Zurück   Trojaner-Board > Web/PC > Alles rund um Windows

Alles rund um Windows: XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt

Windows 7 Hilfe zu allen Windows-Betriebssystemen: Windows XP, Windows Vista, Windows 7, Windows 8 und 8.1 - als auch zu sämtlicher Windows-Software. Alles zu Windows 10 ist auch gerne willkommen. Bitte benenne etwaige Fehler oder Bluescreens unter Windows mit dem Wortlaut der Fehlermeldung und Fehlercode. Erste Schritte für Hilfe unter Windows.

Antwort
Alt 18.06.2016, 12:02   #1
marcellobln
 
XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt - Standard

Problem: XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt



Hallo zusammen,

ich hatte gestern einen Hilferuf von einer Freundin bekommen, dass sie einen Virus auf dem Computer hat.

Was war geschehen?
Sie erhielt eine E-Mail mit einem Anhang (Lebenslauf.zip). Da sie gerade neue Mitarbeiter sucht, hat sie sich nichts weiter dabei gedacht und das Zip-File geöffnet und den Lebenslauf auch. ( Wer denkt auch an sowas im Alltagsbetrieb).

Damit war es geschehen.

Ab sofort klebte eine nette rot-schwarze Warnung auf dem Computer, dass alle Dateien mit einer RSA-Algorithmus verschlüsselt seien usw. usw...

Was habe ich getan?

Ich habe mir den PC einmal genauer angeschaut und dabei verschiedene Dateien gefunden.
Es wurde der Prozess in C:\Users\Benutzer\AppData\Roaming\uljrom1rjvq87zfu.hta in die Autostart gepackt.
Diese HTA-Datei war das Resultat des Scripts was in der Lebenslauf.WSF-Datei enthalten war.

Des Weiteren waren einige Key-Dateien (xipr.KEY und CONFIRMATION.KEY) auf dem System, so wie eine versteckte Textdatei (den den Inhalt der rot-schwarzen Meldung hatte).

Ich habe alle "bösen" Dateien die mit dem Prozess zusammen hingen entfernt aus dem ROAMING Ordner des Benutzers, so wie das Temp-Verzeichnis in Verzeichnis Local geleert (zu erreichen via %AppData% im Explorer).
Mit dem CCleaner habe ich dann den Eintrag für die Autostart manuell aus der Registry gelöscht und anschließend noch einmal das System gereinigt.
Nach dem ich diesen ganzen Müll entfernt habe, scheint der PC wieder sauber zu sein.
Zumindest hat Kaspersky IS 2016 + WinDefender nichts mehr gefunden.

Was haben wir daraus gelernt?
Mich hat zudem interessiert, wieso ihr Virenscanner versagt hat.
Ich habe mir also die böse E-Mail einmal geschnappt und es auf meinem PC heruntergeladen. Mein Virenscanner (MS Windows Defender) hat mir sofort die Datei in Quarantäne gesteckt und Alarm geschlagen. Natürlich war ich nicht so mutig, um die Datei direkt auf dem Browser zu öffnen und auszuführen.

Wenn ich Anhänge von unbekannte Dritte erhalte, speichere ich diese (wenn überhaupt) immer erst lokal und scanne sie, bevor ich was öffne oder ausführe, damit mir genau dass, was der Freundin passiert ist nicht widerfährt.
Wenn Sie die Lebenslauf.zip zwischengespeichert hätte, wäre es glaube ich nicht so weit gekommen.

Welchen Schaden hat Sie erlitten?
Fast keinen.
Es wurden nur eine handvoll Dateien verschlüsselt, welche aber nicht weiter kritisch sind/waren. Sie kam mit einem Schrecken, einer wichtigen Lektion und einem virtuellen blauen Auge davon. Schade das der Virenscanner diesen Weg (Datei direkt temporär geöffnet und ausgeführt) nicht abgefangen hat.
Sie weiß jetzt auch, dass sie lieber einen Klick mehr machen sollte und sich bei unbekannten Anhängen lieber auch eine Minute mehr Zeit nimmt, um so etwas zu verhindern.

Wichtiger Hinweis!
Die Bilder zeigen unter anderem den schädlichen Quellcode. Ich bitte darum diesen nicht weiter zu verwenden. Ich poste das hier, damit man sich als User vor solchen schadhaften Anhängen schützen kann.
Für alle die diesen Code in der eigenen Umgebung ausführen, wird keine Verantwortung meinerseits übernommen.

Um an die Informationen der Dateien zu gelangen, habe ich die Dateien in einer abgeriegelten VM bearbeitet/eingesehen.
Miniaturansicht angehängter Grafiken
XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt-rot-schwarze-meldung.jpg  
Angehängte Grafiken
Dateityp: jpg Text-Datei.jpg (47,5 KB, 138x aufgerufen)
Dateityp: jpg Quellcode-wsf-Datei.jpg (104,1 KB, 198x aufgerufen)
Dateityp: png Virus-Alarm-Download.png (81,4 KB, 281x aufgerufen)

Alt 18.06.2016, 12:16   #2
purzelbär
Gesperrt
 
XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt - Standard

XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt Anleitung / Hilfe



Typischer Fall von Ransomware die Daten verschlüsseln und dann fast immer Erpressergeld wollen. Das System deiner Freundin gehört meiner Meinung nach entweder komplett neu aufgesetzt oder aber mindestens in der Sektiom Plagegeister zur Bereinigung vorgstellt denn nur weil Kaspersky und Windows Defender jetzt nichts mehr finden heißt das nicht das da nicht noch Infektionen sind oder Beschädigungen am System. Für die Zukunft als Zusatzschutz: USB Festplatte kaufen, auf dieser regelmäsig wichtige Dateien sichern die nicht verloren gehen dürfen und zusätzlich ein Backup/Image Programm wie zum Beispiel Paragon Backup & Recover Free, Macrium Reflect Free oder Aomei Backupper Standard installieren, von dem Programm mit dem jeweiligen Assistenten ein Boot Medium erstellen und dann regelmässig am besten vom kompletten System mit allen Partitionen Backups/Images erstellen auf die USB Festplatte. Ausserdem die USB Festplatte nur dann anschliessen wenn sie gebraucht/benutzt wird, ansonsten diese offline lassen damit wenn die angeschlossen ist nicht auch von Ransomware heimgesucht werden kann.
__________________


Alt 18.06.2016, 12:26   #3
marcellobln
 
XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt - Standard

XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt Details



Danke für dein Feedback. Ich schaue mir das diese Tage nochmal an. Ich hoffe das ich da keine weiteren Spuren mehr finde.

Edit: Wenn man das in die Sektion "Plagegeister" bewegen möchte, kann man das gerne machen.
__________________

Alt 18.06.2016, 12:29   #4
purzelbär
Gesperrt
 
XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt - Standard

Lösung: XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt



An deiner Stelle würde ich unbedingt in die Sektion Plagegeister damit gehen damit sich dort ein Helfer dessen annehmen kann.

Alt 18.06.2016, 19:34   #5
Polyp
 
XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt - Standard

Wie XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt



Bei meiner Family ist gestern Abend exakt das gleiche passiert! Sogar aus der selben Mitovation wie bei deiner Freundin (auf MA-Suche). Leider ist 75% der Daten verschlüsselt da man mich als letztes gefragt hat. Nachdem ich den Prozess gekillt und aus Autostart entfernt habe wurde nicht mehr "weitergemacht".

Wir werden den PC jetzt komplett platt machen, mit 01 überschreiben und dann Windows neu installieren.

Haben jetzt nur etwas Panik, falls der Mist sich im Netzwerk ausbreitet....ist das möglich? Habe seit heute morgen um 9:00 einen Schrott Win7 PC am Internet im Heimnetzwerk und konnte bisher nichts auffälliges feststellen.

Habe hier einen Thread im Plagegeisterforum geöffnet: http://www.trojaner-board.de/179682-...ml#post1592721
Tipps? Was meint ihr? Wie wahrscheinlich ist es, dass alle Daten parallel irgendwo hochgeladen wurden?


Geändert von Polyp (18.06.2016 um 20:05 Uhr)

Alt 18.06.2016, 20:14   #6
felix1
/// Helfer-Team
 
XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt - Standard

Wo XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt Lösung!



Wenn Du im Plagegeisterforum durch bist, kannst Du hier gerne weitere Fragen stellen. Erst wenn klar ist, was Du Dir eingefangen hast, kann beurteilt werden, ob Gefahr für Netzlaufwerke besteht.
__________________
--> XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt

Alt 18.06.2016, 20:27   #7
Polyp
 
XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt - Standard

XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt



Zitat:
Zitat von felix1 Beitrag anzeigen
Wenn Du im Plagegeisterforum durch bist, kannst Du hier gerne weitere Fragen stellen. Erst wenn klar ist, was Du Dir eingefangen hast, kann beurteilt werden, ob Gefahr für Netzlaufwerke besteht.
Sind nicht wirklich konfigurierte Netzlaufwerke. Sondern PCs die über den selben Router ins Internet gehen...

Okay, aber danke trotzdem.

Alt 18.06.2016, 20:39   #8
felix1
/// Helfer-Team
 
XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt - Standard

XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt



Zitat:
Zitat von Polyp Beitrag anzeigen
Sind nicht wirklich konfigurierte Netzlaufwerke. Sondern PCs die über den selben Router ins Internet gehen...

Okay, aber danke trotzdem.
Dann sollte nichts passieren. Du könntest ja im Router die interne Kommunikation ausschalten. Aber dazu ist zu wenig gepostet worden.
__________________
LG

Der Felix

Keine Hilfe per PN und E-Mail

Alt 18.06.2016, 20:53   #9
Polyp
 
XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt - Standard

XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt



Zitat:
Zitat von felix1 Beitrag anzeigen
Dann sollte nichts passieren. Du könntest ja im Router die interne Kommunikation ausschalten. Aber dazu ist zu wenig gepostet worden.
Rein hypothetisch, müsste es nicht direkt am nächsten Pc loslegen? Ich meine, nur falls das überhaupt geht aber du schreibst ja das es unwahrscheinlich ist. Der andere Rechner läuft jetzt seit etwa 11 Stunden....

Alt 18.06.2016, 21:13   #10
felix1
/// Helfer-Team
 
XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt - Standard

XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt [gelöst]



Zitat:
Zitat von Polyp Beitrag anzeigen
Rein hypothetisch, müsste es nicht direkt am nächsten Pc loslegen? Ich meine, nur falls das überhaupt geht aber du schreibst ja das es unwahrscheinlich ist. Der andere Rechner läuft jetzt seit etwa 11 Stunden....
Da gibt es verschiedene Versionen der Trojaner. Also abwarten, was die Malwaresektion findet. Ich wiederhole mich nicht nochmals.
__________________
LG

Der Felix

Keine Hilfe per PN und E-Mail

Alt 20.06.2016, 17:26   #11
derBayer
 
XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt - Standard

XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt [gelöst]



Hallo zusammen,

also vorab: ich heisse Gerhard bin 50+ und meine Frau betreibt eine Gaststätte ... ich mache die Buchhaltung.
Da wir zur Zeit eine Küchenhilfe suchen hab auch ich die Zip-Datei geöffnet ... mir war die Zip Datei zwar suspekt, aber nachdem der Avira-Scanner keine Bedrohung gefunden hat habe ich die Datei geöffnet. Ergebnis sh. oben.

Ich hab nun das Problem, daß mein Backup doch schon einige Wochen alt ist.

Ich hab mir ein zweites Notebook besorgt (neu) auf das ich das System neu installieren will (Win10).
Ich möchte speziell das Thunderbird Profil und die Datenbank vom Kassenbuch retten, beides ist nicht verschlüsselt.

Meine Frage wie kann ich möglichst gefahrlos (100% Sicherheit wirds wahrscheinlich nicht geben) das Thunderbird Profil und die Datenbank von einem Rechner auf den anderen übertragen, ohne daß ich mir dort auch gleich wieder Viren od. Trojaner auf das jungfräuliche System draufspiele?.
Auf dem neuen Rechner läuft McAffee LiveSafe

Besten Dank schon mal für Eure Hilfe

Gruß
Gerhard

Alt 20.06.2016, 21:45   #12
_sTaNlEy_
 
XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt - Standard

XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt [gelöst]



Der theoretische Ablauf ist relativ einfach. Ich würde mir jetzt aber nicht zutrauen, dir das zu erklären. Alleine schon wegen der Gefahr, dass durch irgendeinen falschen Handgriff Schaden an den noch sauberen Daten entstehen kann.

Empfehlen würde ich dir (falls sich hier nicht jemand dem Problem annimmt): Geh zur EDV-Firma deines Vertrauens, schildere denen 1:1 die Situation wie hier auch und lass den Aufwand abschätzen. Wenn's vierstellig wird -> ab zur nächsten Firma ;-)

Und für die Zukunft daraus lernen, wenns wichtige Daten sind (Backups regelmäßig erstellen, unterschiedliche Sicherungsmedien, nicht dauerhaft am PC hängen lassen,etc.). Gibt neben Erpressungstrojanern auch weitere Gefahren. Bei manchen davon lässt sich dann wirklich nichts mehr retten...

Alt 22.06.2016, 12:24   #13
hunger
 
XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt - Standard

XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt [gelöst]



habe seit heute das gleiche problem. wer kann mir helfen? alle worddokumente verschlüsselt.
bin richtig verzweifelt.

Alt 22.06.2016, 12:59   #14
purzelbär
Gesperrt
 
XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt - Standard

XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt [gelöst]



Für den XIPR Trojaner gibt es meines Wissens nach noch kein Entschlüsselungs Tool, die verschlüsselten Dateien sind erstmal futsch bis vielleicht irgendwann mal ein Entschlüsselungs Tool dafür kommt. Was du machen könntest wäre hebe die verschlüsselten Dateien auf einem externen Datenträger auf und beobachte die nächsten Wochen die Szene ob du was liest ob oder ob nicht ob ein Entschlüsselungs Tool kommt oder nicht. Jetzt solltest du dein System unbedingt in der Sektion dafür hier im Forum bereinigen lassen oder aber du machst Nägel mit Köpfen machst dein System platt, formatierst deine Festplatte und spielst alles neu auf. Danach wenn du dein System neu aufgesetzt hast, solltest du unbedingt damit anfangen regelmässig Systembackups/images zu machen mit zum Beispiel Macrium Reflect Free, Aomei Backupper Standard oder auch mit Paragon Backup & Recovery Free und als Datenträger für die Backups/Images eine USB Festplatte verwenden die auch nur dann angeschlossen bzw eingeschaltet wird wenn die auch wirklich benutzt wird denn sobald die USB Festplatte eingeschaltet ist und als Datenträger angezeigt wird, wäre auch die einem Angriff von Ransomware ausgesetzt und die Dateien auf der USB Festplatte würden auch mitverschlüsselt werden. Gleiches was ich gerade eben geschrieben habe gilt auch für persönliche Dateien die nicht verloren gehen sollen: auf die USB Festplatte diese Dateien als zum Beispiel Kopien sichern und die USB Festplatte bei Nichtgebrauch ausgeschaltet lassen.

Geändert von purzelbär (22.06.2016 um 13:24 Uhr)

Alt 22.06.2016, 13:52   #15
hunger
 
XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt - Standard

XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt [gelöst]



danke für deine antwort. ich bin absoluter laie und nichtkönnerin bei allen pc-sachen.
deshalb habe ich per Inserat eine Fachkraft für PC und Büro gesucht. Gekommen ist eine Bewerbung mit anhang "Lebenslauf". und die habe ich angeklickt.
wenn du oder irgend wer weiß wie man wieder entschlüsselt, dann bitte meldet euch. ich will das nicht umsonst,ich zahl dafür, aber ich brauch meine unterlagen. Virenscanner ect. hab ich alles. Dass dann trotzdem sowas passiert habe ich halt nicht gedacht.
Ich habe von denen eine mail bekommen, dass mindestens 20 Jahre die Verschlüsselung nicht zu entfernen ist, aber wenn ich mich an die angegebene mailadresse wende, wird hilfe zugesagt. Soll ich?

Antwort

Themen zu XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt
appdata, autostart, browser, ccleaner, computer, dateien, defender, e-mail, explorer, gelöscht, hängen, kaspersky, lokal, neue, ordner, prozess, registry, roaming, scan, system, trojaner, versteckte, virus, warnung, windows



Ähnliche Themen: XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt


  1. XIPR Verschlüsselungstrojaner eingefangen
    Plagegeister aller Art und deren Bekämpfung - 19.06.2016 (3)
  2. Windows 10: Trojaner Ransom:Win32/Critroni - Meldung Defender + entfernt
    Log-Analyse und Auswertung - 27.11.2015 (24)
  3. Win8.1: Trojaner gefunden, nicht sicher ob entfernt
    Plagegeister aller Art und deren Bekämpfung - 03.02.2015 (17)
  4. Windows 7: Trojaner gefunden und entfernt, sauber?
    Log-Analyse und Auswertung - 10.02.2014 (7)
  5. Win32.Downloade.gen von Spybot gefunden, kann aber nicht entfernt werden
    Plagegeister aller Art und deren Bekämpfung - 01.10.2013 (7)
  6. Rogue:Win32/Winwebsec, PWS:Win32/Fareit, Exploit:Java/CVE-2013-2423 gefunden und entfernt. Was nun?
    Log-Analyse und Auswertung - 09.06.2013 (19)
  7. Backdoor.win32 Trojaner kann nicht entfernt werden
    Log-Analyse und Auswertung - 20.08.2012 (1)
  8. NameFunEx Trojaner gefunden und entfernt
    Log-Analyse und Auswertung - 26.03.2012 (5)
  9. Trojaner gefunden und angeblich entfernt aber ist mein Laptop nun sicher?
    Log-Analyse und Auswertung - 24.03.2012 (5)
  10. Win32/Bublik.b Trojaner entfernt - ist mein System jetzt wieder sauber?
    Log-Analyse und Auswertung - 01.02.2012 (26)
  11. Trojaner - entfernt oder nicht? Win32:Kelihos-s [Trj]
    Log-Analyse und Auswertung - 16.09.2011 (10)
  12. Exploit.PDF-JS.Gen,Trojan.Win32.GenericBT&Win32.BackdoorPoison entdeckt und entfernt - Logfile
    Log-Analyse und Auswertung - 20.09.2010 (11)
  13. 5 trojaner gefunden,entfernt,hijack inside
    Log-Analyse und Auswertung - 09.11.2009 (1)
  14. Trojaner entfernt, noch rogue.installer gefunden. Ist es damit genug?
    Plagegeister aller Art und deren Bekämpfung - 17.09.2009 (14)
  15. TR/Dldr.Zlob.hxf gefunden, kriege den Trojaner nicht entfernt..
    Plagegeister aller Art und deren Bekämpfung - 24.02.2008 (9)
  16. win32 trojaner-gen (other) gefunden
    Log-Analyse und Auswertung - 15.01.2008 (7)
  17. Trojaner gefunden! Wie wird alles entfernt?
    Log-Analyse und Auswertung - 06.09.2006 (71)

Zum Thema XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt - Hallo zusammen, ich hatte gestern einen Hilferuf von einer Freundin bekommen, dass sie einen Virus auf dem Computer hat. Was war geschehen? Sie erhielt eine E-Mail mit einem Anhang (Lebenslauf.zip). - XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt...
Archiv
Du betrachtest: XIPR Trojaner (Win32/Matta.A!cl) gefunden und entfernt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.