|
Diskussionsforum: Neue Verschlüsselungs-Trojaner Variante im UmlaufWindows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
18.05.2012, 23:35 | #61 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf ScareUncrypt findest hier im forum zum downloaden. hat mir ein bisschen zumindest geholfen. konnte mp3 schlüssel generieren aber als ich dann den ordner klkickte und unterverzeichniss und kopie häckchen drinnen war passierte bei mir nix. aber vielleicht hast du glück lieben gruss karin |
18.05.2012, 23:46 | #62 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Hallo,
__________________mich hat es heute auch betroffen. Bekannte Email - mit Sperrung des PCs. Die lies sich relativ leicht wieder beheben. Aber alle Dateien sind verschlüsselt. AVIRA hat den TR/Injector.MI.2 identifiziert. Die Dateien sind verschlüsselt und mit den 6 bekannten Tools nicht wieder herstellbar. Beispiel: Win7 Beispielbild Wüste = JQaXfdAqslJQonVUg Bin für jeden Hinweis dankbar, da alle unsere Fotos und Dokumente betroffen sind. Gruß skumelum |
19.05.2012, 02:35 | #63 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Hallo ich hab den Virus auch, bei mir ist auch einiges beschädigt.
__________________Aber ich kann keine Verschlüsselung erkennen, alle Daten sehen normal aus. Videos, Fotos usw. sie funktionieren auch noch. Jetzt könnte man denken ich hätte Glück gehabt, aber mich hat es leider doch sehr hart getroffen... ich bin Filmemacher und habe ein Schnittprogramm welches auf 12 Terabyte Daten zurückgreift und es wurden die Verweise auf die Filmdaten in einem sogenannten (Domain Header) umgeschrieben oder beschädigt. Ich habe keinen Zugriff mehr auf die Daten. Da ich grad an einem Diplomfilm arbeite ist die Arbeit von 6 Monaten unwiederbringlich weg bzw. nicht aufrufbar. Es sind teils unwiederbringliche Aufnahmen dabei. Weiß jemand von euch was es mit dem Domain Header auf sich hat und woran ich erkennen kann was mit den Daten passiert ist ? Ich habe schon öfter Probleme mit Viren gehabt aber das ist jetzt das Schlimmste was mir je passiert ist. Ich bin ziemlich ratlos :-( |
19.05.2012, 03:22 | #64 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Hallo nochmal, habe nun den ersten Punkt wie beschrieben durchgeführt, mit der Anti-Malware. Das ist nun dabei rausgekommen. Ich hab keine Ahnung, was das bedeutet. Jedenfalls wurden viele bösartigen Dateien gelöscht. Ich soll das Ergebnis mitteilen, ist das richtig? Morgen probiere ich das Entschlüsseln der Word-Dateien. Mal schauen. LG Regina Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.05.18.08 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Regina Gottschlich :: MEINLAPTOP [Administrator] 19.05.2012 00:15:07 mbam-log-2012-05-19 (00-15-07).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 272264 Laufzeit: 2 Stunde(n), 45 Minute(n), 6 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 9 HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB} (PUP.MyWebSearch) -> Keine Aktion durchgeführt. HKCR\TypeLib\{1D4DB7D0-6EC9-47a3-BD87-1E41684E07BB} (PUP.MyWebSearch) -> Keine Aktion durchgeführt. HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB} (PUP.MyWebSearch) -> Keine Aktion durchgeführt. HKCR\FunWebProductsInstaller.Start.1 (PUP.MyWebSearch) -> Keine Aktion durchgeführt. HKCR\FunWebProductsInstaller.Start (PUP.MyWebSearch) -> Keine Aktion durchgeführt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (PUP.MyWebSearch) -> Keine Aktion durchgeführt. HKLM\SOFTWARE\FunWebProducts (PUP.MyWebSearch) -> Keine Aktion durchgeführt. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 2 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 5 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Bösartig: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\6CB683FE8CEADD423506.exe,) Gut: (userinit.exe) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. Infizierte Verzeichnisse: 4 C:\Programme\FunWebProducts (PUP.MyWebSearch) -> Keine Aktion durchgeführt. C:\Programme\FunWebProducts\Installr (PUP.MyWebSearch) -> Keine Aktion durchgeführt. C:\Programme\FunWebProducts\Installr\1.bin (PUP.MyWebSearch) -> Keine Aktion durchgeführt. C:\Programme\FunWebProducts\Installr\2.bin (PUP.MyWebSearch) -> Keine Aktion durchgeführt. Infizierte Dateien: 9 C:\Dokumente und Einstellungen\Regina Gottschlich\Eigene Dateien\Downloads\SoftonicDownloader_fuer_malwarebytes-anti-malware (1).exe (PUP.ToolbarDownloader) -> Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Regina Gottschlich\Eigene Dateien\Downloads\SoftonicDownloader_fuer_malwarebytes-anti-malware.exe (PUP.ToolbarDownloader) -> Keine Aktion durchgeführt. C:\Programme\FunWebProducts\Installr\1.bin\NPFUNWEB.DLL (PUP.FunWebProducts) -> Keine Aktion durchgeführt. C:\Programme\FunWebProducts\Installr\2.bin\NPFUNWEB.DLL (PUP.FunWebProducts) -> Keine Aktion durchgeführt. C:\System Volume Information\_restore{79CF2C47-7C1F-4F55-919E-F88A822ADA89}\RP50\A0012942.DLL (PUP.FunWebProducts) -> Keine Aktion durchgeführt. C:\System Volume Information\_restore{79CF2C47-7C1F-4F55-919E-F88A822ADA89}\RP50\A0012943.DLL (PUP.FunWebProducts) -> Keine Aktion durchgeführt. C:\System Volume Information\_restore{79CF2C47-7C1F-4F55-919E-F88A822ADA89}\RP50\A0012944.DLL (PUP.FunWebProducts) -> Keine Aktion durchgeführt. C:\System Volume Information\_restore{79CF2C47-7C1F-4F55-919E-F88A822ADA89}\RP50\A0012945.DLL (PUP.FunWebProducts) -> Keine Aktion durchgeführt. C:\Programme\Freecorder\tbFre1.dll (Adware.Shopper) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) |
19.05.2012, 08:40 | #65 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf guten morgen, habe mir auch diesen virus eingefangen hier mal eine anmerkung: ein fotoordner deckblatt= 000000.jpg - jetzt AdfoLjOdTTuqNVoLjOd umbenannt in 000000.jpg - kann nicht geöffnet werden, defekte datei in diesem ordner befinden sich die dateien al-000.jpg - al-119.jpg die verschlüsselungen sind sowas von "konfus", nichts weisst auf eine gemeinsamkeit hin gestern hat der it-fachmann von der telekom "malwarebites" installiert und durchlaufen lassen = ok. eben habe ich es nochmal getan = 4 inf. dateien. ein wort noch an die vollpfosten, die diesen trojaner versandt haben: ich bin eine alte frau und habe alle erinnerungsfotos verloren, könnt ihr mit eurem wissen nichts nutzvolles tun? |
19.05.2012, 09:28 | #66 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf @Goldy Hallo , ich hatte das gleiche Problem meine Bilder waren auch mit diesem "komischen Buchstabensalat" versehen. Ich habe daraufhin einfach mal ".jpg" hinten angehängt. Die Bilder waren dadurch wieder lesbar. Dann habe ich sie mit einem Programm mit dem man komplette Ordnerinhalte nach bestimmten Kriterien umbennen kann umbenannt z.B.: vorher: AgfdshccgvzZh jetzt April20111, April20112, April20113 usw. Bilder sind soweit alle wieder brauchbar und den Rechner werde ich neu aufsetzen. Vielleicht hilft´s Dir ja auch. Gruß polodriver |
19.05.2012, 09:39 | #67 |
/// Malware-holic | Neue Verschlüsselungs-Trojaner Variante im Umlauf @all keine logs in diesem thread posten, der ist für eine diskusion gedacht, logs ins passende unterforum wenn ihr probleme habt, nicht schreiben, geht nicht, kann nicht etc. sondern vernünftige sätze mit denen man arbeiten kann. wenn eure dateien verschlüsselt sind, schreibt uns, nach welchem chema. infizierte mails an uns weiterleiten: an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert. wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ: .eml einstellen. dann bitte lesen: makrusg - trojaner-board.de und mir die soeben erstellte datei zukommen lassen. wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders. bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen. sie können dann dorthin solche verdächtigen mails senden. diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
19.05.2012, 10:00 | #68 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Habe den Virus auch gehabt, hab es aber hinbekommen ihn (hoffentlich ganz) zu entfernen. Einfach TaskManager öffnen ( [Strg] + [Umschalt] + [Esc] ), da ist der Prozess dwm.exe doppelt. Den beenden und den explorer.exe auch. Danach auf Anwendung -> Neuer Task... -> "explorer" eingeben und man hat wieder zugriff auf den PC . Habe den Virus dann mit CCleaner ausfindig gemacht, da er im Autostart war. |
19.05.2012, 10:34 | #69 |
/// Malware-holic | Neue Verschlüsselungs-Trojaner Variante im Umlauf naja, hoffendlich ist nicht grad was, worauf man sich verlassen sollte. lass deinen pc bitte hier untersuchen, eröffne also ein thema im passenden unterforum
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
19.05.2012, 10:41 | #70 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Benutzt zum wiederherstellen der Fotos doch einfach die Vorgängerversion Option von Windows, wie ich auf Seite 3 schon beschrieben habe Für andere Windows-Versionen: http://www.trojaner-board.de/115496-...erstellen.html . |
19.05.2012, 10:42 | #71 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf hi flicke also die datei hatte ich auch doppelt und habe mit CCleaner gelöscht. mal schauen ob es nun past. zugriff habe ich eh nur die musik und bilddatein sind noch in ner unbrauchbaren zahglen buchstaben kombination aber super und für den tolle tip. habe nun bei den zgihuguigzh datein mp3 dran gehängt nun ist es wieder eine mp3 das proiblem nur sie heisst trotzdem noch so und man kann 2500 lieder durch rätseln und umbennen wer was wie wo singt ABER man kann die komischen datein trotzdem mitm windows mediaplayer öffnen einfach auf weiter klicken trotz fehlermeldung dann zeigt er das lied und den künstler an. gut das ich alles auf der externen egspeichert habe und nur die letzten 3 monate musik auf dem rechner sind ps habe housecall, antivir, malware usw drüber laufen lassen er findet anscheinend nichts mehr. wie soll ich ihn hier anschauen bzw durchsuchen lassen ? die komische dvm datei ist auch im gesunden rechter in prozesse zu finden ?! verstehe nun garnichts mehr. habe beim kranken laptop den prozess beendet und cccleaner benutzt aber nach neustart war sie wieder da. aber wie egsagt ist sie auch auf dem gesunden pc |
19.05.2012, 11:33 | #72 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Hallo, gestern hat es mich leider auch erwischt. Genau wie oben beschrieben stellt sich der Trojaner bei mir dar. Versuche derzeit mit Avira Rescue System den Trojaner zu finden und auszuschalten. Aber wenn danach Dateien beschädigt oder verschlüsselt sind bin ich schon arg getroffen. Ich weiß mir da keinen Rat. Da ich mehr Anwender als Computerfachman bin, hab ich von diesen Dingen keine Ahnung und benötige HILFE. Ich habe keinen Plan wie ich den Trojaner wieder los werde und wie ich die Dateien oder Verzeichnise dann wieder Entschüsseln muss oder kann. Hier die Mail: Peter Ihre Bestellung 53902273620 Von: hlfhye@cox.net Gesendet: Freitag, 18. Mai 2012 18:06 An: Peter <xxxxxx@freenet.de> Anlagen: 1 Rechnung.zip (56.1 KB) Sehr geehrter Peter, unser Logistikzentrum hat Ihr Paket mit der Bestell-Nr 12039975796 zur Lieferung an DHL AG übergeben. Im Anhangsordner befindet sich die Abrechnung und Zustell Adresse als PDF-Datei. Sie dürfen die Abrechnung jederzeit selbständig über den online Shop abrufen. Folgende Informationen werden benötigt: - Email-Adresse und die Bestellnummer und - die Vertrags-Nr. und die Geräte-Id Bestellnummer: 40090463655 Geräte Serien-Nr.: 35951683467 Rechnungshöhe: 532,65 euro Ihre Bestellung ist hiermit abgeschlossen. Mit besten Grüßen Ihr Kundendienst _____________________________________ Poike Technik Aktiengesellschaft mit Sitz in Bremen Vorstand: Andreas Scholz, Helga Peters Aufsichtsratsvorsitzender: Heinz Eder Gesellschaftssitz: Keiserslauter 49292 _________ Habe in dem Ordner Virusverdacht 2 weitere ähnliche Mails gefunden. Ich nutze Freenet und würde die Mails gern an markusg weiter leiten. Nur müsste mir jemand erklären wie ich das machen kann. Für jede Hilfe bin ich sehr dankbar. LG Peter |
19.05.2012, 12:12 | #73 | |
/// Helfer-Team | Neue Verschlüsselungs-Trojaner Variante im UmlaufZitat:
Sie startet den Desktopfenster-Manager (DWM). Er verhilft Windows zu den grafische Effekt wie Livevorschau und glasähnliche Rahmen um Fenster (Aero-Glas). @Pommi, schau mal nach einem Beitrag von markug, er erläutert fast in jedem Posting, wie man ihm den Virus samt Mail zukommen lassen kann. |
19.05.2012, 14:27 | #74 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Hallo Racheengel, ich hätte vielleicht erwähnen sollen das der Prozess dwm.exe vom System ist, und der Trojaner sich als diesen ausgibt und der Prozess dann 2 mal angezeigt wird |
19.05.2012, 14:56 | #75 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Hallo zusammen, ich habe seit gestern einen Rechner vor mir, der sich auch mit diesem Windows Verschlüsselungs-Trojaner verseucht hat. Es scheint sich dabei aber um eine ganz neue oder andere Version zu handeln, als hier beschrieben wurde/wird.... zum einen, hat dieser Trojaner auch alle angeschlossenen USB-HDD´s befallen... zum andern, werden/wurden die Dateien "nicht" Umbenannt....... alle Namen und Endungen...bleiben erhalten... und trotzdem kann keine Datei mehr geöffnet werden...... wenn es nur C:\ gewesen wäre...hätte man ein Image zurückspielen können.... aber auf einer HDD mit 1000GB voller Dokumente und Bilder kommt einem dieser Zwischenfallsehr teuer zu stehen... ich habe mit den von euch hier beschriebenen Tools (Avira, bzw DecryptHelper-0.5)versucht die Dateien wieder herzustellen.... aber wie soll ich das machen, wenn er die Namen der Dateien nicht verändert......bzw. das mit den org. Beispielbilder nicht hinhaut...... vielleicht habt Ihr eine Lösung?! Danke für eure Mühe und Hilfe Didek |