Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Neue Verschlüsselungs-Trojaner Variante im Umlauf

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 31.05.2012, 00:12   #1
leahciM
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Hallo fdy.

Zitat:
Zitat von fdy Beitrag anzeigen
Hallo leahciM,

ich sitze gerade mit großen Augen vor Deinem Post bezüglich des Anhangs von Norbert, wo findest du in dem Paket einen Virus ?

Ich habe extrahiert:
[..]

damit wir über dass gleiche Paket sprechen.
dort ist keine ausführbare Datei enthalten (exe / pif / scr und Konsorten).

Ein kurzer Überflug hat mir den Anschein vermittelt, dass es sich dabei
um die HTML Seite handelt, die der Virus einblendet, wenn der Rechner
infiziert ist, jedoch nicht um den Schadcode selber oder irgendeine
Infektions / Crypt-Routine.

Ich würde um ein kurzes Feedback von Dir bitten, was du auf der VM
gemacht hast, damit es zu einer vermeindlichen Infektion gekommen ist.

Btw. die ältere Variante wird von Kaspersky garantiert erkannt,
ich konnte heute eine E-Mail mit der bekannten Rechnung.pif von
einem PC extrahieren und Kaspys-Alarmglocken haben sofort geläutet.
Daher gehe ich erstmal davon aus, dass du die main.html
im Browser geöffnet hast oder wir nicht vom gleichen Paket sprechen.

Vielen Dank fdy
Geh bitte in die tro.zip. Dort ist ein Ordner "gkfouvtggpaaedq" und "tro" vorhanden. Im Ordner "tro" ist eine weitere ZIP-Datei "mafzvzmxsdmfqne.zip" vorhanden. Schau da mal rein -> "vhjgorkblydpuyqzgfcf.exe"

Achja, Datei in die VM. Ausgeführt. Passierte nix. Neustart --> siehe Bild. Ich habe keine html gestartet.


Michael

Geändert von leahciM (31.05.2012 um 00:19 Uhr)

Alt 31.05.2012, 22:04   #2
norman4860
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



hallo!

noch ein posting von mir zu meinen ersten beitrag mit dem report im anhang, welcher vom virenscanner erstellt wurde

der trojaner hat alle persönlichen dateien (doc, xls, jpg, mp3, usw.) verschlüsselt und unbenannt in unzusammenhängende buchstabenkombinationen, zb: dNnspxujarsjXxUeEeV
ohne besondere endung

bis jetzt konnte ich die dateien mit keinem der veröffentlichten entschlüsselungsprogramme wieder herstellen

lg
dejan
__________________


Alt 31.05.2012, 22:49   #3
vitoo
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Hallo,,,ich habe mir den auch dummerweise eingefangen.Habe das hier schon einige zeit verfolgt.heute habe ich mich registriert,,,,,Konnte aber endlich heute wenigstens die fotos und dokumente auf C: wiederherstellen.Viele Fotos von meiner ,vor 2 Jahren verstorbenen Mama.....Mit dem Programm Shadow explorer....Diesen Trojaner habe ich ( hoffentlich) mit kaspersky entfernt.Eigentlich seit ihr hier die einzigen die sich mit diesem Thema befasst und versucht den Leuten zu helfen.Hochachtung von mir.Macht weiter so.Echt cool....
__________________

Alt 31.05.2012, 00:07   #4
hkausm
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Hier noch eine Erscheinungsform der neuen Trojaner-Variante:
Ergebnis: Verschlüsselte Dateien und die allseits bekannten verwurschtelten Dateinamen ohne "Locked"-Bezeichnung.
Beispiel/Vergleichsdateien der Verschlüsseldung siehe Thread "Dateien, die kein Locked im Namen haben" in der Rubrik "Plagegeister..." von madddy


Absender: mrloc

Als Betreff: Deine Dating-Agentur-Rechnung Nummer 138713487

Als Anhang: Eine Datei mit Namen "Abmelden.zip"

Besten Dank für Ihre Zahlung,

Sie haben gerade bei der Dating-Agentur Partnervermittlung für die Partnersuche mit Niveau: ElitePartner.ch die
Starmitgliedschaft bestellt. Die Summe in Höhe von 397,69 EUR wird in den
kommenden Tagen von Ihrem Konto abgetragen. Die Abrechnung erfolgt durch
Mepyment Ltd.


Sie sind jetzt für die kommenden 6 Monate Elitemember und können in voller
Grösse die Premiumleistungen nutzen.
Entnehmen Sie die Zahlungsaufforderung bitte dem Zusatzordner in der E-Mail,
dort finden Sie auch die Rechnungsdaten und Elitedienstvorteile. Falls Sie die
Starmitgliedschaft nicht mehr wollen, mailen Sie die Kündigung, mit der in der
beigefügter Datei, beigelegten Kündigungserklärung.

Wir wünschen dir viel Glück!

Mit freundlichen Grüßen Monika Haas
Kundendienst


Augsburg 68768 Deutschland
TEL: +49-119-93348212

Geschäftsleiter: Michael Maier
Inhaltlich Verantwortlicher gemäss § 6 MDStV: Wolfgang Peters
Datenschutzbeauftragter: Dieter Leitner
UST-Nr.: DE7732466231
Amtsgericht Stuttgart

Alt 31.05.2012, 09:08   #5
Betty371
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Hallo,

Mich hat der Virus PWS:Win32/Zbot.gen!Y auch befallen. Es geht garnichts mehr. Der PC fährt hoch aber sonst nichts. Ich habe den PC Aauch schon einige male im Abgeschotteten Moudus gestartet. Ich habe den PC Auch vom Netz genommen. Denn wenn ich ihn wieder anschließe geht ein Fenster auf vom Bundesamt und der Guva
Ich soll illegale Daten auf meinem Rechner haben....
Wie bekomme ich meinen PC wieder ans laufen???


Alt 31.05.2012, 11:35   #6
Undertaker
/// Helfer-Team
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Zitat:
Zitat von Betty371 Beitrag anzeigen
Hallo,

Mich hat der Virus PWS:Win32/Zbot.gen!Y auch befallen. Es geht garnichts mehr. Der PC fährt hoch aber sonst nichts. Ich habe den PC Aauch schon einige male im Abgeschotteten Moudus gestartet. Ich habe den PC Auch vom Netz genommen. Denn wenn ich ihn wieder anschließe geht ein Fenster auf vom Bundesamt und der Guva
Ich soll illegale Daten auf meinem Rechner haben....
Wie bekomme ich meinen PC wieder ans laufen???
moin moin Betty371,
Du brauchst individuelle Hilfe.
Hier ist das Diskussionsforum, Dein Hilferuf geht hier schnell in der Vielzahl der Posts unter.

Eröffne ein eigenes Thema, individuell für Dich.
Ganz ober steht Hinweise:
Darunter auch folgender Link: Thema starten
Ein Teammitglied wird sich Deiner annehmen.
Denke aber bitte daran, dass hier Menschen Hilfe leisten, die auch ihrer geregelten Arbeit nachgehen müssen und ihre Freizeit opfern.
Nur für den Fall, dass sich nicht sofort jemend meldet.

Gruß Volker

Alt 31.05.2012, 17:08   #7
markusg
/// Malware-holic
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



erst mal an alle die zusenden wollen
wenn sie direkt über den browser das erleigen, mail öffnen, weiterleiten. ansonsten:
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.

bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 31.05.2012, 23:18   #8
blueeyes77
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Hallo an Alle

Bin so ziemlich neu hier und habe seid heute auch diesen Verschlüsselungstrojaner (über eine Mail von flirt fever) auf meinem Netbook.

Um mein Netbook wenigstens erstmal wieder zum laufen zu bekommen, habe ich im abgesicherten Modus eine Systemwiederherstellung gemacht.

Als weiteres hab ich mir das Programm Anti-Malware runter geladen und vollständig meinen MiniLappi überprüfen lassen.

Dabei kam dieses hier raus:

Trojaner C:Users\manjas\AppData\Local\Temp\glagpueepu.pre
Trojaner C:User\manjas\AppData\Local\Temp\lsnblhzzhh.pre

So. Nun habe ich zwar diese beiden Trojaner, kann aber damit nichts anfangen.
Sollen diese gelöscht werden oder in Quarantäne?

Als nächsten Schritt habe ich gelesen sollte man sich das Programm Decrypthelper runter laden. Hab ich auch gemacht. Version 0.5.3

Und jetzt kommt glaub ich das eigentliche Problem. Ich weiss absolut nicht, was ich da machen soll. Kann mir das jemand Step by Step hier schreiben?

Mfg
blueeyes

Alt 01.06.2012, 08:06   #9
Undertaker
/// Helfer-Team
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Zitat:
Zitat von blueeyes77 Beitrag anzeigen
Hallo an Alle

Bin so ziemlich neu hier und habe seid heute auch diesen Verschlüsselungstrojaner (über eine Mail von flirt fever) auf meinem Netbook.

Um mein Netbook wenigstens erstmal wieder zum laufen zu bekommen, habe ich im abgesicherten Modus eine Systemwiederherstellung gemacht.

Als weiteres hab ich mir das Programm Anti-Malware runter geladen und vollständig meinen MiniLappi überprüfen lassen.

Dabei kam dieses hier raus:

Trojaner C:Users\manjas\AppData\Local\Temp\glagpueepu.pre
Trojaner C:User\manjas\AppData\Local\Temp\lsnblhzzhh.pre

So. Nun habe ich zwar diese beiden Trojaner, kann aber damit nichts anfangen.
Sollen diese gelöscht werden oder in Quarantäne?

Als nächsten Schritt habe ich gelesen sollte man sich das Programm Decrypthelper runter laden. Hab ich auch gemacht. Version 0.5.3

Und jetzt kommt glaub ich das eigentliche Problem. Ich weiss absolut nicht, was ich da machen soll. Kann mir das jemand Step by Step hier schreiben?

Mfg
blueeyes
moin moin blueeyes,
Du brauchst individuelle Hilfe.
Hier ist das Diskussionsforum, Dein Hilferuf geht hier schnell in der Vielzahl der Posts unter.

Eröffne ein eigenes Thema, individuell für Dich.
Ganz ober steht Hinweise:
Darunter auch folgender Link: Thema starten
Ein Teammitglied wird sich Deiner annehmen.
Denke aber bitte daran, dass hier Menschen Hilfe leisten, die auch ihrer geregelten Arbeit nachgehen müssen und ihre Freizeit opfern.
Nur für den Fall, dass sich nicht sofort jemend meldet.

Gruß Volker

Zitat:
Zitat von LeeLeeSob Beitrag anzeigen
...
Allerdings wüßte ich jetzt nicht, wie ich euch die Dinger zukommen lassen kann, sofern noch Bedarf besteht.
...
moin moin,
oben unter Hinweise steht ein Link Sendet uns die Viren!

Gruß Volker

Alt 01.06.2012, 08:43   #10
sblock
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Hallo Zusammen, bin neu hier und habe auch Probleme mit dem Trojaner. Allerdings weiss ich nicht wie er komplett heisst, um mehr über ihn zu erfahren. Wisst Ihr wie der Trojaner eigentlich komplett heisst? "Neuer Verschlüsselungs-Trojaner Variante" kann doch nicht alles sein.

MFG

Alt 01.06.2012, 00:11   #11
HyBird
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



So nach dem ich fast 2 Wochen diesen Threat beobachtete, und ich dann gestern selbst eine Mail mit mit einem Link bekommen hatte, dachte ich mir, öffest Du mal den Link, und schaust was passiert.
Also der Firefox öffnete sich und zeigte eine Seite mit dem Hinweis, das nun Windows Security Client oder so ähnlich den Rechner nach Malware Scannen würde. Ca. nach einer Sekunde war der Spuk dann vorbei und Avast blockierte den Angriff.
Ich wette das ist die 2. Stufe des Rollup Tests um den Fiesling via Drive by zu verbreiten. Ich veröffentliche nun mal den Link dorthin.
Also bitte das Ding nur öffen wenn Ihr wisst was Ihr tut!!!
hxxp://rescuetrojansservant.in/9555d1a2792be496/11/
Wessen Rechner nicht meinen Schutzlevel hat, liest bestimmt die Scanmeldung während der Trojaner im Hintergrund Daten verschlüsselt.
Marckusg schau es dir an!
__________________
Rechner: Acer Extensa 5220|2GB DDR2 RAM|Intel Core2 Duo 7700@2,4 GHz|Win7 U.
Internet: VDSL50000|Modem: Speedport H300
Router: TP-LINK TL-WR1043ND|OpenWrt Backfire 10.03.1|LuCI 0.10.0 Release (0.10.0)
PC Security: Avast Free|Threatfire|Secunia PSI

Alt 01.06.2012, 02:24   #12
Katzenpaule
 

Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Hallo allerseits!
Mich hat es vor ein paar Stunden auch erwischt. Habe exakt das Bild was auf der ersten Seite des Threads zu sehen ist (das ich was bezahlen soll). die Mail kam angeblich von einer mir bekannten Seite, deshalb hab ich nicht gleich Verdacht geschöpft (war in der Adresse nur ein Letter anders). Ich habe mich nur gewundert, daß ich 6,5GB RAM-auslastung hatte und das System ausgeschalten, doch beim Neustart kam dann besagtes Startbild. Jetzt habe ich das Problem, daß schon einige Ordner den Zugriff verweigern auf C (u.a. Programme, mein User-Ordner). Leider komme ich mit dem Decrypthelper nicht weiter, da ich die Ordner ja nicht öffnen kann zum schlüssel erzeugen.
Da ich 2 Userkonten angelegt habe, komme ich noch in den Rechner rein, abgesicherter Modus geht auch noch.
Ich hatte mein System wegen CPU- und Boardwechsel erst vor 14Tagen neu aufgesetzt und eigentlich nicht schon wieder Lust, alles neu zu machen.
Werde gerne nach dem Schlafen mehr dazu posten - würde mich dann über Lösungsvorschläge sehr freuen.
Erst einmal gute Nacht, auch im Urlaub muss man mal schlafen.

Alt 01.06.2012, 10:28   #13
markusg
/// Malware-holic
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



hi
@mails im spamordner oder mit link etc.
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du die mail über den browser abrufst, erst mal nur weiterleiten. mail öffnen da gibts dann ne schaltfläche
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

logs gehören ins forum.
der trojaner heißt
matsnu
oder trustezeb
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 01.06.2012, 14:25   #14
LeeLeeSob
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



Zitat:
Zitat von markusg Beitrag anzeigen
hi

wenn du die mail über den browser abrufst, erst mal nur weiterleiten.
GMX läßt mich das verseuchte Ding aber nicht weiterleiten und sagt folgendes:

Zitat:
Liebes GMX Mitglied,

in einer von Ihnen verschickten E-Mail wurde ein Virus gefunden.

Datei: "Konto-Einzug.pif"
Virus: "Trojan.FakeAV"

Die E-Mail wurde nicht an den Empfänger weitergeleitet. Verwenden Sie bitte
einen lokalen Virenscanner, um Ihren PC zu überprüfen.

Es folgen Details zu der betroffenen E-Mail:

Von: "xxx" <xxx@gmx.at>
An: virus@trojaner-board.de
Datum: Fri, 01 Jun 2012 15:22:44 +0200
Betreff: Fwd: Zahlungsaufforderung an Johanna 8285867505

Der GMX Profi-Virenschutz bietet weitere sinnvolle Konfigurations-
möglichkeiten sowie eine Statistik, die Sie über geprüfte und
infizierte E-Mails auf dem Laufenden hält. Mehr Infos unter
hxxp://service.gmx.net/de/cgi/g.fcgi/login/wicket?area=VIRUS-CHECK

Ihr GMX Team

Alt 01.06.2012, 14:18   #15
Undertaker
/// Helfer-Team
 
Neue Verschlüsselungs-Trojaner Variante im Umlauf - Standard

Neue Verschlüsselungs-Trojaner Variante im Umlauf



moin moin Wolfgang,

der Bösewicht hat überall dort Zugriff, wo es die Rechte zulassen.
Bei der Installation des Betriebssystems bzw. bei der Personalisierung vorinstallierter Systeme erhält der eingerichtete Benutzer automatisch administrative Rechte.
Auf 99% der PCs bleibt das auch so.
Vielfach, bei mir auch , wird die Benutzerkontensteuerung so modifiziert, dass diese lästigen PopUps mit der Bestätigung des Administrators unterbunden werden.
Wenn Du als Benutzer nun so eine Schadsoftware ausführst, dann kann sie ohne Warnhinweis als Administrator arbeiten.
Der Zugriff scheitert nur dort, wo er exklusiv dem Benutzer SYSTEM vorbehalten ist, da SYSTEM in der Hirarchi über dem Administrator steht.

Der Virus kann also alle Dateien dort manipulieren, wo es der Administrator auch kann.

Natürlich kann man über Hintertürchen bei einem Benutzerwechsel auch als Benutzer SYSTEM agieren, das ist aber eine andere Sache.

Gruß Volker

Antwort

Themen zu Neue Verschlüsselungs-Trojaner Variante im Umlauf
256 bit, 256 bit aes schlüssel, abmahnn, computerverschlüsselungstrojaner, mahnung.zip, rechnung.pif, sie haben sich mit einen windows-verschlüsselungs trojaner infiziert, spam-mails, tr/skelf.a, trojan.matsnu.1, trojan.winlock, trojan:win32/matsnu.gen!a, verschlüsselungs-trojaner, virus verschlüsselt, wickel, willkomen bei windows update, win32/trustezeb.b, windows notfall sicherheits-update center




Ähnliche Themen: Neue Verschlüsselungs-Trojaner Variante im Umlauf


  1. XcodeGhost: Neue Version von manipuliertem Apple-Entwicklungstool im Umlauf
    Nachrichten - 04.11.2015 (0)
  2. Neue DHL-Mail Variante?
    Diskussionsforum - 29.05.2015 (2)
  3. Neue Familie von Erpressungs-Trojanern Umlauf
    Nachrichten - 15.08.2013 (0)
  4. Bundestrojaner neue Variante?
    Plagegeister aller Art und deren Bekämpfung - 26.03.2013 (28)
  5. BKA Trojaner neue Variante "Der Computer ist für die Verletzung der Gesetze der Bundesrepublik..."
    Plagegeister aller Art und deren Bekämpfung - 05.08.2012 (2)
  6. Windows-Verschlüsselungs-Trojaner (Neue Art)
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (1)
  7. Verschlüsselungs Trojaner BKA GEMA Variante
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (1)
  8. Neuer Verschlüsslungs Variante in umlauf
    Diskussionsforum - 13.07.2012 (7)
  9. Verschlüsselungs-Trojaner, Neue Version
    Plagegeister aller Art und deren Bekämpfung - 13.06.2012 (1)
  10. Rechner befallen von ...... Neue Verschlüsselungs-Trojaner Variante im Umlauf
    Plagegeister aller Art und deren Bekämpfung - 12.06.2012 (1)
  11. Verschlüsselungs-Trojaner Variante
    Plagegeister aller Art und deren Bekämpfung - 03.06.2012 (1)
  12. Neue Variante von Ukash
    Log-Analyse und Auswertung - 23.10.2011 (34)
  13. Bundespolizei: Neue Variante vom 'Bundes-Trojaner'
    Plagegeister aller Art und deren Bekämpfung - 09.09.2011 (5)
  14. Neue Mails im Umlauf
    Plagegeister aller Art und deren Bekämpfung - 21.03.2007 (1)
  15. neue Variante von W32.Netsky ?
    Plagegeister aller Art und deren Bekämpfung - 15.04.2005 (10)
  16. Neue Blaster Variante?
    Plagegeister aller Art und deren Bekämpfung - 02.09.2003 (4)

Zum Thema Neue Verschlüsselungs-Trojaner Variante im Umlauf - Hallo fdy. Zitat: Zitat von fdy Hallo leahciM, ich sitze gerade mit großen Augen vor Deinem Post bezüglich des Anhangs von Norbert, wo findest du in dem Paket einen Virus - Neue Verschlüsselungs-Trojaner Variante im Umlauf...
Archiv
Du betrachtest: Neue Verschlüsselungs-Trojaner Variante im Umlauf auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.