Hallo,
habe mir auch den Trojan eingefangen. Es war eine mail von Flirt-fever, dass dort eine Rechnung nicht bezahlt worden sei. Nun war ich aber nie bei Flirt Fever und kannte auch nicht den angegebenen User. Auf alle Fälle hatte ich die gleichen Symptome wie viele hier. Nach öffnen der Mail, Meldung ich hätte einen Trojaner aus einer Oberfläche heraus von Microsoft Update und bei Zahlung von 100 EU wird alles wieder behoben.....

Danach AntiMaleware laufen lassen und erkannt wurde Trojan.Agent.RNSGen, Trojan.Fake.Alert, Hijack.Zones und PUP.OfferBundler.ST

Alle Dateien hinter dem Benutzerverzeichnis wurden verschlüsselt!

Jetzt kommt das Wichtigste! Keiner der angegebenen Programme aus dem Forum hier kann die Dateien wieder entkrypten!

Avira Ransom File Unlocker
Tool von Dr. Web
ScareUncrypt von BitFox
Trojan.Ransom.HM-Decrypt_v1 (BitDefender)
RannohDecryptor von Kaspersky
Trustezeb.A Decryptor von ESET
Panda UnRansom,
gehen nicht in diesem Fall!!!!!!

Diese Programm entschlüsseln Dateien, welche im Format locked-dateiname.alt.1234 oder locked-xxxy oder ähnlich sind.

Ich habe anscheinend eine neue Verschlüsselung, bei der die Dateinamen wild durcheinander erzeugt worden sind. Z.B. qtXqGdaqguLQdeGTAtfX - und das Ganze ohne Endung!
Interessant ist, daß die Dateigröße zu einer Originaldatei genau gleich ist, das Datum ebenso, nur die Uhrzeit ist jedesmal bei der verschlüsselten Datei genau eine Stunde später!

Ich poste hier die LOG Datei von Malwarebytes Anti-Malware :

________________________________________________________

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.31.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421


Schutz: Aktiviert

31.05.2012 18:57:53
mbam-log-2012-06-01 (02-01-25).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 554508
Laufzeit: 3 Stunde(n), 41 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 5
HKCU\SOFTWARE\JP595IR86O (Trojan.FakeAlert) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\WHMDNR9LKK (Trojan.FakeAlert) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\XML (Trojan.FakeAlert) -> Keine Aktion durchgeführt.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|8A85C468 (Trojan.Agent.RNSGen) -> Daten: C:\Users\Ralph\AppData\Roaming\Lgynhawx\264B57EB8A85C4685278.exe -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\Users\Ralph\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\G18DMQRE\SoftonicDownloader_fuer_ftp-surfer (1).exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt.
C:\Users\Ralph\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\G18DMQRE\SoftonicDownloader_fuer_ftp-surfer.exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt.
C:\Users\Ralph\AppData\Roaming\Lgynhawx\264B57EB8A85C4685278.exe (Trojan.Agent.RNSGen) -> Keine Aktion durchgeführt.

(Ende)
_______________________________________________________________

Ich habe Trojaner noch nicht entfernt und warte einmal ab, ob hier jemand schon Erfahrung gemacht hat. Traue mich noch nicht in Malwarebytes Anti-Malware die Trojaner zu entfernen, da ich mir nicht sicher bin ob dann überhaupt noch entschlüsselt werden kann später.
Alle Verzeichnisse mit den verschlüsselten Dateien habe ich separat trotzdem noch einmal kopiert.
Peinlich für ANITVIR ist, dass er den Trojaner nicht bemerkt hat - peinlich für mich ist, daß ich wichtige Geschäftsdaten gerde verschlüsselt bekommen habe, die ich nicht noch zusätzlich gesichert hatte.

Wer kann helfen?

Beste Grüße
RMC

hi warum öffnest du eine rechnung von ner firma die du nicht kennst...
wenn in zukunft solche mails reinkommen:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.
wegen der entschlüsselung musst du noch warten, wir informieren dann

Hi markusg,

viel Spass im Urlaub - habe aber nicht wirklich das Gefühl, daß Du helfen kannst.....

danke

RMC

Crossposting