Ich habe mir jetzt mal erlaubt, in der Delphi-Praxis ein Posting zu setzen, welches um Hilfe bittet und auf dieses Posting verweist.
Mein Aufruf: hxxp://www.delphipraxis.net/168380-verschluesselungs-trojaner-hilfe-benoetigt.html

Hallo

ich habe einen Debugger und Urlaub. Gibt es einen Downloadlink oder kann mir jemand den Virus zuschicken?

Viele Grüße
Marcus

Hi,

hier haben wir noch die Mail gefunden.. Folgender Text :

Zitat:

x-store-info:4r51+eLowCe79NzwdU2kR3P+ctWZsO+J
Authentication-Results: hotmail.com; sender-id=pass (sender IP is 213.165.64.22) header.from=mariogiruc@gmx.de; dkim=none header.d=gmx.de; x-hmca=pass
X-SID-PRA: mariogiruc@gmx.de
X-SID-Result: Pass
X-DKIM-Result: None
X-Message-Status: n:0:n
X-AUTH-Result: PASS
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTE7YT0xO0Q9MjtHRD0yO1NDTD0w
X-Message-Info: 11chDOWqoTlp63+edO4uCpV4D9Wh4/n01HNKxB1VfZ1l5Rr+M5ZDA/GfJ4Vm9Y1HFox4f7k23+0gP5/IRXWr6rQ62GJwDL74lEiBjKnnCJAD5AvV1GioPi8U9LwJEi8M3Gz8lVy8GtLEULmjLvO3Lw==
Received: from mailout-de.gmx.net ([213.165.64.22]) by SNT0-MC4-F48.Snt0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
Wed, 16 May 2012 19:10:45 -0700
Received: (qmail invoked by alias); 17 May 2012 02:10:43 -0000
Received: from 71-13-98-142.static.mrqt.mi.charter.com (EHLO AppServer) [71.13.98.142]
by mail.gmx.net (mp010) with SMTP; 17 May 2012 04:10:43 +0200
X-Authenticated: #67981643
X-Provags-ID: V01U2FsdGVkX1/DdcZonmrD7fSBljRHFUiWqUO+SycxWgOyoPJF/a
e2HM1lNtws3lVH
MIME-Version: 1.0
Date: Wed, 16 May 2012 22:10:42 -0400
X-Priority: 3 (Normal)
X-Mailer: The Bat! (v2.00.9) Personal
Subject: Ihre Bestellung 01943069523
From: mariogiruc@gmx.de
To:***********@hotmail.de
Content-Type: multipart/mixed;
boundary="-----_chilkat_20d_a271_7a48b7aa.ced45a7d_.MIX"
Message-ID: <CHILKAT-MID-75f82105-cd99-2663-beff-5815510a2e0a@AppServer>
X-Y-GMX-Trusted: 0
Return-Path: mariogiruc@gmx.de
X-OriginalArrivalTime: 17 May 2012 02:10:45.0739 (UTC) FILETIME=[450003B0:01CD33D2]

This is a multi-part message in MIME format.

-------_chilkat_20d_a271_7a48b7aa.ced45a7d_.MIX
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

Sehr geehrte Damen und Herren,

Besten Dank für Ihren Kauf bei Berlet.de, nachfolgend finden Sie Ihre Einkaufsbestätigung.

Deine Antragsnummer: 895255877879
Artikel: BenQ 6836375885 8957,01 Euro
Rechnungsname: Wie in Vertragsdetails abgebildet


Zahlungsmethode: Bankeinzug

Versandadresse und detaillierte Bestelldetails finden Sie aus Vorsichtsgründen im zugefügtem Zip Ordner.

Die Zahlung wurde autorisiert und wird innerhalb 2 Tage abgebucht.
Rechnungsauflistung und Widerruf Hinweise finden Sie im zugefügtem Zip Ordner.


Ihr Kundensupport

Ludwig GmbH
Dahrendorfweg 94
76750 Bremen

Telefon: (+49) 065 9160180
(Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr)
Gesellschaftssitz ist Augsburg
Umsatzsteuer-ID: DE635030345
Geschäftsfuehrer: Annika Wolf

@Mar
Schich mir mal deine Email-Adresse, dann schicke ich sie dir zu.

Grüße

Hallo Marcus

Bei mir sieht das auch aus wie von Forrest beschrieben. Der trojaner war wohl in der Datei Rechnung.com hinterlegt.
Wenn du mir deine Mailadresse gibts kann ich dir das Mail weiterleiten.
Danke

mfg SamF

Wie es aussieht hab ich den Trojaner bei mir wieder entfernt, es wurden auch keine Dateien verschlüsselt.
Nachdem ich anfangs gar keinen Zugriff auf mein System mehr hatte (auch nicht mehr über den abgesicherten Modus), hab ich mir eine 2. Windows-installation gemacht. Mit dieser hab ich dann die 1. Installation mit den neuesten Updates von Avira geprüft, und siehe da es wurde 2x der Trojaner Matsnu.A.19 gefunden. Nach der Entfernung der Trojaner komme ich wieder in die ursprüngliche Windows-installation rein, und habe bisher keine Fehler oder veränderungen gefunden.
Werde mir die 2. Installation einfach für den Fall behalten daß so etwas wieder mal vorkommt.

mfg SamF

Ich habe nochmal ein Testreihe mit reinen ASCII gefahren. Im Anhang.

Edit:
Die Dateien unterhalb ASCII_unlesbar sind die vom Trojaner veränderten Dateien, die Dateien unterhalb ASCII_lesbar sind die Originaldateien. Auch wenns nicht danach aussieht, alle Dateien haben Textinhalt.

Michael

@ leahciM: Hast Du die unbefallenen Dateien vom Virus verändern lassen? Oder hast Du die veränderten Dateien wieder zurückkonvertiert in richtige Dateinamen? Wäre sehr hilfreich, wenn´s so wäre. Bei einem meiner Kunden hat´s heftig viele Dateien erwischt.

Andreas

@uwenru
wegen der pc bereinigung, bitte thema in logfiles eröffnen.
@Mar
melde dich per pm bei mir. dann können wir das sicher regeln.


@Forrest74 *
@SamF
@Ben8472

an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

@fischer_andy

Ich habe eine Textdatei erstellt mit A..Z, a..z und 1..9. Die habe ich kopiert und ihr andere Namen gegeben.
Dann in die virtuelle Maschine und den Trojaner ausgeführt.
Das Ergebnis kannst Du dort sehen.

Auch mich bzw. meine Mutter hat der Virus erwischt. In einer Mail war der Trojaner als Anhang dabei und meine Mutter hat aus Unwissenheit und mit der Angst vor einer offenen Rechnung von über 5000€ die .zip auch noch aufgemacht. Nun haben wir den Salat. Die Daten konnte ich mittels Ubuntu Live CD retten jedoch sind sie wie auch bei vielen anderen hier verschlüsselt mit wirren Groß- und Kleinbuchstaben und ohne Dateiendung.

Ich habe versucht die Mail an Markus weiterzuleiten jedoch bekam ich dabei von GMX eine Meldung, dass die Mail Viren beinhaltet. Wenn mir wer sagen kann wie ich die Mail dennoch an ihn schicken kann wäre ich sehr dankbar.

Hier wäre der Text von der Mail an sich:

Zitat:

Zitat von nalam80@yahoo.co.in

Sehr geehrte Damen und Herren,

Danke für Ihren Einkauf bei Otto, nachfolgend finden Sie Ihre Vertragsbestätigung.

Deine Antragsnummer: 556740546663
Artikel: Sockel 3855869290 5775,17 Euro
Rechnungsname: Wie in Vertragsdetails dargestellt


Zahlungsmethode: Paypal

Versandadresse und detaillierte Rechnungsdaten finden Sie wegen Securitymassnahmen in beigefügtem Anhang.

Die Überweisung wurde autorisiert und wird innerhalb 2 Tage abgetragen.
Artikelauflistung und Widerspruch Mitteilung finden Sie im zugefügtem Zip Ordner.


Ihr Support-Team

Krause GmbH
Blostwiete 78
90393 Augsburg

Telefon: (+49) 986 1660525
(Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr)
Gesellschaftssitz ist Amäneburg
Umsatzsteuer-ID: DE606623325
Geschäftsfuehrer: Nina Vogt

Ich hoffe, dass es bald eine Möglichkeit gibt die Daten zu retten. Vielen Dank schonmal von meiner Seite.

@Edi
Probiere mal den Upload-Channel aus
http://www.trojaner-board.de/54791-a...ner-board.html
.

moin moin Edivion,
einfach weiterleiten ist nicht gut.
Ich speichere die Dinger aus TheBat! als EML-Datei.
Vorsichtshalber zippe ich die nochmal und schicke die ZIP dann an Markus.

Gruß Volker

Ich kann das Mail auch nicht weiterschicken, wäre besser wenn GMX das heute morgen schon verhindert hätte.
Bin ich eigentlich der einzige bei dem keine Daten verschlüsselt wurden?
Wenn ja, stellt sich die Frage warum ich dieses Glück hatte...

Glaut Ihr, dass der Dateiname so verschlüsselt wurde, dass er auch wieder hergestellt werden kann? Oder dass der Dateiname in den Datei-Inhalt geschlüsselt wurde? Alles Andere wäre sehr sehr schlimm. Es wurden ja nicht nur .jpg´s und sonstige gebräuchliche Datei-Endungen zerschossen, sondern auch so "banale" Dinge wie eMail-Datenbanken (Mozilla), FritzFax (Datenbank) usw...

Es hängt also viel mehr dran, als aufgrund des Inhalts die Datei-Endung wiederherzustellen. Der frühere Dateiname wäre fast schon "existenziell wichtig".

(Jetzt bitte keine Diskussionen über Backups usw... Es handelt sich um Rechner von Kunden, die betroffen sind. Ich kann nix dafür)

mich hat es heute auch erwischt und ich bin noch verzweifelt am stöbern. kenne mich als weibchen nur minimal mit der marterie aus, deshalb hoffe ich hier bald einen thread eröffnen zu können. zum glück funktioniert mein abgesicherter modus noch. ich werde mal versuchen die mail hier reinzukopieren:
Guten Tag sehr geehrter Kunde,

Sie haben gerade bei TERRAPflanzenhandel die Premiummitgliedschaft erworben. Die Zahlung in Höhe von 127,89 EUR wird in den folgenden Tagen von Ihrem Girokonto abgeschrieben.

Sie sind jetzt für die nachfolgenden 18 Monate Star-Mitglied und können in voller Größe die Starangebote nutzen.

Zahlungsaufforderungen sind aus Vorsichtsgründen laut dem $ 6f, 8d BDSG, aus dem beigefügtem Anhang zu konrollieren.
Die Stornierung der Sonderdienste, ist mit der im zugefügtem Zip Ordner mitgelegten Wiederrufungserklärung an Jonas@Heinrich-kanzlei.de zu mailen.

Ihr E-Mail-Support

Buzzcube GmbH
Bergmannring 53
66808 München

Tel: (+49) 126 93657286
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 9.00 bis 17.00 Uhr)
Gesellschaftssitz: Bad Berleburg
Umsatzsteuer-Id: DE651662247 Geschäftsfuehrer: David Lang

Als Anhang gibt es eine zip datei...
ich bin echt sauer hoffentlich kann ich das wieder hinbekommen!