Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Pay-/Verschlüsselungs-Trojaner -- Ohne "locked" Dateien ? (https://www.trojaner-board.de/117057-pay-verschluesselungs-trojaner-ohne-locked-dateien.html)

Paddy-o 11.06.2012 15:32
Pay-/Verschlüsselungs-Trojaner -- Ohne "locked" Dateien ?
 
Hallo alle zusammen!

Eine Freundin von mir hat sich beim surfen auf streaming-seiten etwas eingefangen und ich kann es nicht genau deuten.
Folgendes konnte ich im Nachhinein klären:
  • Der Windows-Vista-Rechner war gesperrt und es wurde eine Zahlungsaufforderung angezeigt
  • Danach wurde (durch ihren Mitbewohner) eine Systemwiederherstellung durchgeführt, wodurch das System wieder nutzbar war
  • Jedoch sind sämtliche Dokumente, Bilder, etc unter ihrem Windows-Profil nicht mehr brauchbar - sprich man kann sie nicht öffnen
  • Bei Bildern wird der File-Header nicht erkannt, Worddokumente können nur Code-wirr-warr angezeigt werden, PDFs haben ein unbekanntes Format, etc.
  • Jedoch: Keine(!) der Dateien scheint umbenannt worden zu sein!

Auch auf einem Zweitrechner/USB-Stick lassen sich die Dokumente nicht öffnen, also liegt kein allgemeines Systemproblem vor. Die "Beispielbilder" von Windows Vista lassen sich problemlos öffnen (evtl. weil sie nicht in dem betroffenen Profil liegen).
Keines der hier so oft erwähnten Tools zum Auslesen eines Schlüssels aus einer Kombination von locked und unlocked Dateien funktioniert - keines der Tools kann einen Schlüssel extrahieren/finden.

Ist so ein Fall bekannt? Ein Crypt-Trojaner ohne geänderte Dateinamen?
Oder ist es doch gänzlich etwas anderes? :wtf:


In meiner Abwesenheit habe ich Malwarebytes Anti-Malware durchlaufen lassen. Anscheinend gab es zwei Funde, die meine Freundin aber direkt löschte -.-
Ich muss heute mal schauen ob ich mich remote bei ihr draufschalten und ein LOG-File finden kann.
Bis dahin: Irgendwelche Ideen?

Vielen Dank!!
LG

Paddy-o 12.06.2012 21:26
Hello again,

ich habe jetzt das Malwarebytes Log mit den zwei Funden - allerdings kann ich nicht allzu viel damit anfangen:

Zitat:
08.06.2012 19:00:14
mbam-log-2012-06-08 (19-00-14).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 365263
Laufzeit: 2 Stunde(n), 43 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Run|MSConfig (Trojan.Agent) -> Daten: C:\Users\N\ufmw.exe \u -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 1
HKCR\regfile\shell\open\command| (Broken.OpenCommand) -> Bösartig: ("regedit.exe" "%1") Gut: (regedit.exe "%1") -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:47 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19