Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR.Matsnu.EB.31 verschlüsselte Dateien sind nicht umbenannt nach locker etc.

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 09.07.2012, 03:26   #1
Digital_Data
 
TR.Matsnu.EB.31 verschlüsselte Dateien sind nicht umbenannt nach locker etc. - Standard

TR.Matsnu.EB.31 verschlüsselte Dateien sind nicht umbenannt nach locker etc.



Hallo,

erst einmal vielen Dank für dieses Board und allen Helfern.

Den Rechner eines Bekannten hat der Verschlüsselungstrojaner erwischt. Bekannter bat mich (schon öfters Viren von Hand gesäubert, sehr erfahren) um Hilfe. Auf dem Rechner läuft die bezahlte Version von Avira im neuesten Update. Infektion war am 23 Juni. Rechner bootet, auf Windows Desktop kommt Meldung, 100 Dollar für Entschlüsselung. Im Abgesicherten Modus gestartet nach Virus gesucht nichts gefunden, erste verschlüsselte Dateien gefunden. Aber die Dateien haben noch den originalen Dateinamen (also nicht locked*.????) und als Created Datum das Jahr 1601. Nach dem der Rechner beim Arbeiten (ich habe dort auch eine parallele leere Win-Installation) immer wieder einfach bootete, baute ich die Platte aus und nahm sie mit zu mir.

Auf meinem Rechner habe ich die Platte zunächst via USB angeschlossen. Avira gestartet, fand TR.Matsnu.EB.31 immer dann wenn er den Virus gefunden hat, konnte auf die Platte nicht mehr geschrieben/gelesen werden. Virus ist aber in der Quarantäne gelandet. Virus ist als Quarantäne-Datei vorhanden, kann übermittelt werden.

Auf meinem Rechner intern an ATA-Board angeschlossen, nun läuft Platte den ganzen Scan durch, kein Virus mehr gefunden. Kein Reboot oder Schreibfehler seit dem. Auf Google wegen Verschlüsselung gesucht und dieses Board gefunden. Malwarebytes Anti-Malware und GMER laufen lassen, keine weiteren Funde.

Avira Entschlüsselung runter geladen, ich habe von einigen PDF-, CSV-Dateien Original-Versionen, aber da die Dateien nicht locked-*.???? heißen, funktioniert die Entschlüsselung nicht. Kann jemand helfen ?

Hier Germ-Log: C:\ ist meine Partition, D:\ ist die befallene Partition, K:\ ist die Partition mit meinem Programme-Verzeichnis.

Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-07-08 23:19:39
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 ST3500630A rev.3.AAE
Running: hzecrlif.exe; Driver: H:\Temp_XP\agldikow.sys


---- System - GMER 1.0.15 ----

SSDT            B87E8904                                                                         ZwClose
SSDT            B87E890E                                                                         ZwCreateSection
SSDT            B87E88B4                                                                         ZwCreateThread
SSDT            B87E88FF                                                                         ZwDuplicateObject
SSDT            B87E88A0                                                                         ZwOpenProcess
SSDT            B87E88A5                                                                         ZwOpenThread
SSDT            B87E8927                                                                         ZwQueryValueKey
SSDT            B87E8918                                                                         ZwRequestWaitReplyPort
SSDT            B87E8913                                                                         ZwSetContextThread
SSDT            B87E891D                                                                         ZwSetSecurityObject
SSDT            B87E8922                                                                         ZwSystemDebugControl
SSDT            B87E88AF                                                                         ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

?               rqadvlg.sys                                                                      The system cannot find the file specified. !
.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                         section is writeable [0xB5C803C0, 0x95AECA, 0xE8000020]
init            C:\WINDOWS\system32\drivers\monfilt.sys                                          entry point in "init" section [0xB3233280]
init            C:\WINDOWS\System32\Drivers\dgcodec.sys                                          entry point in "init" section [0xA9502194]
init            C:\WINDOWS\System32\Drivers\dgvideo.sys                                          entry point in "init" section [0xA8B9019F]

---- User code sections - GMER 1.0.15 ----

.text           K:\PrgXP\Internet Explorer\iexplore.exe[116] USER32.dll!DialogBoxParamW          7E4247AB 5 Bytes  JMP 3E215505 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[116] USER32.dll!CreateWindowExW          7E42D0A3 5 Bytes  JMP 3E2EDAD4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[116] USER32.dll!DialogBoxIndirectParamW  7E432072 5 Bytes  JMP 3E3E7207 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[116] USER32.dll!MessageBoxIndirectA      7E43A082 5 Bytes  JMP 3E3E7139 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[116] USER32.dll!DialogBoxParamA          7E43B144 5 Bytes  JMP 3E3E71A4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[116] USER32.dll!MessageBoxExW            7E450838 5 Bytes  JMP 3E3E700A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[116] USER32.dll!MessageBoxExA            7E45085C 5 Bytes  JMP 3E3E706C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[116] USER32.dll!DialogBoxIndirectParamA  7E456D7D 5 Bytes  JMP 3E3E726A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[116] USER32.dll!MessageBoxIndirectW      7E4664D5 5 Bytes  JMP 3E3E70CE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[860] USER32.dll!DialogBoxParamW          7E4247AB 5 Bytes  JMP 3E215505 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[860] USER32.dll!SetWindowsHookExW        7E42820F 5 Bytes  JMP 3E2E9A65 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[860] USER32.dll!CallNextHookEx           7E42B3C6 5 Bytes  JMP 3E2DD0DD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[860] USER32.dll!CreateWindowExW          7E42D0A3 5 Bytes  JMP 3E2EDAD4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[860] USER32.dll!UnhookWindowsHookEx      7E42D5F3 5 Bytes  JMP 3E25466C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[860] USER32.dll!DialogBoxIndirectParamW  7E432072 5 Bytes  JMP 3E3E7207 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[860] USER32.dll!MessageBoxIndirectA      7E43A082 5 Bytes  JMP 3E3E7139 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[860] USER32.dll!DialogBoxParamA          7E43B144 5 Bytes  JMP 3E3E71A4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[860] USER32.dll!MessageBoxExW            7E450838 5 Bytes  JMP 3E3E700A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[860] USER32.dll!MessageBoxExA            7E45085C 5 Bytes  JMP 3E3E706C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[860] USER32.dll!DialogBoxIndirectParamA  7E456D7D 5 Bytes  JMP 3E3E726A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[860] USER32.dll!MessageBoxIndirectW      7E4664D5 5 Bytes  JMP 3E3E70CE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[860] ole32.dll!CoCreateInstance          774FF1BC 5 Bytes  JMP 3E2EDB30 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[860] ole32.dll!OleLoadFromStream         7752983B 5 Bytes  JMP 3E3E756F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat                                                         fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
         
Digital_Data

Alt 12.07.2012, 16:24   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR.Matsnu.EB.31 verschlüsselte Dateien sind nicht umbenannt nach locker etc. - Standard

TR.Matsnu.EB.31 verschlüsselte Dateien sind nicht umbenannt nach locker etc.



Wo sind die Logs von Malwarebyts, AntiVir? Bitte alles posten!
__________________

__________________

Antwort

Themen zu TR.Matsnu.EB.31 verschlüsselte Dateien sind nicht umbenannt nach locker etc.
.dll, anti-malware, avira, dateien, desktop, explorer, file, gmer, google, harddisk, iexplore.exe, infektion, internet, internet explorer, kein reboot, locker, malwarebytes, matsnu verschlüsselung ohne rename, rechner, scan, schreibfehler, system, system32, temp, usb, viren, virus, windows



Ähnliche Themen: TR.Matsnu.EB.31 verschlüsselte Dateien sind nicht umbenannt nach locker etc.


  1. Windows 7: Mit CTB-Locker verschlüsselte Dateien entschlüsseln
    Plagegeister aller Art und deren Bekämpfung - 23.06.2015 (3)
  2. Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt
    Log-Analyse und Auswertung - 02.06.2014 (9)
  3. Windows 7:Werde Viren nicht los TR/Matsnu.A.59,TR/Matsnu.A.56 und TR/BankZone.A.8
    Log-Analyse und Auswertung - 06.09.2013 (9)
  4. Dateien verschlüsselt nach Trojanerinfizierung (TR/Crypt.XPACK.Gen8, TR/Matsnu.EB.98)
    Plagegeister aller Art und deren Bekämpfung - 26.01.2013 (1)
  5. verschlüsselte Dateien nach einer Infizierung im Format txsgQTfUGpaqLVXg ohne Dateiendung
    Plagegeister aller Art und deren Bekämpfung - 19.12.2012 (3)
  6. Dateien vom Verschlüsselungstrojaner umbenannt und verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 04.10.2012 (1)
  7. Dateien sind alle umbenannt in z.b. aeDepXDTssXlaTsX durch einen Anhang von einer E-Mail (Rechnung)
    Plagegeister aller Art und deren Bekämpfung - 05.09.2012 (1)
  8. Verschlüsselte Dateien nach Trojaner (Bundespolizei)
    Plagegeister aller Art und deren Bekämpfung - 17.08.2012 (2)
  9. Win32/Matsnu: Dateien entschlüsseln funktioniert nicht
    Plagegeister aller Art und deren Bekämpfung - 04.07.2012 (2)
  10. Dateien sind verschlüsselt, aber nicht umbenannt.
    Plagegeister aller Art und deren Bekämpfung - 04.07.2012 (1)
  11. win32/matsnu - Dateien nicht umbenannt aber verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 07.06.2012 (2)
  12. Nach EMAil mit Anhang .zip alle Dateien umbenannt
    Log-Analyse und Auswertung - 07.06.2012 (4)
  13. Flirt Fever Mail mit Anhang TR/Matsnu.A.63 + Dropper.MSIL.Gen Alle Dateien wurden umbenannt. HILFE!
    Log-Analyse und Auswertung - 03.06.2012 (1)
  14. Verschlüsselte dateien - angeblich trojan.win32.matsnu
    Plagegeister aller Art und deren Bekämpfung - 23.05.2012 (3)
  15. Nach einer Rechnungsmail sind alle jpq Dateien umbenannt und verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 22.05.2012 (2)
  16. Nach Entfernung von Windows Recovery sind Dateien unsichtbar
    Plagegeister aller Art und deren Bekämpfung - 23.03.2011 (1)
  17. Nach dem Fixen sind die Dateien plötzlich wieder da...
    Log-Analyse und Auswertung - 28.12.2004 (3)

Zum Thema TR.Matsnu.EB.31 verschlüsselte Dateien sind nicht umbenannt nach locker etc. - Hallo, erst einmal vielen Dank für dieses Board und allen Helfern. Den Rechner eines Bekannten hat der Verschlüsselungstrojaner erwischt. Bekannter bat mich (schon öfters Viren von Hand gesäubert, sehr erfahren) - TR.Matsnu.EB.31 verschlüsselte Dateien sind nicht umbenannt nach locker etc....
Archiv
Du betrachtest: TR.Matsnu.EB.31 verschlüsselte Dateien sind nicht umbenannt nach locker etc. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.