Hallo an Alle

leider hat mich der neue Trojaner auch erwischt. Welche Version ich mir eingefangen haben kenne ich nicht. Das Booten in allen 3 Varianten im Abgesichertem Modus geht nicht.

Die Mail habe ich noch auf dem iPod und könnte sie jemandem hier zukommen lassen, bei Bedarf

mit freundlichen Grüßen

Gabriel

Hi leute bin wieder da und habe mal mit den machern von escan gesprochen die nehmen sich der sache mal an und versuchen eine lösung zu finden

Ich kann eine vm mit teamviewer stellen die verseucht ist und zum test misbraucht werden kann
ich habe leider wenig zeit
wenn intresse besteht kurz melden

gruss tommy

@markusg & alle die an dem Trojaner arbeiten:

Habt Ihr VM-Sicherungsstände, bei denen der Trojaner gerade noch am verschlüsseln ist? Da die C&C-Server seit gestern nicht mehr zu erreichen sind, sind solche Zwischenstände jetzt wohl recht wichtig. Oder hat jmd eine neue Variante, die andere URLs nutzt?

Hallo Leute, ich sitze grade das 2. mal an einem Windows XP SP3 PC mit ähnlichen Problem.

User meldet sich an und prompt kam weißes Bild mit Zahlungsaufforderungen.

Beim ersten PC wurde schon angefangen eine Menge auf C: zu verschlüsseln, beim 2. PC(WLAN) ist noch nichts passiert und nerviges Programm einen dran hindert irgendwas zu tun konnte ich auch beseitigen.

Aufmerksam wurde der Besitzer des PCs dass er statt seinem normalen Desktop nur noch ein Windows Explorer Fenster beim anmelden bekam.

in der Registry war unter "Windows NT\Winlogon\Shell" - "explorer_new.exe" zu finden, was ich rasch ändern konnte im agesicherten Modus.

TLDR: warum ich eigentlich schreibe; Ich habe unter "Dokumente und Einstellungen\All Users\Anwendungsdaten" den übeltäter ausfindig machen können und alles was mMn dazugehörte in den Anhang gepackt in der Hoffnung es hilft weiter.

lg
Norbert

@admins

WICHTIG!!!

Bitte den Anhang von norbt entfernen, da ist ein Trojaner drin!!!
Der wurde von meinem Kaspersky NICHT entdeckt!


@norbert

Keine Anhänge ohne Kennwort!

Zitat:

Zitat von norbt

[..]
TLDR: warum ich eigentlich schreibe; Ich habe unter "Dokumente und Einstellungen\All Users\Anwendungsdaten" den übeltäter ausfindig machen können und alles was mMn dazugehörte in den Anhang gepackt in der Hoffnung es hilft weiter.

lg
Norbert