xp-Verschlüsslungstrojaner - Win32/Trustezeb.C trojan
Meine Mutter hat sich letzte Woche den Verschlüsselungstrojaner eingefangen.
Es wurden alle *.jpg Dateien in wirre Buchstabenreihen umbenannt
zB.: OxDnJVpqrteoQUTAOxD, nJxljgdToQtsyNVpLvG ....
Danke für Eure Hilfe - werde jetzt mal versuchen die Fotos zu entschlüssen.
Anmerkung: Die Outlookdateien sind nicht betroffen.
Scanns mit Malware und Eset haben folgendes zu Tage befördert: Code:
Malwarebytes Anti-Malware (Trial) 1.62.0.1300
www.malwarebytes.org
Database version: v2012.07.20.07
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
saturn :: USER-6311644867 [administrator]
Protection: Disabled
20.07.2012 20:07:28
mbam-log-2012-07-20 (20-24-13).txt
Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 313181
Time elapsed: 16 minute(s), 13 second(s)
Memory Processes Detected: 0
(No malicious items detected)
Memory Modules Detected: 0
(No malicious items detected)
Registry Keys Detected: 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe (Security.Hijack) -> No action taken.
Registry Values Detected: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|jjlnurxt (Trojan.Phex.THAGen1) -> Data: C:\DOKUME~1\saturn\LOKALE~1\Temp\Mlynwryipsf\bmlynwurxt.exe -> No action taken.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Data: 1 -> No action taken.
Registry Data Items Detected: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bad: (1) Good: (0) -> No action taken.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.
Folders Detected: 0
(No malicious items detected)
Files Detected: 2
C:\Dokumente und Einstellungen\saturn\Lokale Einstellungen\Temp\Mlynwryipsf\bmlynwurxt.exe (Trojan.Phex.THAGen1) -> No action taken.
C:\Dokumente und Einstellungen\saturn\Lokale Einstellungen\Temp\ryipsfhkzc.pre (Trojan.Phex.THAGen1) -> No action taken.
(end)
Code:
C:\Dokumente und Einstellungen\saturn\Desktop\Einzelheiten.zip
C:\Dokumente und Einstellungen\saturn\Lokale Einstellungen\Anwendungsdaten\Microsoft\CD Burning\Einzelheiten.zip Win32/Trustezeb.C trojan
C:\Dokumente und Einstellungen\saturn\Lokale Einstellungen\Temporary Internet Files\OLK7\Einzelheiten (2).zip Win32/Trustezeb.C trojan
C:\Dokumente und Einstellungen\saturn\Lokale Einstellungen\Temporary Internet Files\OLK7\Einzelheiten.zip Win32/Trustezeb.C trojan
C:\WINDOWS\pss\clmnyurxt.exeStartup a variant of Win32/Kryptik.AIHB trojan
| 