@markusg & alle die an dem Trojaner arbeiten:

Habt Ihr VM-Sicherungsstände, bei denen der Trojaner gerade noch am verschlüsseln ist? Da die C&C-Server seit gestern nicht mehr zu erreichen sind, sind solche Zwischenstände jetzt wohl recht wichtig. Oder hat jmd eine neue Variante, die andere URLs nutzt?

Hallo Leute, ich sitze grade das 2. mal an einem Windows XP SP3 PC mit ähnlichen Problem.

User meldet sich an und prompt kam weißes Bild mit Zahlungsaufforderungen.

Beim ersten PC wurde schon angefangen eine Menge auf C: zu verschlüsseln, beim 2. PC(WLAN) ist noch nichts passiert und nerviges Programm einen dran hindert irgendwas zu tun konnte ich auch beseitigen.

Aufmerksam wurde der Besitzer des PCs dass er statt seinem normalen Desktop nur noch ein Windows Explorer Fenster beim anmelden bekam.

in der Registry war unter "Windows NT\Winlogon\Shell" - "explorer_new.exe" zu finden, was ich rasch ändern konnte im agesicherten Modus.

TLDR: warum ich eigentlich schreibe; Ich habe unter "Dokumente und Einstellungen\All Users\Anwendungsdaten" den übeltäter ausfindig machen können und alles was mMn dazugehörte in den Anhang gepackt in der Hoffnung es hilft weiter.

lg
Norbert

@admins

WICHTIG!!!

Bitte den Anhang von norbt entfernen, da ist ein Trojaner drin!!!
Der wurde von meinem Kaspersky NICHT entdeckt!


@norbert

Keine Anhänge ohne Kennwort!

Zitat:

Zitat von norbt

[..]
TLDR: warum ich eigentlich schreibe; Ich habe unter "Dokumente und Einstellungen\All Users\Anwendungsdaten" den übeltäter ausfindig machen können und alles was mMn dazugehörte in den Anhang gepackt in der Hoffnung es hilft weiter.

lg
Norbert