Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   xp-Verschlüsslungstrojaner - Win32/Trustezeb.C trojan (https://www.trojaner-board.de/120015-xp-verschluesslungstrojaner-win32-trustezeb-c-trojan.html)

phase82 21.07.2012 10:56

xp-Verschlüsslungstrojaner - Win32/Trustezeb.C trojan
 
Meine Mutter hat sich letzte Woche den Verschlüsselungstrojaner eingefangen.

Es wurden alle *.jpg Dateien in wirre Buchstabenreihen umbenannt
zB.: OxDnJVpqrteoQUTAOxD, nJxljgdToQtsyNVpLvG ....

Danke für Eure Hilfe - werde jetzt mal versuchen die Fotos zu entschlüssen.
Anmerkung: Die Outlookdateien sind nicht betroffen.

Scanns mit Malware und Eset haben folgendes zu Tage befördert:

Code:

Malwarebytes Anti-Malware (Trial) 1.62.0.1300
www.malwarebytes.org

Database version: v2012.07.20.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
saturn :: USER-6311644867 [administrator]

Protection: Disabled

20.07.2012 20:07:28
mbam-log-2012-07-20 (20-24-13).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 313181
Time elapsed: 16 minute(s), 13 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe (Security.Hijack) -> No action taken.

Registry Values Detected: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|jjlnurxt (Trojan.Phex.THAGen1) -> Data: C:\DOKUME~1\saturn\LOKALE~1\Temp\Mlynwryipsf\bmlynwurxt.exe -> No action taken.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Data: 1 -> No action taken.

Registry Data Items Detected: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bad: (1) Good: (0) -> No action taken.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.

Folders Detected: 0
(No malicious items detected)

Files Detected: 2
C:\Dokumente und Einstellungen\saturn\Lokale Einstellungen\Temp\Mlynwryipsf\bmlynwurxt.exe (Trojan.Phex.THAGen1) -> No action taken.
C:\Dokumente und Einstellungen\saturn\Lokale Einstellungen\Temp\ryipsfhkzc.pre (Trojan.Phex.THAGen1) -> No action taken.

(end)

Code:

C:\Dokumente und Einstellungen\saturn\Desktop\Einzelheiten.zip       
C:\Dokumente und Einstellungen\saturn\Lokale Einstellungen\Anwendungsdaten\Microsoft\CD Burning\Einzelheiten.zip        Win32/Trustezeb.C trojan
C:\Dokumente und Einstellungen\saturn\Lokale Einstellungen\Temporary Internet Files\OLK7\Einzelheiten (2).zip        Win32/Trustezeb.C trojan
C:\Dokumente und Einstellungen\saturn\Lokale Einstellungen\Temporary Internet Files\OLK7\Einzelheiten.zip        Win32/Trustezeb.C trojan
C:\WINDOWS\pss\clmnyurxt.exeStartup        a variant of Win32/Kryptik.AIHB trojan


cosinus 23.07.2012 11:37

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:05 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131