Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojan.Agent.RNSGen (Verschlüsselungs-Trojaner)

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 05.06.2012, 23:25   #1
hv80
 
Trojan.Agent.RNSGen (Verschlüsselungs-Trojaner) - Standard

Trojan.Agent.RNSGen (Verschlüsselungs-Trojaner)



Hallo,

meine Freundin war leider so unvorsichtig, den Anhang einer Mail zu öffnen, die angeblich von flirt-fever kam und in der von einer Rechnung über ca. 400 Euro die Rede war. Darin war natürlich ein Verschlüsselungs-Trojaner. AntiVir hat den Trojaner leider nicht erkannt.

Den Rechner hatte sie nach dem Auftauchen des üblichen Bildschirms mehrfach ausgeschaltet und neu gestartet. Als ich mir den Rechner ansah lag eine Datei namens ACHTUNG-LESEN.txt auf dem Desktop mit dem folgenden Inhalt:
Code:
ATTFilter
Sehr geehrte Damen und Herren,
anscheinend wurde das Update Programm vollständig unterbrochen. Jetzt kann das Virus nur manuell beseitigt werden. Dies brauchen Sie um Ihre Dateien benutzen zu können. Falls Sie also die gesperrten Daten brauchen, senden Sie uns bitte 200 Euro Ukash Code an die Email: security-center@inbox.lt, so bald dieser Code geprüft wurde, erhalten Sie ein Update Programm. Falls Sie Ihre Daten nicht brauchen raten wir Ihnen dringend Ihren Computer zu formatieren um den Virus vollständig zu entfernen. Ukash können Sie an einer beliebigen Tankstelle erwerben und auch in mehreren Internetcafes in Ihrer Nähe.
mfG Ihr Security Team
         
Ich habe schließlich im abgesicherten Modus mbam installiert und einen Scan durchgeführt, der den Trijan.Agent.RNSGen und Trojan.Agent.Gen erkannte. Seit dessen Beseitigung ist der Rechner zumindest wieder normal nutzbar.

Leider halfen jedoch die hier angebotenen Entschlüsselungstools nicht weiter (Versuch mit anhand der Thumbnails identifizierbaren Vista-Beispielbildern). Automatisch wurde kein Schlüssel gefunden (evtl. sind wegen des Neustarts die Daten mit verschiedenen Schlüsseln chiffriert?). Die Dateinamen haben wie schon bei anderen Nutzern der letzten Zeit nicht das Format "locked-...", sondern ein Durcheinander aus Buchstaben ohne Dateiendungen.

Hier noch das Log von AntiMalware:
Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.05.06

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Inotschka :: HANNIBAL [Administrator]

Schutz: Deaktiviert

05.06.2012 20:59:13
mbam-log-2012-06-05 (20-59-13).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 370825
Laufzeit: 1 Stunde(n), 3 Minute(n), 

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|928C4072 (Trojan.Agent.RNSGen) -> Daten: C:\Users\Inotschka\AppData\Roaming\Yfcyyfcyy\2E65846D928C407242EF.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\Users\Inotschka\M-1-52-5782-8752-5245 (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 1
C:\Users\Inotschka\AppData\Roaming\Yfcyyfcyy\2E65846D928C407242EF.exe (Trojan.Agent.RNSGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
Die E-Mail mit dem Trojaner lasse ich meine Freundin gleich weiterleiten. Bei Bedarf kann ich auch die verschlüsselten Beispielbilder schicken und den originalen Dateinamen zuordnen. Falls sonst irgendwas benötigt wird sagt bescheid! Ich versuche es dann zu organisieren, wobei ich tagsüber auf der Arbeit bin und daher nur abends an den Rechner meiner Freundin kann. Ich hoffe ihr könnt uns irgendwie helfen. Vielen Dank!

Alt 06.06.2012, 11:29   #2
markusg
/// Malware-holic
 
Trojan.Agent.RNSGen (Verschlüsselungs-Trojaner) - Standard

Trojan.Agent.RNSGen (Verschlüsselungs-Trojaner)



hi,
1. die infektionsquelle:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

2. shadow explorer versuchen:
http://www.trojaner-board.de/115496-...erstellen.html
__________________

__________________

Alt 06.06.2012, 14:55   #3
hv80
 
Trojan.Agent.RNSGen (Verschlüsselungs-Trojaner) - Standard

Trojan.Agent.RNSGen (Verschlüsselungs-Trojaner)



Hallo,

die Mail hat meine Freundin gestern schon weitergeleitet. Sie benutzt web.de über das Webinterface und auch eine Suche hat keinen Hinweis darauf ergeben, wie man sie als EML speichert, also haben wir sie einfach nur weitergeleitet. Sollte die Mail nicht angekommen sein, wäre ich für einen Hinweis und eine Anleitung zum Export als eml dankbar.

Den Ansatz über ShadowExplorer werde ich später versuchen, danke!
__________________

Alt 07.06.2012, 16:57   #4
hv80
 
Trojan.Agent.RNSGen (Verschlüsselungs-Trojaner) - Standard

Trojan.Agent.RNSGen (Verschlüsselungs-Trojaner)



Danke für den Hinweis auf ShadowExplorer! So konnte ich wenigstens die Daten auf der C-Partition wiederherstellen. Leider war die Wiederherstellungsfunktion für die Datenpartition deaktiviert (hab sie jetzt auch mal eingeschaltet), aber da sie ohnehin fast alles auf C liegen hatte ist das nicht so sehr tragisch.

Die verschlüsselten Dateien auf der Datenpartition lasse ich vorerst dort liegen für den Fall, dass in den kommenden Monaten doch noch ein Tool helfen kann.

Antwort

Themen zu Trojan.Agent.RNSGen (Verschlüsselungs-Trojaner)
administrator, antivir, autostart, beseitigung, computer, dateien, dateisystem, desktop, dringend, e-mail, email, euro, explorer, formatieren, gelöscht, heuristiks/extra, heuristiks/shuriken, log, malwarebytes, microsoft, neu, programm, rechnung, scan, senden, software, trojan.agent.ge, update, virus




Ähnliche Themen: Trojan.Agent.RNSGen (Verschlüsselungs-Trojaner)


  1. WinXp Trojan.Agent/Gen-Reputation Stolen.Data Trojan.Agent/Gen-DunDun Win32/Spy.Banker.YPK trojan
    Log-Analyse und Auswertung - 29.10.2013 (7)
  2. Trojan.Matsnu.1 - Tool für Verschlüsselungs-Trojaner
    Diskussionsforum - 18.02.2013 (45)
  3. Trojan.Fakesmoke, Trojan.Agent-128337, Trojan.Agent-128287 bei Desinfect 2012 (Clam AV)
    Log-Analyse und Auswertung - 06.02.2013 (17)
  4. Trojaner gefunden: Win 32:Patcher [Trj], Win.Trojan.Agent-36124, Win.Trojan.Agent-44393
    Log-Analyse und Auswertung - 02.02.2013 (7)
  5. Verschlüsselungs-Trojaner: Trojan.Win32.Yakes.bshd, Trojan.Win32.Bublik.abyj
    Plagegeister aller Art und deren Bekämpfung - 25.01.2013 (1)
  6. Trojan.Downloader, Trojan.Agent.VGENX, Trojan.Agent, PUP.Pantsoff.PasswordFinder, TR/spy.banker.gen5
    Log-Analyse und Auswertung - 27.10.2012 (1)
  7. Trojan.Agent, Backdoor.Agent, Trojan.Banker > 10 Trojaner auf einem PC
    Log-Analyse und Auswertung - 22.07.2012 (0)
  8. Trojan.Agent.rnsgen neu - keine der Softwares entschlüsselt Dateien
    Plagegeister aller Art und deren Bekämpfung - 07.06.2012 (7)
  9. Trojan.Agent.RNSGen und Android (HTC Handy)
    Plagegeister aller Art und deren Bekämpfung - 07.06.2012 (2)
  10. Trojan.Agent.RNSGen
    Log-Analyse und Auswertung - 07.06.2012 (5)
  11. Verschlüsselungstrojaner (23.05.2012) TROJAN.AGENTR.RNSGEN ... Dateien nicht entschlüsselbar ...
    Log-Analyse und Auswertung - 06.06.2012 (5)
  12. Trojan.Agent.RNSGen
    Mülltonne - 04.06.2012 (3)
  13. Von Verschlüsselungstrojaner trojan.agent.rnsgen betroffen
    Plagegeister aller Art und deren Bekämpfung - 30.05.2012 (3)
  14. trojan.agent.rnsgen hat dateien verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 14.05.2012 (3)
  15. Verschlüsselungs-Trojaner Trojan.Encoder
    Log-Analyse und Auswertung - 01.05.2012 (4)
  16. Verschlüsselungs-Trojaner Trojan:W32/RansomCrypt entfernen
    Anleitungen, FAQs & Links - 25.04.2012 (1)
  17. Diverse Trojaner vom Typ Trojan.Rodecap, Trojan.Dropper und Trojan.Agent! Brauche dringend Hilfe!
    Log-Analyse und Auswertung - 09.08.2010 (16)

Zum Thema Trojan.Agent.RNSGen (Verschlüsselungs-Trojaner) - Hallo, meine Freundin war leider so unvorsichtig, den Anhang einer Mail zu öffnen, die angeblich von flirt-fever kam und in der von einer Rechnung über ca. 400 Euro die Rede - Trojan.Agent.RNSGen (Verschlüsselungs-Trojaner)...
Archiv
Du betrachtest: Trojan.Agent.RNSGen (Verschlüsselungs-Trojaner) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.