Hallo fdy.

Zitat:

Zitat von fdy

Hallo leahciM,

ich sitze gerade mit großen Augen vor Deinem Post bezüglich des Anhangs von Norbert, wo findest du in dem Paket einen Virus ?

Ich habe extrahiert:
[..]

damit wir über dass gleiche Paket sprechen.
dort ist keine ausführbare Datei enthalten (exe / pif / scr und Konsorten).

Ein kurzer Überflug hat mir den Anschein vermittelt, dass es sich dabei
um die HTML Seite handelt, die der Virus einblendet, wenn der Rechner
infiziert ist, jedoch nicht um den Schadcode selber oder irgendeine
Infektions / Crypt-Routine.

Ich würde um ein kurzes Feedback von Dir bitten, was du auf der VM
gemacht hast, damit es zu einer vermeindlichen Infektion gekommen ist.

Btw. die ältere Variante wird von Kaspersky garantiert erkannt,
ich konnte heute eine E-Mail mit der bekannten Rechnung.pif von
einem PC extrahieren und Kaspys-Alarmglocken haben sofort geläutet.
Daher gehe ich erstmal davon aus, dass du die main.html
im Browser geöffnet hast oder wir nicht vom gleichen Paket sprechen.

Vielen Dank fdy

Geh bitte in die tro.zip. Dort ist ein Ordner "gkfouvtggpaaedq" und "tro" vorhanden. Im Ordner "tro" ist eine weitere ZIP-Datei "mafzvzmxsdmfqne.zip" vorhanden. Schau da mal rein -> "vhjgorkblydpuyqzgfcf.exe"

Achja, Datei in die VM. Ausgeführt. Passierte nix. Neustart --> siehe Bild. Ich habe keine html gestartet.


Michael

hallo!

noch ein posting von mir zu meinen ersten beitrag mit dem report im anhang, welcher vom virenscanner erstellt wurde

der trojaner hat alle persönlichen dateien (doc, xls, jpg, mp3, usw.) verschlüsselt und unbenannt in unzusammenhängende buchstabenkombinationen, zb: dNnspxujarsjXxUeEeV
ohne besondere endung

bis jetzt konnte ich die dateien mit keinem der veröffentlichten entschlüsselungsprogramme wieder herstellen

lg
dejan

Hallo,,,ich habe mir den auch dummerweise eingefangen.Habe das hier schon einige zeit verfolgt.heute habe ich mich registriert,,,,,Konnte aber endlich heute wenigstens die fotos und dokumente auf C: wiederherstellen.Viele Fotos von meiner ,vor 2 Jahren verstorbenen Mama.....Mit dem Programm Shadow explorer....Diesen Trojaner habe ich ( hoffentlich) mit kaspersky entfernt.Eigentlich seit ihr hier die einzigen die sich mit diesem Thema befasst und versucht den Leuten zu helfen.Hochachtung von mir.Macht weiter so.Echt cool....

Hier noch eine Erscheinungsform der neuen Trojaner-Variante:
Ergebnis: Verschlüsselte Dateien und die allseits bekannten verwurschtelten Dateinamen ohne "Locked"-Bezeichnung.
Beispiel/Vergleichsdateien der Verschlüsseldung siehe Thread "Dateien, die kein Locked im Namen haben" in der Rubrik "Plagegeister..." von madddy


Absender: mrloc

Als Betreff: Deine Dating-Agentur-Rechnung Nummer 138713487

Als Anhang: Eine Datei mit Namen "Abmelden.zip"

Besten Dank für Ihre Zahlung,

Sie haben gerade bei der Dating-Agentur Partnervermittlung für die Partnersuche mit Niveau: ElitePartner.ch die
Starmitgliedschaft bestellt. Die Summe in Höhe von 397,69 EUR wird in den
kommenden Tagen von Ihrem Konto abgetragen. Die Abrechnung erfolgt durch
Mepyment Ltd.


Sie sind jetzt für die kommenden 6 Monate Elitemember und können in voller
Grösse die Premiumleistungen nutzen.
Entnehmen Sie die Zahlungsaufforderung bitte dem Zusatzordner in der E-Mail,
dort finden Sie auch die Rechnungsdaten und Elitedienstvorteile. Falls Sie die
Starmitgliedschaft nicht mehr wollen, mailen Sie die Kündigung, mit der in der
beigefügter Datei, beigelegten Kündigungserklärung.

Wir wünschen dir viel Glück!

Mit freundlichen Grüßen Monika Haas
Kundendienst


Augsburg 68768 Deutschland
TEL: +49-119-93348212

Geschäftsleiter: Michael Maier
Inhaltlich Verantwortlicher gemäss § 6 MDStV: Wolfgang Peters
Datenschutzbeauftragter: Dieter Leitner
UST-Nr.: DE7732466231
Amtsgericht Stuttgart

Hallo,

Mich hat der Virus PWS:Win32/Zbot.gen!Y auch befallen. Es geht garnichts mehr. Der PC fährt hoch aber sonst nichts. Ich habe den PC Aauch schon einige male im Abgeschotteten Moudus gestartet. Ich habe den PC Auch vom Netz genommen. Denn wenn ich ihn wieder anschließe geht ein Fenster auf vom Bundesamt und der Guva
Ich soll illegale Daten auf meinem Rechner haben....
Wie bekomme ich meinen PC wieder ans laufen???

Zitat:

Zitat von Betty371

Hallo,

Mich hat der Virus PWS:Win32/Zbot.gen!Y auch befallen. Es geht garnichts mehr. Der PC fährt hoch aber sonst nichts. Ich habe den PC Aauch schon einige male im Abgeschotteten Moudus gestartet. Ich habe den PC Auch vom Netz genommen. Denn wenn ich ihn wieder anschließe geht ein Fenster auf vom Bundesamt und der Guva
Ich soll illegale Daten auf meinem Rechner haben....
Wie bekomme ich meinen PC wieder ans laufen???

moin moin Betty371,
Du brauchst individuelle Hilfe.
Hier ist das Diskussionsforum, Dein Hilferuf geht hier schnell in der Vielzahl der Posts unter.

Eröffne ein eigenes Thema, individuell für Dich.
Ganz ober steht Hinweise:
Darunter auch folgender Link: Thema starten
Ein Teammitglied wird sich Deiner annehmen.
Denke aber bitte daran, dass hier Menschen Hilfe leisten, die auch ihrer geregelten Arbeit nachgehen müssen und ihre Freizeit opfern.
Nur für den Fall, dass sich nicht sofort jemend meldet.

Gruß Volker

erst mal an alle die zusenden wollen
wenn sie direkt über den browser das erleigen, mail öffnen, weiterleiten. ansonsten:
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.

bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

Hallo an Alle

Bin so ziemlich neu hier und habe seid heute auch diesen Verschlüsselungstrojaner (über eine Mail von flirt fever) auf meinem Netbook.

Um mein Netbook wenigstens erstmal wieder zum laufen zu bekommen, habe ich im abgesicherten Modus eine Systemwiederherstellung gemacht.

Als weiteres hab ich mir das Programm Anti-Malware runter geladen und vollständig meinen MiniLappi überprüfen lassen.

Dabei kam dieses hier raus:

Trojaner C:Users\manjas\AppData\Local\Temp\glagpueepu.pre
Trojaner C:User\manjas\AppData\Local\Temp\lsnblhzzhh.pre

So. Nun habe ich zwar diese beiden Trojaner, kann aber damit nichts anfangen.
Sollen diese gelöscht werden oder in Quarantäne?

Als nächsten Schritt habe ich gelesen sollte man sich das Programm Decrypthelper runter laden. Hab ich auch gemacht. Version 0.5.3

Und jetzt kommt glaub ich das eigentliche Problem. Ich weiss absolut nicht, was ich da machen soll. Kann mir das jemand Step by Step hier schreiben?

Mfg
blueeyes

Zitat:

Zitat von blueeyes77

Hallo an Alle

Bin so ziemlich neu hier und habe seid heute auch diesen Verschlüsselungstrojaner (über eine Mail von flirt fever) auf meinem Netbook.

Um mein Netbook wenigstens erstmal wieder zum laufen zu bekommen, habe ich im abgesicherten Modus eine Systemwiederherstellung gemacht.

Als weiteres hab ich mir das Programm Anti-Malware runter geladen und vollständig meinen MiniLappi überprüfen lassen.

Dabei kam dieses hier raus:

Trojaner C:Users\manjas\AppData\Local\Temp\glagpueepu.pre
Trojaner C:User\manjas\AppData\Local\Temp\lsnblhzzhh.pre

So. Nun habe ich zwar diese beiden Trojaner, kann aber damit nichts anfangen.
Sollen diese gelöscht werden oder in Quarantäne?

Als nächsten Schritt habe ich gelesen sollte man sich das Programm Decrypthelper runter laden. Hab ich auch gemacht. Version 0.5.3

Und jetzt kommt glaub ich das eigentliche Problem. Ich weiss absolut nicht, was ich da machen soll. Kann mir das jemand Step by Step hier schreiben?

Mfg
blueeyes

moin moin blueeyes,
Du brauchst individuelle Hilfe.
Hier ist das Diskussionsforum, Dein Hilferuf geht hier schnell in der Vielzahl der Posts unter.

Eröffne ein eigenes Thema, individuell für Dich.
Ganz ober steht Hinweise:
Darunter auch folgender Link: Thema starten
Ein Teammitglied wird sich Deiner annehmen.
Denke aber bitte daran, dass hier Menschen Hilfe leisten, die auch ihrer geregelten Arbeit nachgehen müssen und ihre Freizeit opfern.
Nur für den Fall, dass sich nicht sofort jemend meldet.

Gruß Volker

Zitat:

Zitat von LeeLeeSob

...
Allerdings wüßte ich jetzt nicht, wie ich euch die Dinger zukommen lassen kann, sofern noch Bedarf besteht.
...

moin moin,
oben unter Hinweise steht ein Link Sendet uns die Viren!

Gruß Volker

Hallo Zusammen, bin neu hier und habe auch Probleme mit dem Trojaner. Allerdings weiss ich nicht wie er komplett heisst, um mehr über ihn zu erfahren. Wisst Ihr wie der Trojaner eigentlich komplett heisst? "Neuer Verschlüsselungs-Trojaner Variante" kann doch nicht alles sein.

MFG

So nach dem ich fast 2 Wochen diesen Threat beobachtete, und ich dann gestern selbst eine Mail mit mit einem Link bekommen hatte, dachte ich mir, öffest Du mal den Link, und schaust was passiert.
Also der Firefox öffnete sich und zeigte eine Seite mit dem Hinweis, das nun Windows Security Client oder so ähnlich den Rechner nach Malware Scannen würde. Ca. nach einer Sekunde war der Spuk dann vorbei und Avast blockierte den Angriff.
Ich wette das ist die 2. Stufe des Rollup Tests um den Fiesling via Drive by zu verbreiten. Ich veröffentliche nun mal den Link dorthin.
Also bitte das Ding nur öffen wenn Ihr wisst was Ihr tut!!!
hxxp://rescuetrojansservant.in/9555d1a2792be496/11/
Wessen Rechner nicht meinen Schutzlevel hat, liest bestimmt die Scanmeldung während der Trojaner im Hintergrund Daten verschlüsselt.
Marckusg schau es dir an!

Hallo allerseits!
Mich hat es vor ein paar Stunden auch erwischt. Habe exakt das Bild was auf der ersten Seite des Threads zu sehen ist (das ich was bezahlen soll). die Mail kam angeblich von einer mir bekannten Seite, deshalb hab ich nicht gleich Verdacht geschöpft (war in der Adresse nur ein Letter anders). Ich habe mich nur gewundert, daß ich 6,5GB RAM-auslastung hatte und das System ausgeschalten, doch beim Neustart kam dann besagtes Startbild. Jetzt habe ich das Problem, daß schon einige Ordner den Zugriff verweigern auf C (u.a. Programme, mein User-Ordner). Leider komme ich mit dem Decrypthelper nicht weiter, da ich die Ordner ja nicht öffnen kann zum schlüssel erzeugen.
Da ich 2 Userkonten angelegt habe, komme ich noch in den Rechner rein, abgesicherter Modus geht auch noch.
Ich hatte mein System wegen CPU- und Boardwechsel erst vor 14Tagen neu aufgesetzt und eigentlich nicht schon wieder Lust, alles neu zu machen.
Werde gerne nach dem Schlafen mehr dazu posten - würde mich dann über Lösungsvorschläge sehr freuen.
Erst einmal gute Nacht, auch im Urlaub muss man mal schlafen.

hi
@mails im spamordner oder mit link etc.
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du die mail über den browser abrufst, erst mal nur weiterleiten. mail öffnen da gibts dann ne schaltfläche
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

logs gehören ins forum.
der trojaner heißt
matsnu
oder trustezeb

Zitat:

Zitat von markusg

hi

wenn du die mail über den browser abrufst, erst mal nur weiterleiten.

GMX läßt mich das verseuchte Ding aber nicht weiterleiten und sagt folgendes:

Zitat:

Liebes GMX Mitglied,

in einer von Ihnen verschickten E-Mail wurde ein Virus gefunden.

Datei: "Konto-Einzug.pif"
Virus: "Trojan.FakeAV"

Die E-Mail wurde nicht an den Empfänger weitergeleitet. Verwenden Sie bitte
einen lokalen Virenscanner, um Ihren PC zu überprüfen.

Es folgen Details zu der betroffenen E-Mail:

Von: "xxx" <xxx@gmx.at>
An: virus@trojaner-board.de
Datum: Fri, 01 Jun 2012 15:22:44 +0200
Betreff: Fwd: Zahlungsaufforderung an Johanna 8285867505

Der GMX Profi-Virenschutz bietet weitere sinnvolle Konfigurations-
möglichkeiten sowie eine Statistik, die Sie über geprüfte und
infizierte E-Mails auf dem Laufenden hält. Mehr Infos unter
hxxp://service.gmx.net/de/cgi/g.fcgi/login/wicket?area=VIRUS-CHECK

Ihr GMX Team

moin moin Wolfgang,

der Bösewicht hat überall dort Zugriff, wo es die Rechte zulassen.
Bei der Installation des Betriebssystems bzw. bei der Personalisierung vorinstallierter Systeme erhält der eingerichtete Benutzer automatisch administrative Rechte.
Auf 99% der PCs bleibt das auch so.
Vielfach, bei mir auch , wird die Benutzerkontensteuerung so modifiziert, dass diese lästigen PopUps mit der Bestätigung des Administrators unterbunden werden.
Wenn Du als Benutzer nun so eine Schadsoftware ausführst, dann kann sie ohne Warnhinweis als Administrator arbeiten.
Der Zugriff scheitert nur dort, wo er exklusiv dem Benutzer SYSTEM vorbehalten ist, da SYSTEM in der Hirarchi über dem Administrator steht.

Der Virus kann also alle Dateien dort manipulieren, wo es der Administrator auch kann.

Natürlich kann man über Hintertürchen bei einem Benutzerwechsel auch als Benutzer SYSTEM agieren, das ist aber eine andere Sache.

Gruß Volker