Trojaner-Board - Trojan.Agent.RNSGen (Verschlüsselungs-Trojaner)

Hallo,

meine Freundin war leider so unvorsichtig, den Anhang einer Mail zu öffnen, die angeblich von flirt-fever kam und in der von einer Rechnung über ca. 400 Euro die Rede war. Darin war natürlich ein Verschlüsselungs-Trojaner. AntiVir hat den Trojaner leider nicht erkannt.

Den Rechner hatte sie nach dem Auftauchen des üblichen Bildschirms mehrfach ausgeschaltet und neu gestartet. Als ich mir den Rechner ansah lag eine Datei namens ACHTUNG-LESEN.txt auf dem Desktop mit dem folgenden Inhalt:

Code:

Sehr geehrte Damen und Herren,

anscheinend wurde das Update Programm vollständig unterbrochen. Jetzt kann das Virus nur manuell beseitigt werden. Dies brauchen Sie um Ihre Dateien benutzen zu können. Falls Sie also die gesperrten Daten brauchen, senden Sie uns bitte 200 Euro Ukash Code an die Email: security-center@inbox.lt, so bald dieser Code geprüft wurde, erhalten Sie ein Update Programm. Falls Sie Ihre Daten nicht brauchen raten wir Ihnen dringend Ihren Computer zu formatieren um den Virus vollständig zu entfernen. Ukash können Sie an einer beliebigen Tankstelle erwerben und auch in mehreren Internetcafes in Ihrer Nähe.

mfG Ihr Security Team

Ich habe schließlich im abgesicherten Modus mbam installiert und einen Scan durchgeführt, der den Trijan.Agent.RNSGen und Trojan.Agent.Gen erkannte. Seit dessen Beseitigung ist der Rechner zumindest wieder normal nutzbar.

Leider halfen jedoch die hier angebotenen Entschlüsselungstools nicht weiter (Versuch mit anhand der Thumbnails identifizierbaren Vista-Beispielbildern). Automatisch wurde kein Schlüssel gefunden (evtl. sind wegen des Neustarts die Daten mit verschiedenen Schlüsseln chiffriert?). Die Dateinamen haben wie schon bei anderen Nutzern der letzten Zeit nicht das Format "locked-...", sondern ein Durcheinander aus Buchstaben ohne Dateiendungen.

Hier noch das Log von AntiMalware:

Code:

Malwarebytes Anti-Malware (Test) 1.61.0.1400

www.malwarebytes.org
 

Datenbank Version: v2012.06.05.06
 

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)

Internet Explorer 9.0.8112.16421

Inotschka :: HANNIBAL [Administrator]
 

Schutz: Deaktiviert
 

05.06.2012 20:59:13

mbam-log-2012-06-05 (20-59-13).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 370825

Laufzeit: 1 Stunde(n), 3 Minute(n), 
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 1

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|928C4072 (Trojan.Agent.RNSGen) -> Daten: C:\Users\Inotschka\AppData\Roaming\Yfcyyfcyy\2E65846D928C407242EF.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 1

C:\Users\Inotschka\M-1-52-5782-8752-5245 (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

Infizierte Dateien: 1

C:\Users\Inotschka\AppData\Roaming\Yfcyyfcyy\2E65846D928C407242EF.exe (Trojan.Agent.RNSGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

Die E-Mail mit dem Trojaner lasse ich meine Freundin gleich weiterleiten. Bei Bedarf kann ich auch die verschlüsselten Beispielbilder schicken und den originalen Dateinamen zuordnen. Falls sonst irgendwas benötigt wird sagt bescheid! Ich versuche es dann zu organisieren, wobei ich tagsüber auf der Arbeit bin und daher nur abends an den Rechner meiner Freundin kann. Ich hoffe ihr könnt uns irgendwie helfen. Vielen Dank!