Zitat:

Zitat von Wavetable

Gesichert wurden von mir der REG-Eintrag, dieser Ordner, der Ordner ausm Installer-Verz., die ACHTUNG-LESEN.txt vom Desktop, Ein Ordner mit EXE-Datei aus %APPDATA%.

moin moin,
den Dropper selbst hast Du nicht mit gesichert?

Gruß Volker

@ Undertaker (Volker)

Muss ich ganz ehrlich gestehen...was genau meinst Du/meinen Sie damit (also welche Datei)?


Grüße,
Wavetable

den Trojaner, also die Datei im Anhang der Mail.
Wenn Du so willst, den Installer des Virus.

@ Undertaker,

tut mir leid - den habe ich aktuell nicht.
Ich frage mal eben an ob diese Person die Mail evtl. noch im gelöscht Ordner hat.
Melde mich sobald ich Neuigkeiten dazu habe.


Grüße,
Wavetable

@ Undertaker

Hast ne PN...(hoffe ich zumindest, denn mein Postausgang zeigt keine an...*grübel*).


Grüße,
Wavetable

Servus allerseits.... mich würd schon mal interessieren, wie viele Personen oder Pc´s von dieser Geschichte betroffen sind.... Weis da jemand was darüber??

Schönen Sonntag noch..

@ Sakradi

Also ich habe zumindest mal irgendwo was gelesen das der Verschlüsselungstrojaner wohl ein "Versuchsballoon" in Deutschland sei.
Ob das stimmmt - keine Ahnung.

Rein vom Gefühl her könnte es aber stimmen, da ich mit diesem Verschlüsselungs-Trojaner (CTsdysRTVYXdC - Dateien) bislang nur "Deutsche Kunden" hatte.
Leute die aus Österreich oder der Schweiz oder Frankreich an mich rantreten, waren bislang immer mit dem "alten" BKA/GEMA/GVU/Bundespolizei-Nervtöter infiziert oder hatten im schlimmsten Fall "locked-DATEINAME.wxyz" Varianten.

Genaue Zahlen bzgl. der aktuellen Variante kann ich damit leider aber nicht liefern.


Grüße,
Wavetable

wie viele Versionen gibt es eigentlich mittlerweile? Ich habe gerade 2 (für mich neue) hochgeladen.
Laufen die Versionen jeweils mit unterschiedlichen Servern?

Gruß
Joh

Zitat:

Zitat von JohX

wie viele Versionen gibt es eigentlich mittlerweile? Ich habe gerade 2 (für mich neue) hochgeladen.
Laufen die Versionen jeweils mit unterschiedlichen Servern?

Gruß
Joh

http://www.trojaner-board.de/117117-...tml#post844804

Zitat:

Zitat von Wavetable

Rein vom Gefühl her könnte es aber stimmen, da ich mit diesem Verschlüsselungs-Trojaner (CTsdysRTVYXdC - Dateien) bislang nur "Deutsche Kunden" hatte.

Es gibt zumindest einen englischen Kunden.

Tech Support Guy

Volker

Es gibt zumindest einen englischen Kunden.

Tech Support Guy

Volker[/QUOTE]

hey volker,
meine freundin gat sich das teil bei yahoo.de eingefangen und sie war gott sei dank nicht mit der domain verbunden.mein mail scanner hätte das teil nicht zugelassen.

außerdem Republik of Ireland, nicht england, grrrr.

Hallo zusammen!

Ein Freund von mir hatte ebenfalls Probleme mit diesem Virus. Allerdings stellte sich sein Problem noch etwas anders dar, als es hier überwiegend geschildert wird. Bei dem Rechner handelt es sich um einen ca. 8 Jahre alten IBM ThinkPad (lenovo 60) Centrino Duo, mit Windows XP Professional SP3.

Nach dem Boot-Vorgang erscheint normal die Login-Maske und fragt nach dem Passwort. Nachdem dieses eingegeben wurde, erscheint für etwa 1 Sekunde das Hintergrundbild, gelegentlich auch noch die Desktop-Icons, dann wird der Bildschirm schwarz und es erscheint das hier im Thema vorgestellte Bild der gefälschten Warnmeldung und der Zahlungsaufforderung. Vom Desktop ist nichts zu sehen.

Die Tastenkombination strg-alt-entf beseitigt den Trojaner-Bildschirm und führt zum klassischen XP-Menü auf schwarzem Hintergrund, das unter anderem die Schaltfläche zum Herunterfahren beinhaltet. Die Schaltfläche zum Aufrufen des Task-Managers ist ausgegraut. Der Task-Manager kann nicht aufgerufen werden. Wird die Schaltfläche Herunterfahren aktiviert, dann gelangt man kurzzeitig auf den Desktop. Keines der Icons scheint verschlüsselt zu sein. Es erscheinen diverse Medlungen, dass Prozesse nicht reagieren und zwangsweise beendet werden. Während dieses Vorgangs ist es nicht möglich irgendein Programm noch auszuführen. Der Computer fährt schließlich herunter.

Der Computer verfügt über ein eigenes "Rescue and Recovery 3" System, nach eigener Angabe basierend auf ThinkVantage Technologie. Dieses kann während des Bootvorgangs mit dem blauen ThinkVantage-Button aufgerufen werden, eine Besonderheit des Computerkeyboards. Nachdem mir die hier geforderten Maßnahmen wie OLT.EXE oder gar die Installation bestimmter Antivirenprogramme aufgrund der Sperrung des Desktop durch den Trojaner nicht möglich war, habe ich dieses Programm während des boot-Vorgangs gestartet. Hier konnte ich Zugriff auf das Dateisystem nehmen. Die Dateien waren nicht umbenannt worden. Es war auch möglich, von den Dateien im Rahmen des Programms eine Sicherung anzulegen. Allerdings war es nicht möglich, die Dateien auf einem UB-Stick zu speichern oder gar auf eine CD zu brennen, obwohl die Hilfe dieses Programms diese Möglichkeiten explizit nannte. Die Dateien wurden wohl auf einer internen Partition gespeichert. Ich war mir zu diesem Zeitpunkt noch nicht sicher, ob die Dateien nun verschlüsselt sind oder nicht, war aber insofern vorsichtig optimistisch, weil das Programm sie kopieren konnte.

Ich besorgte mir schließlich von einem Bekannten, der in der EDV-Betreuung eines Unternehmens arbeitet, eine Windows XP-Boot-CD. Mit dieser ließ sich das System zunächst auch starten. Tatsächlich erschien der Trojanerbildschirm nach dem Einloggen zunächst nicht. Das System arbeitete aber sehr langsam. Der USB-Stick konnte gelesen werden, allerdings nach etwa einer Minute erschien der Trojanerbildschirm. Damit war ein Arbeiten auf dem Desktop nicht mehr möglich. Neustarts auch mit der Boot-CD brachten jetzt immer den Trojanerbildschirm von Anfang an.

Daher startete ich einen neuen Versuch mit einer im Internet verfügbaren Linux SystemrecoveryCD, die von CHIP online angeboten wird. Ein Boot mit dieser CD war jedoch nicht möglich. Die CD führte zu einem Black-Screen/Freeze während des "Loading modules"-Vorgangs. Ein weiterer Versuch mit einer Knoppix-LiveCD scheiterte ebenfalls. Schließlich stieß ich auf den Trinity Rescue Kit, der ebenfalls Linux basiert ist. Damit war es mir möglich über den Midnight Commander sämtliche Dateien auf einen USB-Stick zu kopieren und auf einen anderen Rechner (ohne wichtige Daten) zu übertragen. Gründliche Virenscans mit allen bekannten Programmen haben keine Funde angezeigt. Die Dateien sind nicht verschlüsselt oder sonstwie beschädigt und können normal genutzt werden.

Da somit alle Daten gerettet werden konnten, steht einer kompletten Neuinstallation des Systems nichts mehr im Wege. Insofern brauche ich diesbezüglich auch keine Hilfe mehr. Die Frage, die ich hier habe ist:

Was kann ich noch tun, bevor ich eine komplette Neuinstallation durchführe, um Euch bei der Erforschung/Bekämpfung dieses Virus zu helfen?

Dabei wäre zu beachten, dass es nicht ohne weiteres möglich ist, Programme auf dem Computer zu installieren, da der Trojaner hier jede Möglichkeit sperrt.

Mein Freund und seine Frau konnten mir keinerlei Hinweise darauf geben, wie der Virus auf den Computer gekommen ist. Nach ihrer Aussage wurden keine unbekannten Emailanhänge geöffnet. Man muss dazu sagen, dass beide sehr, sehr wenig Ahnung von Computer haben, weswegen sie sich auch an mich gewandt hatten. Wobei ich selber jetzt auch kein ausgesprochener Computerspezialist bin. Jedenfalls weiß ich nicht genau, wie bzw. wo ich die Schädlingsdatei finde und wie ich sie ggf. sicher, dh ohne andere Rechner zu gefähren, an Euch zwecks Analyse weiterleiten kann. Ich bin mir jetzt auch nicht sicher, ob der Virus eine ältere oder ganz neue bislang unbekannte Variante dieses Trojaners darstellt oder der Virus lediglich durch besondere Umstände an seiner eigentlich vorgesehenen Ausführung gehindert wurde.

Zitat:

Zitat von EinRing

Mein Freund und seine Frau konnten mir keinerlei Hinweise darauf geben, wie der Virus auf den Computer gekommen ist. Nach ihrer Aussage wurden keine unbekannten Emailanhänge geöffnet.

Sie werden Dich nicht angelogen haben, denn das müssen sie nicht unbedingt gemerkt haben. Es ist nicht unbedingt so, daß da nach dem Klick auf den Dateianhang noch irgendetwas von dem passieren muß, was man beim Umgang mit zip-Dateien so kennt.

Zitat:

Ich bin mir jetzt auch nicht sicher, ob der Virus eine ältere oder ganz neue bislang unbekannte Variante dieses Trojaners darstellt oder der Virus lediglich durch besondere Umstände an seiner eigentlich vorgesehenen Ausführung gehindert wurde.

Nach den Ausführungen im Delphi-Forum zu urteilen, gibt es wöchentlich eine aktualisierte Variante.

Meine Infektion stammt von heute morgen 01:00, ist infolgedessen wohl die aktuellste Version.

Ich habe die betroffene Festplatte danach ausgebaut (2,5" S-ATA aus einem Fujitsu Livebook 320 GB, Windows 7 -64) und betreibe den Rechner von einer externen Festplatte, auf die ich ein Linux installiert habe.

Wenn jemand aus der Hamburger Gegend Interesse hat, sich die Platte anzusehen, würde ich sie gerne (ggf. auch noch heute, wenn man den Treffpunkt per PN vereinbaren kann) persönlich leihweise übergeben. Die Daten sind zum überwiegenden Teil Bilder im jpeg- und im NEF-Format. Auf die während der Infektion angeschlossene CF-Karte konnte ich danach von der Live-DVD der Linux-Welt noch zugreifen.

hallo ich habe losung ,, ist geknakt Trojan.DownLoader6.13806 für entschlussen bite hier Trojan.Matsnu.1 runterladen

What?!

Zitat:

Zitat von wolniy

hallo ich habe losung ,, ist geknakt Trojan.DownLoader6.13806 für entschlussen bite hier Trojan.Matsnu.1 runterladen

geht's vieleicht ein wenig deteilierter bitte?
wenn es wirklich funktioniert "gaaaanz tiefer kotau"

Hacker schickte einen Brief auf Deutsch geschrieben und hat einen Header, der den Namen des Empfängers enthält. Die Nachricht enthält eine angehängte zip-Datei mit einem Namen oder Abrechnung Rechnung. Versuchen zu laufen eingebettet in diesen Dateien das Programm führt zu der Tatsache, dass alle Dateien auf dem Computer des Opfers Festplatte verschlüsselt wird.

Das Risiko für die Benutzer, in diesem Fall ist ein bösartiges Programm, das den Namen erhielt Trojan.Matsnu.1 . Im Laufe des letzten Tages im technischen Support von "Doctor Web," gab es mehr als 50 Beschwerden von Personen durch die Wirkung des Trojanischen betroffen - im Grunde, die Menschen in Deutschland.

Experten der Firma "Doctor Web" in kürzester Zeit analysiert Malware Trojan.Matsnu.1 und entwickelte ein spezielles Tool, das Benutzer-Daten zu dekodieren können. Dieses Programm kann kostenlos heruntergeladen werden bei ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe . Wenn Sie Entschlüsseln von Dateien mit dem Dienstprogramm weder dem Prozess vollständig ausgeführt wurde, können Sie sucht Hilfe aus dem Virenlabor von "Doctor Web", indem Sie eine Fahrkarte in die Kategorie der " Antrag auf Behandlung . " Dieser Service ist kostenlos.

klappt super.... nür für entschlussen brauchen sie eine original detei und verschlüsselte das was.