Hallo liebes Forum!

Vor 2 Tagen bekam ein Kunde von mir ein, den hier abgebildeten "Sperrscreens" ähnlichen zu Gesicht. Ich vermag nicht die Versionierung (über die hier öfters im Verlauf der Themen über Verschl.-Trojaner gesprochen wird) zu bestimmen.

Komisch war vor allem, das der Rechner des Kunden im abgesicherten Modus neugestartet werden konnte und dies problemlos. Dabei erschien auch kein "Sperrscreen". Startete man ihn im normalen Modus, jedoch mit hardware-blockiertem (WLAN-Off-Switch am Notebook) Netzwerk, blieb man ebenfalls vom Sperrscreen verschont. Sobald man ihn dann einschaltete, war der PC wieder gesperrt.

Verschlüsselt wurde nichts, doch angedroht: "Wird die Strafe in kürzester Zeit nicht geleistet, wird die Platte verschlüsselt und DANN GELÖSCHT!" Verstehe das als Doppelwarnung. Der Kunde hatte jedoch ein unversehrtes Acronis-True-Image-Backup, was wir nach einigen Versuchen, den Trojaner (der von sämtlichen AV-Programmen nicht mal entdeckt wurde) zu entfernen, schliesslich aufgespielt haben. Ich habe davon ein Handyfoto gemacht, wie der Screen aussah, da ich nicht noch lange da rumfummeln wollte.

Der Trojaner selbst war unter C:\Benutzer\UserName\AppData\Roaming\xsecva\xsecva.exe - Gefunden von TrendMicro-HouseCall

Die Schaddateien selbst jedoch konnte kein einziges AV-Programm finden. Die xsecva.exe habe ich archiviert unter abgesichterem Modus auf dem befallenen System vor der Acronis - Backupwiederherstellung und ihn auf einen externen Datenträger verschoben. Den könnt Ihr für Eure Analysen gerne haben, wenn ihr mögt. Werde ihn aber erst auf Anforderung und nur archiviert verschicken, damit niemand ihn bei sich versehentlich aktiviert!

Die Datei vom Sperrscreen häng ich mal an.

Mal gespannt wie Ihr das seht... (Neue Variante des Trojaners, entsprechend meiner Vermutung...?!)

Edit: Variante laut botfrei.de (aus einem anderen Thema bekannt) auf V 1.03 bestimmt.
Sperrbildschirm tauchte laut Angaben des Kunden nach einem von ihm abgelehnten "Adobe-Flash-Update" auf. Er hatte gerade ein Update installiert. Wunderte sich, das dauernd erneute Aufforderungen aufpoppten. Doch nachdem er auf das "X" im kleinen Fenster klickte erschien sofort der Sperrbildschirm und "es" war passiert
Er suchte nach Youtube-Video-Anleitungen und war auf eine andere Seite geraten...

Wünsche ein Trojaner-/Virenfreies WE Euch allen

Zitat:

Den könnt Ihr für Eure Analysen gerne haben, wenn ihr mögt. Werde ihn aber erst auf Anforderung und nur archiviert verschicken, damit niemand ihn bei sich versehentlich aktiviert!

Für Malwaresamples haben wir extra einen geschützten (nicht öffentlichen) Bereich => http://www.trojaner-board.de/54791-a...tml#post349565
Da kannst du die Datei so wie sie ist ohne zu packen und ohne das Archiv mit einem passw zu versehen einfach hochladen. Danke

Hallo cosinus

Ich schicke ihn morgen, wenn ich Zeit finde. Hierden Rechner nutze ich um einen Server zu verwalten, da ist mir die Spielerei mit (hierherkopieren von Stick und Abschicken) und von Trojanern zu heikel.

Versuche es morgen oder in den nächsten Tagen.

Lieber Gruß und danke Dir für den Link.