|
Mülltonne: Trojan.Agent.RNSGenWindows 7 Beiträge, die gegen unsere Regeln verstoßen haben, solche, die die Welt nicht braucht oder sonstiger Müll landet hier in der Mülltonne... |
01.06.2012, 01:10 | #1 |
| Trojan.Agent.RNSGen Hallo, habe mir auch den Trojan eingefangen. Es war eine mail von Flirt-fever, dass dort eine Rechnung nicht bezahlt worden sei. Nun war ich aber nie bei Flirt Fever und kannte auch nicht den angegebenen User. Auf alle Fälle hatte ich die gleichen Symptome wie viele hier. Nach öffnen der Mail, Meldung ich hätte einen Trojaner aus einer Oberfläche heraus von Microsoft Update und bei Zahlung von 100 EU wird alles wieder behoben..... Danach AntiMaleware laufen lassen und erkannt wurde Trojan.Agent.RNSGen, Trojan.Fake.Alert, Hijack.Zones und PUP.OfferBundler.ST Alle Dateien hinter dem Benutzerverzeichnis wurden verschlüsselt! Jetzt kommt das Wichtigste! Keiner der angegebenen Programme aus dem Forum hier kann die Dateien wieder entkrypten! Avira Ransom File Unlocker Tool von Dr. Web ScareUncrypt von BitFox Trojan.Ransom.HM-Decrypt_v1 (BitDefender) RannohDecryptor von Kaspersky Trustezeb.A Decryptor von ESET Panda UnRansom, gehen nicht in diesem Fall!!!!!! Diese Programm entschlüsseln Dateien, welche im Format locked-dateiname.alt.1234 oder locked-xxxy oder ähnlich sind. Ich habe anscheinend eine neue Verschlüsselung, bei der die Dateinamen wild durcheinander erzeugt worden sind. Z.B. qtXqGdaqguLQdeGTAtfX - und das Ganze ohne Endung! Interessant ist, daß die Dateigröße zu einer Originaldatei genau gleich ist, das Datum ebenso, nur die Uhrzeit ist jedesmal bei der verschlüsselten Datei genau eine Stunde später! Ich poste hier die LOG Datei von Malwarebytes Anti-Malware : ________________________________________________________ Malwarebytes Anti-Malware (Test) 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.05.31.04 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 Schutz: Aktiviert 31.05.2012 18:57:53 mbam-log-2012-06-01 (02-01-25).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 554508 Laufzeit: 3 Stunde(n), 41 Minute(n), 35 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 5 HKCU\SOFTWARE\JP595IR86O (Trojan.FakeAlert) -> Keine Aktion durchgeführt. HKCU\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Keine Aktion durchgeführt. HKCU\SOFTWARE\WHMDNR9LKK (Trojan.FakeAlert) -> Keine Aktion durchgeführt. HKCU\SOFTWARE\XML (Trojan.FakeAlert) -> Keine Aktion durchgeführt. HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Keine Aktion durchgeführt. Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|8A85C468 (Trojan.Agent.RNSGen) -> Daten: C:\Users\Ralph\AppData\Roaming\Lgynhawx\264B57EB8A85C4685278.exe -> Keine Aktion durchgeführt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 3 C:\Users\Ralph\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\G18DMQRE\SoftonicDownloader_fuer_ftp-surfer (1).exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt. C:\Users\Ralph\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\G18DMQRE\SoftonicDownloader_fuer_ftp-surfer.exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt. C:\Users\Ralph\AppData\Roaming\Lgynhawx\264B57EB8A85C4685278.exe (Trojan.Agent.RNSGen) -> Keine Aktion durchgeführt. (Ende) _______________________________________________________________ Ich habe Trojaner noch nicht entfernt und warte einmal ab, ob hier jemand schon Erfahrung gemacht hat. Traue mich noch nicht in Malwarebytes Anti-Malware die Trojaner zu entfernen, da ich mir nicht sicher bin ob dann überhaupt noch entschlüsselt werden kann später. Alle Verzeichnisse mit den verschlüsselten Dateien habe ich separat trotzdem noch einmal kopiert. Peinlich für ANITVIR ist, dass er den Trojaner nicht bemerkt hat - peinlich für mich ist, daß ich wichtige Geschäftsdaten gerde verschlüsselt bekommen habe, die ich nicht noch zusätzlich gesichert hatte. Wer kann helfen? Beste Grüße RMC |
01.06.2012, 13:33 | #2 |
/// Malware-holic | Trojan.Agent.RNSGen hi warum öffnest du eine rechnung von ner firma die du nicht kennst...
__________________wenn in zukunft solche mails reinkommen: an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert. wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ: .eml einstellen. dann bitte lesen: markusg - trojaner-board.de und mir die soeben erstellte datei zukommen lassen. wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders. bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen. sie können dann dorthin solche verdächtigen mails senden. diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig. wegen der entschlüsselung musst du noch warten, wir informieren dann
__________________ |
01.06.2012, 13:48 | #3 |
| Trojan.Agent.RNSGen Hi markusg,
__________________viel Spass im Urlaub - habe aber nicht wirklich das Gefühl, daß Du helfen kannst..... danke RMC |
04.06.2012, 14:31 | #4 |
Administrator /// technical service | Trojan.Agent.RNSGen |
Themen zu Trojan.Agent.RNSGen |
dateien, dateisystem, flirt fever, flirt-fever, flirtfever, heuristiks/extra, heuristiks/shuriken, hijack.zones, locker, malwarebytes, nicht sicher, pup.offerbundler.st, trojan.agent.rnsgen, trojan.fake.alert, trojaner, verschlüsselung, zahlung |