Ich kenne mich mit der eigentlich Antiviren Bekämpfung zwar nicht aus, für mich hieß es sonst auch einfach Virus --> Neumachen. Allerdings frage ich mich immernoch, wie ich denn nun herausfinden kann ob ich befallen bin? Irgendein Virenprogramm muss den Übeltäter doch finden, irgendwelche Spuren muss er doch hinterlassen.

Wir wollen doch nicht Flammen des Feuers bewundern sondern den Gashahn zudrehen :)

leute gebt richtig laut hier, falls eine AV-Hersteller ein decrypter tool rausgebracht hat, solang werd ich meinen Rechner erstmal nicht neu aufsetzen, ich hab keine backups (ja geht mir einen headshot) und ich MUSS die fiels wiederherstellen, sonst siehts nicht gut aus für mich (hochzeitsbilder-Urlaube usw)

Den Rechner meiner Cheffin hat es erwischt und das Backup ist einen Monat alt, wenn kein decrypter kommt wäre das sehr sehr schlecht, wir würden sogar für einen zahlen ^^

@Kummi

Ich habe drei verschiedene Varianten hier. Auch den, der vorgibt VB zu sein. Und ja, ich habe diese Temporären Dateien auch schon gesehen und vermute auch, dass in der 5 MByte-Datei die verschlüsselten & umbenannten Dateien referenziert werden. Irgendwoher muss der Trojaner die Info ja auch her bekommen, wie die Dateien mal hießen.

Das schlimmste an diesem Trojaner ist die Aussicht auf kommende drive-by-Varianten. So lange die Dinger per E-Mail kommen ist der Schaden überschaubar. Es spricht jedoch wenig dafür, dass sich das nicht ändern wird.

@pcnberlin
Habt ihr schon einen Virenscanner gehabt, der diese Seuche geblockt hat????
Gruß DevilTH

@pcnberlin
nur kurz zu einigen angaben
5. in älteren versionen rc4 verschlüsselung bei den neuen weis ichs nicht.
6. es gab einige die eine blockierung für whireshark nutzen.
außerdem nen crypter.
7. nein, das liegt an den unterschiedlichen malware versionen.

@bemerkung über trolle, das sind schon professionell arbeitende leute die da drann arbeiten diese malware zu verbreiten.

bitte auch nicht vergessen, da die adresse jetzt wieder geht:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
makrusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

makrus hab dir heute schon eine mail mit meinem verursacher weitergeletet.
Ich würd einiges zahlen für nen decrypter.

wie kann man die dateien entschlüsseln bei der version
meine datein sind so verschlüsselt
sGAqjqjyUfdfUfnELo

????

Bisher noch garnicht. Also abwarten und Tee trinken.

@DevilTH

Das ist wie beim BKA-Trojaner, die Dinger werden fast täglich aktualisiert, so dass sie erst erkannt werden, wenn es zu spät ist. T-Online hat einige aber zumindest als SPAM erkannt.

@markusg

Danke für die Infos. Leider sind meine letzten Debugging-Erlebnisse schon etwas her, aber dieser Trojaner ist schon recht interessant.

Zu 7: Kannst Du abschätzen, wie viele Varianten Du von dem "neuen" hast? Wenn die Malware-Programmierer die Dinger jetzt wirklich im 6-Stunden-Zyklus ändern, dann sieht es wohl nicht gut aus mit einem Decryptor, der für alle paßt.

Habe dir auch gerade eine Mail geschrieben, im Anhang die e-mail. Ich hoffe es gibt bal neue Infos, leider ist bei mir der Arbeitsrechner betroffen ;<

@pcnberlin
keine ahnung, einige.
ne neue version heißt nicht zwangsläufig das nen neuer algorhytmus verwendet wird.

@all
shadowexplorer testen
http://www.trojaner-board.de/115496-...tml#post831090

Hallo,
ich habe stichprobenartig das Forum durchsucht und folgenden Hinweis nicht gefunden (korrigiert mich, falls ich mich irre oder nicht gründlich genug gesucht habe): Bei der standardmäßigen Installation von Outlook 2010 wird das Öffnen von Anhängen aktiviert - soll heißen, wenn der Normaluser die verseuchte Mail öffnet, wird automatisch der Anhang geöffnet und logischerweise ausgeführt !
(Zumindest konnten wir bei betroffenen Kunden diesen Infektionsweg nachvollziehen.)
freundliche Grüße
SteffenF

hi, danke für den hinweis, nutze kein outlook 2010 somit war diese info für mich neu

funst leider net.... mist teil hier :)