Dein Hilferuf geht hier schnell in der Vielzahl der Posts unter.

Eröffne ein eigenes Thema, individuell für Dich.
Ganz ober steht Hinweise:
Darunter auch folgender Link: Thema starten
Ein Teammitglied wird sich Deiner annehmen.
Denke aber bitte daran, dass hier Menschen Hilfe leisten, die auch ihrer geregelten Arbeit nachgehen müssen und ihre Freizeit opfern.
Nur für den Fall, dass sich nicht sofort jemend meldet.

Gruß Volker

Zitat:

Zitat von LeeLeeSob

...
Allerdings wüßte ich jetzt nicht, wie ich euch die Dinger zukommen lassen kann, sofern noch Bedarf besteht.
...

moin moin,
oben unter Hinweise steht ein Link Sendet uns die Viren!

Gruß Volker

Hallo Zusammen, bin neu hier und habe auch Probleme mit dem Trojaner. Allerdings weiss ich nicht wie er komplett heisst, um mehr über ihn zu erfahren. Wisst Ihr wie der Trojaner eigentlich komplett heisst? "Neuer Verschlüsselungs-Trojaner Variante" kann doch nicht alles sein.

MFG

hi
@mails im spamordner oder mit link etc.
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du die mail über den browser abrufst, erst mal nur weiterleiten. mail öffnen da gibts dann ne schaltfläche
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

logs gehören ins forum.
der trojaner heißt
matsnu
oder trustezeb

Ich habe mittlerweile auf drei Trojaner Zugriff - allerdings diesmal nicht geöffnet . Ich wollte diese Dinger an virus@trojaner-board.de sende bekomme aber: Permanente Error etc. vom Server zurück.

Ich habe mir doch nochmals meine Dateiordner angeschaut:

Der Trojaner hat mit aller größter Wahrscheinlichkeit zur Originaldatei erst einmal eine verschlüsselte Datei angelegt und dann die Original Datei gelöscht.

Auch hat das Ding unter Eigene Dateien bzw. Dokumente, Bilder, Musik, Video jede Datei angefasst, egal was, auch .exe!

Ich habe nun .exe Dateien und die verschlüsselte Datei dazu.

Im Download Ordner hat das Ding sich auch Microsoft Installationsdateien genommen - auch hier habe ich Paare.

Überhaupt habe ich einige interessante bzw. ungewöhnliche Dateien, als Paar von wenigen Byte bis zu 7000Kb!

Ich konnte auch noch Dateien finden (Word 2003) die er nicht angefasst hat - da war ich wohl nur schneller?

Mittlerweile glaube ich, dass er jede Datei auf der HD, aber erst einmal die Benutzerdateien / Eigene Dateien sich greift - heißt unter Windows 7/64bit sowieso alles anders?
Es sei denn, dass Ding kann die Benutzer Verzeichnis, Download etc. unterscheiden. Dann frage ich mich aber wieso greift es meine Backup HD mit "nicht typischen" Verzeichnissen-Namen an?

Na, ja ist mir alles zu hoch?

Grüessli
Wolfgang

moin moin Wolfgang,

der Bösewicht hat überall dort Zugriff, wo es die Rechte zulassen.
Bei der Installation des Betriebssystems bzw. bei der Personalisierung vorinstallierter Systeme erhält der eingerichtete Benutzer automatisch administrative Rechte.
Auf 99% der PCs bleibt das auch so.
Vielfach, bei mir auch , wird die Benutzerkontensteuerung so modifiziert, dass diese lästigen PopUps mit der Bestätigung des Administrators unterbunden werden.
Wenn Du als Benutzer nun so eine Schadsoftware ausführst, dann kann sie ohne Warnhinweis als Administrator arbeiten.
Der Zugriff scheitert nur dort, wo er exklusiv dem Benutzer SYSTEM vorbehalten ist, da SYSTEM in der Hirarchi über dem Administrator steht.

Der Virus kann also alle Dateien dort manipulieren, wo es der Administrator auch kann.

Natürlich kann man über Hintertürchen bei einem Benutzerwechsel auch als Benutzer SYSTEM agieren, das ist aber eine andere Sache.

Gruß Volker

Zitat:

Zitat von markusg

hi

wenn du die mail über den browser abrufst, erst mal nur weiterleiten.

GMX läßt mich das verseuchte Ding aber nicht weiterleiten und sagt folgendes:

Zitat:

Liebes GMX Mitglied,

in einer von Ihnen verschickten E-Mail wurde ein Virus gefunden.

Datei: "Konto-Einzug.pif"
Virus: "Trojan.FakeAV"

Die E-Mail wurde nicht an den Empfänger weitergeleitet. Verwenden Sie bitte
einen lokalen Virenscanner, um Ihren PC zu überprüfen.

Es folgen Details zu der betroffenen E-Mail:

Von: "xxx" <xxx@gmx.at>
An: virus@trojaner-board.de
Datum: Fri, 01 Jun 2012 15:22:44 +0200
Betreff: Fwd: Zahlungsaufforderung an Johanna 8285867505

Der GMX Profi-Virenschutz bietet weitere sinnvolle Konfigurations-
möglichkeiten sowie eine Statistik, die Sie über geprüfte und
infizierte E-Mails auf dem Laufenden hält. Mehr Infos unter
hxxp://service.gmx.net/de/cgi/g.fcgi/login/wicket?area=VIRUS-CHECK

Ihr GMX Team

Ok Vielen Dank schonmal dann werd ich das mal machen

Liebe Grüße

Hallo Forum,
mich hat es auch erwischt. Gestern hatte ich eine Nachricht in meinem Outlook bezüglich einer Rechnung. Die Einzelheiten zu dem Rechnungsbetrag von etwa 400 EURO sowie dem zu belastenden Konto stünden im angeblich im Dateianhang (zip.Datei). Ich hatte es eilig und habe mich zum öffnen der Datei überrumpeln lassen. Da die Datei aber nicht entpackt werden konnte, habe ich die Mail gelöscht. Soweit war dann auch alles in Ordnung, ich konnte ohne Beeinträchtigung weiterarbeiten.

Heute Morgen habe ich das Laptop wieder eingeschaltet und bekam dieses Verschlüsselungsbild (Willkommen bei Windows Update) und nichts ging mehr. Ich habe mit einem alten Rechner dann nach Lösungen im Netz gesucht und es wurde mir empfohlen, zunächst über die Miccrosoftseite den die neueste Defenderdefinition (10 Tage Version) zu laden. Nach mehrmaligem Systemstart an dem infizierten Rechner habe ich dann als erstes das System zu einem früheren Zeitpunkt wiederhergestellt und dann diesen neuen Virenscan laufen lassen. Ergebnis: 4 Funde. Dann habe ich nach den Dateien geschaut und festgestellt, dass offensichtlich alle Dateien in verschiedene Buchstaben/Zahlen-Kombinationen umbenannt sind. Ich kann die Dateien nicht öffnen, auch wenn ich weiß, mit welchem Programm das eigentlich gehen müsste (in manchen Ordner sind nur .doc, in anderen Bilder, usw.). Ich versuche nun die Schritte wie hier im Forum angegeben, zur Zeit läuft ein Malwarebytes-Scan der auch schon ein infiziertes Objekt gefunden hat.
Im Papierkorb befinden sich Dateien die ich mal gelöscht habe (Verknüpfungen, exe.Dateien die mir bekannt sind und da hingehören und eben auch einige kryptische Dateibezeichnungen). Eine der kryptischen Dateien ist 100 MB groß, dass könnte die Ursprungsdatei sein, weiß ich aber nicht.

Ich bin ziemlich unerfahren in solchen Dingen und freue mich, wenn ich hier schnelle Hilfe bekomme.

Gruß
RasKi

Hallo Leute,
Ich habe auf meinem Laptop genau diesen Trojaner und kann auf nichts mehr zugreifen. Leider kenne ich mich gar nicht aus mit sowas. Bitte helft mir!!! Ich habe ein Acer Notebook mit win7, 32 Bit glaube ich.
Hilfe!!!

@salka,

siehe oben unter Hinweise, beginnend mit Punkt 1.
Dann wird Dir auch geholfen.
Schau auch mal was darunter steht, unter Diskussionsforum:

ich habe nun versucht, einen großen Teil der verschlüsselten Dateien zu kopieren um dann anschließend mit shadowexplorer daran arbeiten zu können. Dabei konnte eine Datei (mit wirrer Buchstabenbezeichnung als Dateiname) nicht mit Dateieigenschaften kopiert werden Meldung:

Eigenschaftsverlust

Die Datei xnjxnlvplvjxnA verfügt über Eigenschaften, die nicht an den neuen Ort kopiert werden können.

Typ: Datei
Größe: 504kb
Änderungsdatum: 15.11.2011

Das Datum liegt definitiv vor dem Befall. Der angegebene Dateiname ist 1:1 abgetippt. Hilft das (vielleicht eine Routine?)?

@RasKi,

Zitat:

Zitat von RasKi

...
Dann habe ich nach den Dateien geschaut und festgestellt, dass offensichtlich alle Dateien in verschiedene Buchstaben/Zahlen-Kombinationen umbenannt sind.
...

Buchstaben/Zahlen-Kombinationen ?

Das ist neu, bisher bestanden die Namen ausschließlich aus alphanumerischen Zeichen, also Groß- und Kleinbuchstaben.

Kommst Du noch irgendwie an die Infektionsquelle, sprich Mail?
Schicke sie an @markusg, folge dem Link von oben Sendet und die Viren!.

Gruß Volker