|
Plagegeister aller Art und deren Bekämpfung: Trojan.Agent.RNSGen (Verschlüsselungs-Trojaner)Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
05.06.2012, 23:25 | #1 |
| Trojan.Agent.RNSGen (Verschlüsselungs-Trojaner) Hallo, meine Freundin war leider so unvorsichtig, den Anhang einer Mail zu öffnen, die angeblich von flirt-fever kam und in der von einer Rechnung über ca. 400 Euro die Rede war. Darin war natürlich ein Verschlüsselungs-Trojaner. AntiVir hat den Trojaner leider nicht erkannt. Den Rechner hatte sie nach dem Auftauchen des üblichen Bildschirms mehrfach ausgeschaltet und neu gestartet. Als ich mir den Rechner ansah lag eine Datei namens ACHTUNG-LESEN.txt auf dem Desktop mit dem folgenden Inhalt: Code:
ATTFilter Sehr geehrte Damen und Herren, anscheinend wurde das Update Programm vollständig unterbrochen. Jetzt kann das Virus nur manuell beseitigt werden. Dies brauchen Sie um Ihre Dateien benutzen zu können. Falls Sie also die gesperrten Daten brauchen, senden Sie uns bitte 200 Euro Ukash Code an die Email: security-center@inbox.lt, so bald dieser Code geprüft wurde, erhalten Sie ein Update Programm. Falls Sie Ihre Daten nicht brauchen raten wir Ihnen dringend Ihren Computer zu formatieren um den Virus vollständig zu entfernen. Ukash können Sie an einer beliebigen Tankstelle erwerben und auch in mehreren Internetcafes in Ihrer Nähe. mfG Ihr Security Team Leider halfen jedoch die hier angebotenen Entschlüsselungstools nicht weiter (Versuch mit anhand der Thumbnails identifizierbaren Vista-Beispielbildern). Automatisch wurde kein Schlüssel gefunden (evtl. sind wegen des Neustarts die Daten mit verschiedenen Schlüsseln chiffriert?). Die Dateinamen haben wie schon bei anderen Nutzern der letzten Zeit nicht das Format "locked-...", sondern ein Durcheinander aus Buchstaben ohne Dateiendungen. Hier noch das Log von AntiMalware: Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.06.05.06 Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig) Internet Explorer 9.0.8112.16421 Inotschka :: HANNIBAL [Administrator] Schutz: Deaktiviert 05.06.2012 20:59:13 mbam-log-2012-06-05 (20-59-13).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 370825 Laufzeit: 1 Stunde(n), 3 Minute(n), Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|928C4072 (Trojan.Agent.RNSGen) -> Daten: C:\Users\Inotschka\AppData\Roaming\Yfcyyfcyy\2E65846D928C407242EF.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 1 C:\Users\Inotschka\M-1-52-5782-8752-5245 (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateien: 1 C:\Users\Inotschka\AppData\Roaming\Yfcyyfcyy\2E65846D928C407242EF.exe (Trojan.Agent.RNSGen) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) |
06.06.2012, 11:29 | #2 |
/// Malware-holic | Trojan.Agent.RNSGen (Verschlüsselungs-Trojaner) hi,
__________________1. die infektionsquelle: an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert. wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ: .eml einstellen. dann bitte lesen: markusg - trojaner-board.de und mir die soeben erstellte datei zukommen lassen. wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders. bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen. sie können dann dorthin solche verdächtigen mails senden. diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig. 2. shadow explorer versuchen: http://www.trojaner-board.de/115496-...erstellen.html
__________________ |
06.06.2012, 14:55 | #3 |
| Trojan.Agent.RNSGen (Verschlüsselungs-Trojaner) Hallo,
__________________die Mail hat meine Freundin gestern schon weitergeleitet. Sie benutzt web.de über das Webinterface und auch eine Suche hat keinen Hinweis darauf ergeben, wie man sie als EML speichert, also haben wir sie einfach nur weitergeleitet. Sollte die Mail nicht angekommen sein, wäre ich für einen Hinweis und eine Anleitung zum Export als eml dankbar. Den Ansatz über ShadowExplorer werde ich später versuchen, danke! |
07.06.2012, 16:57 | #4 |
| Trojan.Agent.RNSGen (Verschlüsselungs-Trojaner) Danke für den Hinweis auf ShadowExplorer! So konnte ich wenigstens die Daten auf der C-Partition wiederherstellen. Leider war die Wiederherstellungsfunktion für die Datenpartition deaktiviert (hab sie jetzt auch mal eingeschaltet), aber da sie ohnehin fast alles auf C liegen hatte ist das nicht so sehr tragisch. Die verschlüsselten Dateien auf der Datenpartition lasse ich vorerst dort liegen für den Fall, dass in den kommenden Monaten doch noch ein Tool helfen kann. |
Themen zu Trojan.Agent.RNSGen (Verschlüsselungs-Trojaner) |
administrator, antivir, autostart, beseitigung, computer, dateien, dateisystem, desktop, dringend, e-mail, email, euro, explorer, formatieren, gelöscht, heuristiks/extra, heuristiks/shuriken, log, malwarebytes, microsoft, neu, programm, rechnung, scan, senden, software, trojan.agent.ge, update, virus |