Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Verschlüsselungstrojaner 25.05.2012

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.05.2012, 09:08   #1
Shooan
 
Verschlüsselungstrojaner 25.05.2012 - Standard

Verschlüsselungstrojaner 25.05.2012



Hi,

ich habe auch auf einem Rechner diesen Trojaner drauf. Entfernt ist er schon, aber nun sind natürlich alle Dateien Verschlüsselt. Die Dateien Werden noch korrekt angezeigt mit [Dateiname].[Endung], lassen sich aber nicht mehr öffnen. Wenn man sie Öffnen lassen dann steht nur Kryptischer Schrott drinnen.

Die E-Mail mit dem Plagegeist konnte noch gerettet werden.

Code:
ATTFilter
bgilland@cfl.rr.com 

Betreff:
Ihre Premiumbuchung Nummer 698525061

Vielen Dank für Ihren Auftrag,

Sie haben gerade bei der Dating-Agentur www.Parship.de die Premiummitgliedschaft gekauft. Die Zahlung in Höhe von 357,29 EUR wird in den kommenden Tagen von Ihrem Konto abgetragen. Die Abrechnung erfolgt durch Pugyment GmbH.


Sie sind jetzt für die kommenden 12 Monate Starklient und dürfen in voller Grösse die Eliteangebote nutzen. 
Entnehmen Sie die Rechnungen bitte dem beigefügtem Anhang, dort finden Sie auch die Vertragseinzeilheiten und Premiumdienstvorteile. Falls Sie die Starmitgliedschaft nicht mehr möchten, mailen Sie die Kündigung, mit der in dem Zusatzordner in der E-Mail, beigelegten Widerrufserklärung.

Das Team wünscht dir viel Spaß.

Mit freundlichen Grüßen Josef Fischer
Serviceteam


Kiel 29240 Deutschland
TEL: +49-343-36354699

Geschäftsleiter: Manfred Schneider
Inhaltlich Verantwortlicher gemäss § 6 MDStV: Michael Peters
Datenschutzbeauftragter: Hans Auer
UST-Nr.: DE8166628628
Amtsgericht Essen
         
Habe den Trojaner mal als Anhang hinzugefügt.

Werde nun die 7 Tools mal durchprobieren ob man die Daten damit die Dateien wieder entschlüsseln kann.

Log von Malwarebyts
Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.24.01

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
admin :: COMPUTER [Administrator]

Schutz: Aktiviert

24.05.2012 08:22:55
mbam-log-2012-05-24 (08-22-55).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 399302
Laufzeit: 13 Stunde(n), 24 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 6
C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Pndysnkix\738DD5EFA4CC458A65FA.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\jvsflinrzt.pre (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\ldyrnpatcv.pre (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\mfwtqxohrn.pre (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\mrgfbewsvc.pre (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Acronis\TrueImageHome\Logs\Donnerstag__12__Januar_2012_13_00_02.log (Extension.Mismatch) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
LOG von AVIRA
Code:
ATTFilter
Avira / Linux Version 1.9.152.0
Copyright (c) 2010 by Avira GmbH
All rights reserved.
engine set:         8.2.10.68
VDF Version:        7.11.30.194
Scan start time: Wed May 23 12:32:42 2012
configuration file: /etc/avira/scancl.conf
WARNING: [Bad archive header] /media/Devices/sda1/Dokumente und Einstellungen/admin/Anwendungsdaten/Mozilla/Firefox/Profiles/!!!! ldbqg8ik.default_leer/extensions/{20a82645-c095-46ed-80e3-08825760534b}/chrome/chrome_user.jar


WARNING: [Bad archive header] /media/Devices/sda1/Dokumente und Einstellungen/admin/Anwendungsdaten/Mozilla/Firefox/Profiles/ldbqg8ik.default/extensions/autopager@mozilla.org.xpi


WARNING: [Bad archive header] /media/Devices/sda1/Dokumente und Einstellungen/admin/Anwendungsdaten/Mozilla/Firefox/Profiles/ldbqg8ik.default/extensions/{20a82645-c095-46ed-80e3-08825760534b}/chrome/chrome_user.jar


WARNING: [Bad archive header] /media/Devices/sda1/Dokumente und Einstellungen/admin/Anwendungsdaten/Mozilla/Firefox/Profiles/ldbqg8ik.default/extensions/{3112ca9c-de6d-4884-a869-9855de68056c}/chrome/google-toolbar.jar


WARNING: [Bad archive header] /media/Devices/sda1/Dokumente und Einstellungen/admin/Anwendungsdaten/Mozilla/Firefox/Profiles/ldbqg8ik.default/extensions/{5786d022-540e-4699-b350-b4be0ae94b79}/chrome/ashampoo_de.jar


WARNING: [Bad archive header] /media/Devices/sda1/Dokumente und Einstellungen/admin/Anwendungsdaten/OpenOffice.org/3/user/config/standard.sob


WARNING: [Bad archive header] /media/Devices/sda1/Dokumente und Einstellungen/admin/Eigene Dateien/Danke Deutschland.docx


WARNING: [Bad archive header] /media/Devices/sda1/Dokumente und Einstellungen/admin/Eigene Dateien/Die Fischerchöre.docx


WARNING: [Bad archive header] /media/Devices/sda1/Dokumente und Einstellungen/admin/Eigene Dateien/Einladung Adelsried 21.01.2012 Entwurf.docx


WARNING: [Bad archive header] /media/Devices/sda1/Dokumente und Einstellungen/admin/Eigene Dateien/Abmelden.zip


WARNING: [Bad archive header] /media/Devices/sda1/Dokumente und Einstellungen/admin/Eigene Dateien/main.ppsm


WARNING: [Bad archive header] /media/Devices/sda1/Dokumente und Einstellungen/admin/Eigene Dateien/Personalbogen.zip


WARNING: [Bad archive header] /media/Devices/sda1/Dokumente und Einstellungen/admin/Eigene Dateien/Power-Argumente.zip


WARNING: [Bad archive header] /media/Devices/sda1/Dokumente und Einstellungen/admin/Eigene Dateien/Downloads/Handbuch-1-34.zip


WARNING: [Bad archive header] /media/Devices/sda1/Dokumente und Einstellungen/admin/Eigene Dateien/Downloads/Personalbogen_mx.zip


WARNING: [Bad archive header] /media/Devices/sda1/Dokumente und Einstellungen/admin/Eigene Dateien/Downloads/Power-Argumente.zip


WARNING: [Bad archive header] /media/Devices/sda1/Dokumente und Einstellungen/admin/Eigene Dateien/Downloads/banners_sozial10000.zip


WARNING: [Bad archive header] /media/Devices/sda1/Dokumente und Einstellungen/admin/Eigene Dateien/Downloads/Dictionaries/Personalbogen_mx.zip


WARNING: [Bad archive header] /media/Devices/sda1/Dokumente und Einstellungen/admin/Eigene Dateien/Downloads/Email-Finder-Setup-ak-185081-HK.zip


WARNING: [Bad archive header] /media/Devices/sda1/Dokumente und Einstellungen/admin/Eigene Dateien/Downloads/skat_win.zip


WARNING: [Bad archive header] /media/Devices/sda1/Dokumente und Einstellungen/admin/Eigene Dateien/Downloads/Telefon-Leitfaden_maxx.zip


WARNING: [Bad archive header] /media/Devices/sda1/Dokumente und Einstellungen/admin/Eigene Dateien/Downloads/VAE-PSF.zip


WARNING: [Bad archive header] /media/Devices/sda1/Dokumente und Einstellungen/admin/Eigene Dateien/Eigene Scans/2012-02 (Feb)/Scannen0006.zip


WARNING: [Bad archive header] /media/Devices/sda1/Dokumente und Einstellungen/admin/Lokale Einstellungen/Anwendungsdaten/Ashampoo_DE/Repository/conduit_CT2481020_CT2481020/DynamicDialogs/data.bck.txt


WARNING: [Bad archive header] /media/Devices/sda1/Dokumente und Einstellungen/admin/Lokale Einstellungen/Anwendungsdaten/Ashampoo_DE/Repository/conduit_CT2481020_CT2481020/DynamicDialogs/data.txt


WARNING: [Bad archive header] /media/Devices/sda1/Dokumente und Einstellungen/All Users/Anwendungsdaten/AVG Secure Search/10.2.0.3/chrome/avg.jar


WARNING: [Bad archive header] /media/Devices/sda1/Dokumente und Einstellungen/All Users/Anwendungsdaten/AVG Secure Search/9.0.0.23/chrome/avg.jar


WARNING: [Bad archive header] /media/Devices/sda1/Dokumente und Einstellungen/All Users/AXA/FosBtDb/mandantDB.jar


WARNING: [Bad archive header] /media/Devices/sda1/EAS/activation-1.1.jar


WARNING: [Bad archive header] /media/Devices/sda1/EAS/ant-1.7.1.jar


WARNING: [Bad archive header] /media/Devices/sda1/EAS/commons-beanutils-1.8.0.jar


WARNING: [Bad archive header] /media/Devices/sda1/EAS/commons-collections-3.2.1.jar


WARNING: [Bad archive header] /media/Devices/sda1/EAS/commons-collections-3.2.jar


WARNING: [Bad archive header] /media/Devices/sda1/EAS/commons-io-1.4.jar


WARNING: [Bad archive header] /media/Devices/sda1/EAS/commons-lang-2.4.jar


WARNING: [Bad archive header] /media/Devices/sda1/EAS/commons-logging-1.1.1.jar


WARNING: [Bad archive header] /media/Devices/sda1/EAS/Bf.jar


WARNING: [Unexpected end of file] /media/Devices/sda1/Programme/AXA-BT/Colserv/W_run/VINFO32.dll


WARNING: [File is encrypted] /media/Devices/sda1/Programme/Volkswohl Bund/Programm/Tools/VB_Update/vb_update.dat


WARNING: [Bad archive header] /media/Devices/sda5/AmicusDVD/Amicus-DVD/EXE-Dateien/MLR/mlr_leasing.zip


WARNING: [Bad archive header] /media/Devices/sda5/AmicusDVD/Amicus-DVD/Videothek/IVAG/1 Beratersoftware/1.2 abs-Beratersoftware_Variante 1/1.2.1_mediakit.zip


WARNING: [Bad archive header] /media/Devices/sda5/AmicusDVD/Amicus-DVD/Videothek/IVAG/1 Beratersoftware/1.2 abs-Beratersoftware_Variante 1/1.2.2_IFK_Deutschland1.zip


WARNING: [Bad archive header] /media/Devices/sda5/AntiVir PersonalEdition Classic/sweb.zip


WARNING: [Bad archive header] /media/Devices/sda5/BHKWGFEalles/BHKW/BHKW/Formulare/Berater-BESTA¦êTIGUNG GFE.docx


WARNING: [Bad archive header] /media/Devices/sda5/BHKWGFEalles/BHKW/BHKW/Formulare/Formulare/Berater-BESTA¦êTIGUNG GFE.docx


WARNING: [Bad archive header] /media/Devices/sda5/BHKWGFEalles/BHKW/BHKW/Formulare/Formulare/Formulare/Berater-BESTA¦êTIGUNG GFE.docx


WARNING: [Bad archive header] /media/Devices/sda5/BHKWGFEalles/BHKW/Formulare/Berater-BESTA¦êTIGUNG GFE.docx


WARNING: [Bad archive header] /media/Devices/sda5/BHKWGFEalles/BHKW/Formulare/Formulare/Berater-BESTA¦êTIGUNG GFE.docx


WARNING: [Bad archive header] /media/Devices/sda5/BHKWGFEalles/BHKW/Formulare/Formulare/Formulare/Berater-BESTA¦êTIGUNG GFE.docx


WARNING: [Bad archive header] /media/Devices/sda5/BHW_Bausparen/apache-tomcat-5.5.28/bin/bootstrap.jar


WARNING: [Bad archive header] /media/Devices/sda5/BHW_Bausparen/apache-tomcat-5.5.28/bin/commons-logging-api-1.1.1.jar


WARNING: [Bad archive header] /media/Devices/sda5/BHW_Bausparen/apache-tomcat-5.5.28/bin/tomcat-juli.jar


WARNING: [Bad archive header] /media/Devices/sda5/BHW_Bausparen/apache-tomcat-5.5.28/common/i18n/tomcat-i18n-en.jar


WARNING: [Bad archive header] /media/Devices/sda5/BHW_Bausparen/apache-tomcat-5.5.28/common/i18n/tomcat-i18n-es.jar


WARNING: [Bad archive header] /media/Devices/sda5/BHW_Bausparen/apache-tomcat-5.5.28/common/i18n/tomcat-i18n-fr.jar


WARNING: [Bad archive header] /media/Devices/sda5/BHW_Bausparen/apache-tomcat-5.5.28/common/i18n/tomcat-i18n-ja.jar


WARNING: [Bad archive header] /media/Devices/sda5/BHW_Bausparen/apache-tomcat-5.5.28/common/lib/commons-el.jar


WARNING: [Bad archive header] /media/Devices/sda5/BHW_Bausparen/apache-tomcat-5.5.28/common/lib/commons-logging.jar


WARNING: [Bad archive header] /media/Devices/sda5/BHW_Bausparen/apache-tomcat-5.5.28/common/lib/jasper-compiler-jdt.jar


WARNING: [Bad archive header] /media/Devices/sda5/BHW_Bausparen/apache-tomcat-5.5.28/common/lib/jasper-compiler.jar


WARNING: [Bad archive header] /media/Devices/sda5/BHW_Bausparen/apache-tomcat-5.5.28/common/lib/jasper-runtime.jar


WARNING: [Bad archive header] /media/Devices/sda5/BHW_Bausparen/apache-tomcat-5.5.28/common/lib/jsp-api.jar


WARNING: [Bad archive header] /media/Devices/sda5/BHW_Bausparen/apache-tomcat-5.5.28/common/lib/log4j.jar


WARNING: [Bad archive header] /media/Devices/sda5/BHW_Bausparen/apache-tomcat-5.5.28/common/lib/naming-factory-dbcp.jar


WARNING: [Bad archive header] /media/Devices/sda5/BHW_Bausparen/apache-tomcat-5.5.28/common/lib/naming-factory.jar


WARNING: [Bad archive header] /media/Devices/sda5/BHW_Bausparen/apache-tomcat-5.5.28/common/lib/naming-resources.jar


WARNING: [Bad archive header] /media/Devices/sda5/BHW_Bausparen/apache-tomcat-5.5.28/common/lib/servlet-api.jar


WARNING: [Bad archive header] /media/Devices/sda5/BHW_Bausparen/apache-tomcat-5.5.28/extern/fjaRK/data/sstview.zip


WARNING: [Unexpected end of file] /media/Devices/sda5/Eigene Dateien/DatensätzevonBörse ulvdoktor/Datensatzboerse - Reklamation DS Nr  0955602.msg


WARNING: [File is encrypted] /media/Devices/sda5/Eigene Dateien/Programme/rwb/InstallRWBSoft/Angebotssoftware-SwitchAT.exe


WARNING: [File is encrypted] /media/Devices/sda5/Eigene Dateien/Programme/rwb/InstallRWBSoft/Angebotssoftware-SwitchDE.exe


ALERT: [APPL/NirCmd.2] /media/Devices/sda5/Eigene Dateien/Programme/rwb/InstallRWBSoft/nircmd.exe <<< Contains signature of the application APPL/NirCmd.2 [deleted]


ALERT: [APPL/NirCmd.2.B] /media/Devices/sda5/Eigene Dateien/Programme/rwb/InstallRWBSoft/nircmdc.exe <<< Contains signature of the application APPL/NirCmd.2.B [deleted]


ALERT: [APPL/NirCmd.4] /media/Devices/sda5/Eigene Dateien/Programme/rwb/InstallRWBSoft/nircmdv.exe <<< Contains signature of the application APPL/NirCmd.4 [deleted]


WARNING: [Bad compressed data] /media/Devices/sda5/Eigene Dateien/Programme/VideoLAN/VLC/vlc-0.8.6b-win32.exe


WARNING: [Unsupported archive version] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Programme/Gemeinsame Dateien/Adobe/ESD/uninst.exe


WARNING: [Unexpected end of file] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Programme/MPC/Berechnungssoftware Rio V-Schiffe (2,96 MB).zip


WARNING: [File is encrypted] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Programme/MPC/wz81gev.exe --> SETUP.WZ


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/DRIVER21.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_31.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_49.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/BASE4.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/BASE5.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/BASE6.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/DRIVER11.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/DRIVER12.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/DRIVER13.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/DRIVER14.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/DRIVER15.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/DRIVER16.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/DRIVER17.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/DRIVER18.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/DRIVER19.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/DRIVER20.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/NET10.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/NET7.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/NET8.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/NET9.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/PRECOPY1.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/PRECOPY2.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_22.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_23.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_24.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_25.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_26.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_27.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_28.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_29.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_30.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_32.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_33.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_34.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_35.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_36.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_37.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_38.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_39.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_40.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_41.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_42.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_43.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_44.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_45.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_46.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_47.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_48.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_50.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_51.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_52.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_53.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_54.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_55.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_56.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_57.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_58.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_59.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_60.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_61.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_62.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_63.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_64.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_65.CAB


WARNING: [The files in archive are multiple volume] /media/Devices/sda5/alte_Daten/Windows98-Rechner/Setups/win98/WIN98_66.CAB


WARNING: [Unsupported archive version] /media/Devices/sda5/alte_Daten/WindowsXP-Rechner (Backup)/Programme/Gemeinsame Dateien/Adobe/ESD/uninst.exe


WARNING: [File is encrypted] /media/Devices/sda5/Volkswohl Bund/Programm/Tools/VB_Update/vb_update.dat


Statistics :
Directories............... : 20690
Archives.................. : 11420
Files..................... : 1623851
Infected.............. : 3
Deleted........... : 3
Warnings.............. : 142
Suspicious............ : 0
Infections................ : 3
         
LOG von Norman
Code:
ATTFilter
Norman Malware Cleaner v2.05.06
Copyright © 1990 - 2012, Norman ASA.

Norman Scanner Engine Version: 6.08.06
nvcbin.def: Version: 6.08.00, Date: 2012/05/23 14:19:41, Variants: 15264816
nvcmacro.def: Version: 6.08.00, Date: 2012/04/18 18:30:56, Variants: 20466

Operating System: Windows XP Service Pack 3

Switches: /iagree /verbose /cleanrootkit

Scan started: 2012/05/24 08:44:02

Running pre-scan cleanup routine...

Number of malicious objects found: 0
Number of malicious objects cleaned: 0
Scanning time: 0s

Scanning system for active rootkit activity...

Number of malicious objects found: 0
Number of malicious objects cleaned: 0
Number of malicious files found: 0
Number of malicious files cleaned: 0
Scanning time: 1s

Scanning running processes and process memory...

Number of objects found: 1671
Number of objects scanned: 1671
Number of objects not scanned: 0
Number of malicious memory objects found: 0
Number of malicious objects cleaned: 0
Number of malicious files found: 0
Number of malicious files cleaned: 0
Scanning time: 3m 24s

Scanning system for FakeAV...

Number of malicious objects found: 0
Number of malicious objects cleaned: 0
Number of malicious files found: 0
Number of malicious files cleaned: 0
Scanning time: 0s

Running full scan...
C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Pndysnkix\738DD5EFA4CC458A65FA.exe: Error opening file for read: 0x00000005
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat: Error opening file for read: 0x00000020
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG: Error opening file for read: 0x00000020
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\jvsflinrzt.pre: Error opening file for read: 0x00000005
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\ldyrnpatcv.pre: Error opening file for read: 0x00000005
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\mfwtqxohrn.pre: Error opening file for read: 0x00000005
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\mrgfbewsvc.pre: Error opening file for read: 0x00000005
C:\Dokumente und Einstellungen\admin\NTUSER.DAT: Error opening file for read: 0x00000020
C:\Dokumente und Einstellungen\admin\ntuser.dat.LOG: Error opening file for read: 0x00000020
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\IMpServiceEDB4FA23-53B8-4AFA-8C5D-99752CCA7094.lock: Error opening file for read: 0x00000020
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Scans\History\CacheManager\MpScanCache-1.bin: Error opening file for read: 0x00000020
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Scans\MpDiag.bin: Error opening file for read: 0x00000020
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat: Error opening file for read: 0x00000020
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG: Error opening file for read: 0x00000020
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT: Error opening file for read: 0x00000020
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG: Error opening file for read: 0x00000020
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat: Error opening file for read: 0x00000020
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG: Error opening file for read: 0x00000020
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT: Error opening file for read: 0x00000020
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG: Error opening file for read: 0x00000020
C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe: Error opening file for read: 0x00000003
C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.inf: Error opening file for read: 0x00000003
C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.txt: Error opening file for read: 0x00000003
C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\updspapi.dll: Error opening file for read: 0x00000003
C:\WINDOWS\system32\CatRoot2\edb.log: Error opening file for read: 0x00000020
C:\WINDOWS\system32\CatRoot2\tmp.edb: Error opening file for read: 0x00000020
C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb: Error opening file for read: 0x00000020
C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb: Error opening file for read: 0x00000020
C:\WINDOWS\system32\config\default: Error opening file for read: 0x00000020
C:\WINDOWS\system32\config\default.LOG: Error opening file for read: 0x00000020
C:\WINDOWS\system32\config\SAM: Error opening file for read: 0x00000020
C:\WINDOWS\system32\config\SAM.LOG: Error opening file for read: 0x00000020
C:\WINDOWS\system32\config\SECURITY: Error opening file for read: 0x00000020
C:\WINDOWS\system32\config\SECURITY.LOG: Error opening file for read: 0x00000020
C:\WINDOWS\system32\config\software: Error opening file for read: 0x00000020
C:\WINDOWS\system32\config\software.LOG: Error opening file for read: 0x00000020
C:\WINDOWS\system32\config\system: Error opening file for read: 0x00000020
C:\WINDOWS\system32\config\system.LOG: Error opening file for read: 0x00000020
C:\WINDOWS\Temp\Perflib_Perfdata_718.dat: Error opening file for read: 0x00000020
C:\WINDOWS\Temp\TMP0000731DFCA3B7EEB3EACB5A: Error opening file for read: 0x00000020
D:\alte_Daten\Windows98-Rechner\WINDOWS\SYSTEM32\DRIVERS\CAPIMAP.SYS: Sandbox detected infection of type W32/Obfuscated_L
Delete file: D:\alte_Daten\Windows98-Rechner\WINDOWS\SYSTEM32\DRIVERS\CAPIMAP.SYS
Cleaning successful
D:\Eigene Dateien\Programme\rwb\InstallRWBSoft\pdfAstart.exe: File infected with W32/Suspicious_Gen.AUQX
Delete file: D:\Eigene Dateien\Programme\rwb\InstallRWBSoft\pdfAstart.exe
Cleaning successful
D:\Eigene Dateien\Programme\rwb\InstallRWBSoft\PDFDStart.exe: File infected with W32/Suspicious_Gen.AUQX
Delete file: D:\Eigene Dateien\Programme\rwb\InstallRWBSoft\PDFDStart.exe
Cleaning successful

Number of files found: 208701
Number of archives unpacked: 13265
Number of objects found: 1744953
Number of objects scanned: 1744913
Number of objects not scanned: 40
Number of malicious objects found: 3
Number of malicious objects cleaned: 3
Number of malicious files found: 3
Number of malicious files cleaned: 3
Scanning time: 9h 52m 26s

Running post-scan cleanup routine...

Number of malicious objects found: 0
Number of malicious objects cleaned: 0
Scanning time: 1s

Results:
Total number of files found: 208701
Total number of archives unpacked: 13265
Total number of objects found: 1746624
Total number of objects scanned: 1746584
Total number of objects not scanned: 40
Total number of malicious objects found: 3
Total number of malicious objects cleaned: 3
Total number of malicious files found: 3
Total number of malicious files cleaned: 3
Total number of objects quarantined: 3
Total scanning time: 9h 55m 52s
         
Alle Entschlüsselung Tools haben nichts gebracht.
Kann das sein das das ne Neuere Version von diesem Verschlüsselungstrojaner ist?

Gruß

Shooan

Geändert von Shooan (25.05.2012 um 09:43 Uhr)

Alt 25.05.2012, 16:12   #2
markusg
/// Malware-holic
 
Verschlüsselungstrojaner 25.05.2012 - Standard

Verschlüsselungstrojaner 25.05.2012



hi
wolltest du hier tatsächlich malware anhängen? willst du das sich noch mehr leute damit infizieren?
so wirds bitte in zukunft gemacht:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
makrusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte informiere freunde, bekannte, auch über soziale netzwerke, falls du welche nutzt, über diese trojaner masche, sie können dann auch die verdächtigen mails an mich weiterleiten.
entschlüsselungsmöglichikeiten gibts nicht, da heißts abwarten
__________________

__________________

Antwort

Themen zu Verschlüsselungstrojaner 25.05.2012
abrechnung, angezeigt, anhang, auftrag, code, dateien, dateiname, dateisystem, e-mail, entfernt, entschlüsseln, extension.mismatch, file is encrypted, heuristiks/extra, heuristiks/shuriken, konnte, konto, korrekt, monate, natürlich, nicht mehr, nummer, nutze, plagegeist, rechner, schlüsseln, schrott, tools, troja, trojaner, voller, zahlung



Ähnliche Themen: Verschlüsselungstrojaner 25.05.2012


  1. Kaspersky findet 2 trojanische Programme (Windows 7): HEUR:Exploit.Java.CVE-2012-1723.gen und Exploit.Java.CVE-2012-1723.nh
    Plagegeister aller Art und deren Bekämpfung - 18.09.2013 (14)
  2. Exp/cve-2012-1723.a1
    Plagegeister aller Art und deren Bekämpfung - 18.07.2013 (13)
  3. Exp/cve-2012-1723.pb
    Plagegeister aller Art und deren Bekämpfung - 11.07.2013 (9)
  4. Exp/cve-2012-1723.a1
    Plagegeister aller Art und deren Bekämpfung - 05.07.2013 (28)
  5. GVU Trojaner 12/2012
    Plagegeister aller Art und deren Bekämpfung - 24.12.2012 (3)
  6. EXP/2012-1723.FY.1, EXP/2012-1723.FX.1 gefunden, was tun?
    Plagegeister aller Art und deren Bekämpfung - 20.12.2012 (3)
  7. HEUR:Exploit.Java.CVE-2012-4681.gen" sowie mehrfach Exploit.Java.CVE-2012-0507.ou mit kaspersky gefunden in C:Dokumente und Einstellungen ge
    Plagegeister aller Art und deren Bekämpfung - 21.11.2012 (11)
  8. Win32/Trustezeb.C - Verschlüsselungstrojaner 2.0 - seit Mai 2012 - windows 7
    Plagegeister aller Art und deren Bekämpfung - 17.09.2012 (1)
  9. Trojaner TR/Agent.464.4 , EXP/2012-0507.CX, EXP/2012-0507.DV, JS/Expack-ZG
    Plagegeister aller Art und deren Bekämpfung - 10.09.2012 (9)
  10. Verschlüsselungstrojaner 06.08.2012
    Plagegeister aller Art und deren Bekämpfung - 15.08.2012 (1)
  11. Desinfec't 2012/Kaspersky findet Exploit.Java.CVE-2011-3544.** und Exploit.Java.CVE-2012-0507.**
    Plagegeister aller Art und deren Bekämpfung - 22.06.2012 (21)
  12. Verschlüsselungstrojaner 11. Juni 2012
    Plagegeister aller Art und deren Bekämpfung - 15.06.2012 (1)
  13. Desinfec't 2012/Kaspersky findet Exploit.Java.CVE-2011-3544.** und Exploit.Java.CVE-2012-0507.**
    Mülltonne - 11.06.2012 (0)
  14. Verschlüsselungstrojaner (23.05.2012) TROJAN.AGENTR.RNSGEN ... Dateien nicht entschlüsselbar ...
    Log-Analyse und Auswertung - 06.06.2012 (5)
  15. Verschlüsselungstrojaner vom 9.5.2012: Was wird für zukünftige entschlüsselung gebraucht?
    Plagegeister aller Art und deren Bekämpfung - 01.06.2012 (8)
  16. Verschlüsselungstrojaner vom 29.05.2012
    Plagegeister aller Art und deren Bekämpfung - 30.05.2012 (2)
  17. Win 7 Antispyware 2012, Vista Antivirus 2012, XP Security 2012 entfernen
    Anleitungen, FAQs & Links - 07.06.2011 (2)

Zum Thema Verschlüsselungstrojaner 25.05.2012 - Hi, ich habe auch auf einem Rechner diesen Trojaner drauf. Entfernt ist er schon, aber nun sind natürlich alle Dateien Verschlüsselt. Die Dateien Werden noch korrekt angezeigt mit [Dateiname].[Endung], lassen - Verschlüsselungstrojaner 25.05.2012...
Archiv
Du betrachtest: Verschlüsselungstrojaner 25.05.2012 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.