|
Trojan.Matsnu.1 - Tool für Verschlüsselungs-Trojaner Liste der Anhänge anzeigen (Anzahl: 1) Doctor Web - Tool gegen Trojan.Matsnu.1 Am 26. April 2012 wurden die Anwender über die Verbreitung von Spam-Mails mit einem gefährlichen Anhang informiert. Die Benutzerdateien werden verschlüsselt, sobald eine angehängte ausführbare Datei gestartet wurde. Die Sicherheitsspezialisten von Doctor Web präsentieren ein Tool, mit dem die Anwender ihre Dateien entschlüsseln können. Das Tool ist als matsnu1decrypt.zip (Mirror) verfügbar. Die verbreiteten Massen-Mails sind auf Deutsch geschrieben und haben den Betreff „<Vorname> <Nachname> Vertrag Nr 46972057“. Diese E-Mail enthält eine ZIP-Datei mir dem Namen Abrechnung oder Rechnung. Sobald das Opfer die Datei gestartet hat, werden seine Dateien verschlüsselt. Zitat:
Weitere Informationen Trojan.Matsnu.1. Nach Anwendung des Skriptes, erstelle ein Thema hier im Forum: Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten? |
Hallo allerseits, Zu dieser Meldung gibt es eine korrigierte Version; die Korrektur betrifft Betreff und Anrede in den versendeten E-Mails: Hanau, 27. April 2012 – Doctor Web, führender russischer Hersteller von Antivirus- und Antispam-Lösungen, warnt vor böswilligen Spam-Mails über die sich Trojan.Encoder verbreitet. Während der letzten 24 Stunden haben vor allem deutsche PC-Anwender den technischen Support von Doctor Web wegen gefährlicher Spam-Mails kontaktiert. Die E-Mails können in der Anrede personalisiert sein und wenden sich beispielsweise mit folgendem Betreff und Inhalt an den Empfänger: Betreff: „<Vorname> <Nachname> Vertrag Nr 46972057“ Sehr geehrte(r) <Vorname> <Nachname>, Sie haben sich für unseren Mail Upgrade eingetragen und wir freuen uns Sie als unseren frischen Teilnehmer zu begrüssen Sie können jetzt bis zu 500 Mitteilungen pro Monat frei versenden und Ihr Speicherplatz erhöht sich um 5 Gb. 433,29 Euro für Registration werden Ihnen pro 12 Monate im Vorraus von Ihrem Bankkonto abgeschrieben. Entnehmen Sie die Rechnungsdaten bitte dem Anhang, dort finden Sie auch die Erläuterung für Ihre 2 Wochen Kündigungsfrist. Mit freudlichen Grüssen Ihr Kundenservice ... Betreff, Anrede und kleinere Textdetails in den E-Mails können also variieren. Ansonsten alles korrekt :) Anwendungshinweise für unser Tool gibt bei Bedarf gern auch der deutsche Support unter support@drweb-av.de. |
Hallo, vor kurzem habe ich auch eine Mail bekommen das ich bei dem betreffenden Shop eingekauft habe, die Mail werde ich umgehen löschen und natürlich den Anhang (als .zip datei getarnt) auf gar keinen Fall öffnen:zunge:. Die Mail schaut so aus::pfui: Verehrte(r) Hugo Egon Maurer, vielen Dank für Ihre Bestellung bei comtech.de, nachfolgend finden Sie Ihre Bestellbestätigung. Deine Bestellnummer 22860541010 Artikel: Toshiba 5076334942 717,07 Euro Rechnungsname: Hugo Egon Maurer Zahlungsmethode: Lastschrift Versandadresse und detaillierte Vertragsdetails finden Sie im Anhang. Die Zahlung wurde autorisiert und wird innerhalb 2 Tage abgeschrieben. Bezahldetails und Widerruf Möglichkeiten finden Sie in Beilage. Ihr Mail-Support Kudox GmbH Audorfring 59 60086 Augsburg Telefon: (+49) 020 6974535 (Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr) Gesellschaftssitz ist Essen Umsatzsteuer-ID: DE434230977 Geschäftsfuehrer: John Voigt Gruß Hugo |
hi, solche mails können interessant sein für weitere analysen. bitte, wenn ihr solche mails von unbekannten absendern mit .rar oder zip anhang (häufigst vorkommene anhänge) bekommt, dann öffnen, datei speichern unter, typ zb .eml dann mail an: markusg@paules-pc-forum dort das soeben abgespeicherte anhängen. bei einem webmailer funktioniert das immer ein wenig anders, da müsste man wissen um welchen es sich handelt. das bloße öffnen der mail infiziert in diesem falle nicht das system. |
Hi hugo1970, danke für deine Beispielmail, die zeigt, dass es auch noch weitere mögliche Texte gibt und geben wird...und dass man deshalb generell vorsichtig sein sollte bei E-Mail-Anhängen (besonders im Falle unbekannter Absender). Das Fiese an dieser Masche finde ich, dass Panik erzeugt wird (Angst vor Geldverlust) und man, selbst wenn man von einem Betrug ausgeht, oft noch einen Restzweifel im Hinterkopf hat. Im Zweifelsfall könnte man ja, sofern eine Firma (wie bei dir comtech) gennant ist, dort nachfragen, ob alles mit rechten Dingen zugeht. Und wenn keine genannt ist kann man sich ja schon denken, was los ist ;) Ansonsten kann ich markus nur zustimmen: Jeder Anhang kann ein neues, bisher unerkanntes Sample sein. Auch bei uns von Doctor Web (wie auch bei jedem anderen AV-Hersteller) gibt es die Möglichkeit, Samples einzusenden und damit nicht nur was Gutes für sich selbst, sondern auch für andere Nutzer zu tun :daumenhoc |
zumal sie jetzt: 1. neue mail texte verwenden. 2. seit heute eine höhere routation von samples haben. sonst gab es 1 neues pro tag, was das infektionsrisiko bei regelmäßigem update gegen abend meist sehr stark verringern sollte, heute habe ich bereits 3 samples. deswegen ists wichtig, dass wir so viele mails wie möglich bekommen. und natürlich bekommen alle av-hersteller die samples von mir umgehend zugesendet. |
wichtiger hinweis: hallo, es ist, leider, so weit. es gibt jetzt variannten, bei denen die entschlüsselung anhand von paaren nicht mehr funktionieren wird. wichtiger hinweis: entschlüsselt nur anhand von backups und meldet euch bei problemen. an einer lösung wird gearbeitet. |
Herzlichen Dank. matsnu1decrypt funktioniert offenbar prima. Pooh...so konnte ich meine Frau mal wieder retten!! Hoffentlich geht sie jetzt etwas vorsichtiger mit Emailanhängen von unbekannten Absendern um |
Hallo, Hatte die neue Version das Matsnu1 auf dem PC. Konnte diesen per OTL entfernen. Habe gerade mit matsnu1decrypt ca. 1900 Dateien entschlüsselt bekommen. Leider mit dem Ergebniss, das in allen Dateinen nun nur noch Müll drin steht, bzw. ich diese nicht mehr öffnen kann. Werde den PC nun wahrscheunlich komplett neu aufsetzen müssen... Also VORSICHT ! |
hi, deswegen entschlüsselt man ja auch an backups. hast du die verschlüsselten files noch? kommst du noch an die mail über die du dich infiziert hast, leite die mal an mich weiter wie im post 4 beschrieben. |
nein, beides leider nicht.... |
Hallo, ich könnte von einem betroffenen System sowohl verschlüsselte als auch die passenden Originaldateien zur Analyse beisteuern. Von der Originalmail gibt es leider nur noch den Ausdruck. Ich habe leider mit den hier beschriebenen Mitteln die Dateien nicht entschlüsseln können und wäre für Tipps sehr dankbar. Viele Grüße Markus |
Hallo Ihr Spezialisten, mit den hier im Forum angegebenen Tools konnte ich die infizierten Dateien wieder herstellen. Der Trojaner ist aber immer noch auf dem PC. Wie kriege ich den weg? Gruß Klaus |
Hallo, ich hab wieder eine Betrugsmail mit Anhang erhalten. Da ich Linux verwende ist die Gefahr kleiner, ich werde den Anhang trotzdem nicht öffnen, aber speichern und hier als Anhang veröffentlichen und an markusg@paules-pc-forum schicken. Der Anhang hab ich so gespeichert: Auszug.zip Absender: shellz6699@cs.com Betreff:Registration Deiner Clubkarte Inhalt: Hallo lieber Kunde/Kundin, wir freuen uns Ihnen mitteilen zu können, das Ihr Eurocard-Antrag bearbeitet wurde. Sie erhalten Ihre Zahlkarten in den nächsten Tagen, Ihre Pin wird separat zugestellt. 469,59 Euro für 12 Monate Gebühren werden Ihnen in Kürze von Ihrem Bankkonto abgetragen. Ihr Kartenlimit ist auf 3500 Euro gesetzt. Kaufauflistung finden Sie im Zusatzordner in der E-Mail. Bambaclaat GmbH Eisvogelweg 14 15106 Hamburg Telefon: (+49) 347 0908212 (Mo-Fr 8.00 bis 18.00 Uhr| Sa 10.00 bis 18.00 Uhr) Gesellschaftssitz ist Stuttgart Umsatzsteuer-ID: DE561829323 Geschäftsfuehrer: Alexander Wieder |
wegen den mails: an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert. wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ: .eml einstellen. dann mail an: http://markusg.trojaner-board.de dort die soeben erstellte datei anhängen. wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders. bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen. sie können dann dorthin solche verdächtigen mails senden. diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig. @berndmkilian wenn du dich mal umschaust im forum und den hinweis liest, der ganz groß und breit oben steht, wirst du ne anleitung finden, anhand derer wir sicher deinen pc analysieren können :-) |
Wir haben gestern Abend 18:29 auch eine Mail bekommen Betreff: Anmeldekonto 9234..... Jedenfalls war jemand so unvorsichtig diese Datei zu öffnen und hat sich dann glatt den Trojaner eingefangen. Diesen konnte ich nun zwar entfernen, aber das größte Problem sind die Verschlüsselten Dateien. Diese lassen sich auch mit keiner oben beschriebenen Methode entschlüsseln. Email kann ich leider nicht schicken, weil wir David.fx benutzen, und dort das "speicher unter" nicht möglich ist. (soweit ich gesehen habe) |
@Groli: Einfach die Mail vom Posteingang aus auf den Desktop ziehen, dann speicher David sie automatisch im .eml-Format. |
Danke sehr.. man lernt nie aus. :) Email ist raus. |
@Groli besteht dein problem noch? |
Hallo ich habe auch so eine "bambaclaat GMBH" eMail bekommen, den Anhang habe ich jedoch nicht angerührt. Die eMail aber gelesen, also ist die ja sozusagen offen .......... kann da schon etwas auf den Pc rüber kommen? oder nur via Anhang???? |
@markusg Ja, besteht leider noch immer. War uns bisher nicht möglich die verschlüsselten Dateien wieder zu entschlüsseln. Der betroffene Rechner ist mitlerweile wieder neu aufgesetzt, die Dateien sind auf externer Platte gesichert, aber entschlüsseln können wir sie noch nicht. |
@Viacirca hi, beim öffnen allein sollte bei den mir bekannten variannten nichts passieren. an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert. wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ: .eml einstellen. dann mail an: http://markusg.trojaner-board.de dort die soeben erstellte datei anhängen. wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders. bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen. sie können dann dorthin solche verdächtigen mails senden. diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig. |
@Groli welche tools hast du getestet um zu entschlüsseln? |
Zitat:
Zitat:
Gruß Klaus |
Hallo zusammen, schade, dass mir hier keiner helfen kann. Hat denn keiner eine Idee wie ich als Laie dieses Problem beheben kann? @markusg leider funktioniert das nicht so wie vorgesehen der PC schmiert ständig ab. Vielleicht mache ich ja auch etwas falsch! Gruß Klaus PS: Wenn meine Frage für das Forum zu trivial erscheint, kann man mir vielleicht eine private Nachricht zukommen lassen. Bin für jede Hilfe dankbar. |
hallo, ich habe heute auch eine Mail bekommen und dummerweise geöffnet, weil ich die Mail erwartet hatte und der Absender mir nicht unbekannt war. Leider sind nun sehr viele wichtige Dateien verschlüsselt ... das Tool von Dr.Web hat mir leider garnicht geholfen. Habe ich irgendeine Möglichkeit diese Dateien wieder herzustellen? wäre sehr dankbar für Hilfe gruß Silvia |
Hallo Silvia, ich habe die Daten mit dem Tool "scareuncrypt5" und dem Tool "Avira-Ransom" wieder herstellen können. Gruß Klaus |
Hallo Klaus, lieben Dank für Deine Hilfe, aber beide Tools haben mir nichts genützt. Die Dateinamen meiner verschlüsselten Dateien fangen auch nicht wie bei anderen mit Locked- an und haben auch keine Dateiendung mehr ... nur lauter Buchstaben. Hmm, bin ziemlich verzweifelt. Vielleicht hat noch jemand eine Idee? Vielen Dank Silvia |
Hallo Silvia, scheint ein besonders hartnäckiger Virus zu sein. Auch ich warte schon einige Zeit auf Hilfe aus dem Forum. Gruß Klaus |
Hallo Sylvia, Du wirst in diesem Board unter http://www.trojaner-board.de/115006-...luessel-2.html fündig. Dort wird Deine Version des Verschlüsselungstrojaners beschrieben. Leider gibt es hierzu noch kein Tool, welches Deine Datein entschlüsselt (Stand : Heute). Bei Bildern kannst Du ja mal probieren, eine Datei umzubenennen und die Dateiendung .jpg (.raw) ranzuhängen, aber vorher die Originale (verschlüsselte) Datei sichern. Es hat bei einem Nutzer funktioniert. Da bei Dir aber nicht nur Bilddateien verschlüsselt wurden, wird es natürlich schwer sein, die Bilddateien zu finden? Wenn Du Zeit hast, warten bis ein Tool entwickelt wurde. Wichtig ist aber, die Schadprogramme, wie hier im Board beschrieben, zu entfernen. Wir lesen uns ;-) LG G. |
hallo zusammen, auch ich habe am 17.05.12 eine solche e-mail mit zip anhang bekommen und mir ist im ersten moment mächtig das herz eine etage tiefer gerutscht.... hier der text: Sehr geehrte Damen und Herren, Vielen Dank für Ihren Auftrag bei mootivoo, nachfolgend finden Sie Ihre Einkaufsbestätigung. Deine Auftragsnummer: 627035481582 Artikel: Zub Chassis 1805656088 6885,33 Euro Rechnungsname: Wie in Rechnungsdaten eingetragen Zahlungsmethode: Lastschrift Versandadresse und detaillierte Vertragseinzelheiten finden Sie zwecks Vorsichtsgründen im Anhang. Die Überweisung wurde autorisiert und wird innerhalb 2 Tage entzogen. Rechnungsauflistung und Stornierung Möglichkeiten finden Sie im Zusatzordner in der E-Mail. Ihr Verkaufssupport Schäfer GmbH Culinstrasse 71 28639 Köln Telefon: (+49) 405 0013176 (Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr) Gesellschaftssitz ist Adenau Umsatzsteuer-ID: DE896497842 Geschäftsfuehrer: Mara Huber der versender hatte folgende addy: gvoight2@verizon.net den anhang habe ich (glücklicher weise) nicht geöffnet, da ich mir dann doch recht schnell dachte, das da was nicht stimmt. mein computerwissen ist leider nicht ausreichend genug um das ding hier jemandem zu schicken, zwecks analyse oder was auch immer ihr damit macht. viel gruss mantha |
hi, mails immer wie folgt an uns senden: @manthorra wurden deine dateien umbenannt? wenn ja wie? |
Hallo Marcus, mir wurde der Virus als Anhang mit einer erwartenden Mail geschickt. Die Zipdatei nennt sich Anhang.zip. Da ich dort Dateien von einem Kunden erwartete, habe ich den anhang geöffnet. Der Absender arbeitet mit einem Mac und kann nicht nachvollziehen, wie der Anhang mit in die Mail kam. Er hat auch keine weiteren Beschwerden über solch eine Mail erhalten. Aber er verschickt auch überwiegend Mails an Mac User. Bei mir wurden sämtliche Dateien verschlüsselt und tragen einen Namen aus Buchstabenfolgen ohne Dateiendungen. Keines der hier empfohlenden Tools funktioniert. Leider wurde auch mein Outlook beschädigt, sodass ich momentan die Mail nicht weiterleiten kann. Ich versuche jetzt mal das Outlook zu reparieren ... und hoffe dass die pst Datei nicht kaputt ist. Soll ich Dir die Mail dann mal weiterleiten? lg Silvia |
Mantha und Markus, Hallo Markus: Sie schreibt ja, sie hat den Anhang nicht geöffnet. Da dürfte ja nichts verschlüsselt sein. Mantha: wenn Du das mit dem Versenden per eml an Markus nicht hinbekommst, empfehle ich Dir den Anhang ungeöffnet zu löschen, wenn Du nicht Dein blaues Wunder erleben möchtest. Zur Sicherheit anschließend Malwarebytes rüberlaufen lassen. Und nicht nur löschen, sondern auch im Papierkorb endgültig löschen. Gruß G. |
hi, wie gesagt, ich hab das böse gerochen und nicht auf gemacht^^ das ding lässt sich aber so nicht verschicken, ich will das teil aber auch nicht auf dem rechner speichern. geht da was in die hose, dann steh ich reichlich blöde da, denn mein wissen reicht eindeutig nicht aus um das zu kitten, bzw den rechner neu zu bespielen. also hab ich das ding nun gelöscht. seltsam ist nur: jede gelöschte e-mail taucht im papierlorb auf, nur diese nicht. hab spybot drüber laufen lassen, hat aber nix gefunden. muss ich mir sorgen machen? |
hi dann sende sowas in zukunft an mich hmm tauchen denn mails auf wenn du jetzt eine löschst? wegen pc prüfung neues thema auf machen |
ja, alle anderen sind da, also lassen sich verschieben. hab jetzt auch dieses anti male dingens drüber laufen lassen, hat auch nix gefunden. also hab ich mir wohl nix eingefangen. |
Gibts es denn jetzt mittlerweile ein Tool, welches den Trojaner selbst beseititgt. Gruß Klaus |
den trojaner beseitigen kann man. aber es ist nie ratsam irgendwelche programme ohne manuelle analyse laufen zu lassen. selbst wenn ein programm am tag x fähig wäre eine malware zu 100 % zu beseitigen, wer garantiert dir, dass das am nächsten tag noch so ist? |
Hallo Markus, was schlägst Du vor? Gruß Klaus |
um den pc zu untersuchen, thema im passenden unterforum eröffnen und passende hilfeanleitung durcharbeiten |
Gute Abend ! -------------- Ich habe 13.6.2012 Auch bin dran war :((( http://s017.radikal.ru/i408/1207/ba/7cdf6f17c9cbt.jpg Auf mein PC Win.7pro 64 Bit .... Alle Daten auf C: Ich habe alles beseitigen und wider herstellt ! Aber auf D,E,F Festplatten Privat alte Fotos und Privat Archiv Video in avi Format verschlüsselt : und so aussehen QqTlVOqAlsFFAstGun (mit umbenennen & Endung Format bring nichts((( Ich habe schon total Untergang Da ist privat-videoarchiv von ganze Familien welche ich 15 Jahre gesammelt teilweise mit schnitt und Nachtvertonung gemacht :((( Ich habe angst zu meine Frau sagen... ist alle Video-Foto Daten unbrauchbar ist ((( So war: kommt -E.Mail von ambient@smail.lt auf mein Namen-Vornahmen , das wegen ich nicht aufmerken da ist falle.! --------------- Sehr geehrter "Meine Vorname & Nachnamen!!!!! Sicher ist es Ihnen entgangen, dass die Zahlungsfrist der nachfolgenden Rechnung abgelaufen ist. Auf unsere Schreiben haben Sie auch nicht reagiert. Artikel: Dell THK PA Artikelnummer: 8783852257981 Stück: 2 Zwischensumme: 615,47 Euro Aufgrund zusätzlicher Kosten anlässlich des Ausgleichs von Gebührenforderungen erheben wir Mahngebühren und Einschreibegebühren in der Höhe von 10.- Euro inkl. MwSt. Wir bitten Sie, den ausstehenden Rechnungsbetrag in den nächsten 7 Tagen zu überweisen. Ansonsten sehen wir uns leider gezwungen, ein Gerichtsverfahren in die Wege zu leiten und ein Inkasso Unternehmen für die weiteren Massnahmen zu beauftragen. Sollte sich dieses Schreiben mit der Bezahlung des ausstehenden Betrags gekreuzt haben, so betrachten Sie dieses Schreiben bitte als gegenstandslos. Beilagen: - Rechnungsübersicht - Bestellung Mit freundlichen Grüßen Dazu "Beilagen.zip Datei 44kb ------------------------------------ Nach System wiederherstellen ich habe auf Destop text datei : ACHTUNG-LESEN.txt : Sehr geehrte Damen und Herren, anscheinend wurde das Update Programm vollständig unterbrochen. Jetzt kann das Virus nur manuell beseitigt werden. Dies brauchen Sie um Ihre Dateien benutzen zu können. Falls Sie also die gesperrten Daten brauchen, senden Sie uns bitte 200 Euro Ukash Code an die Email: software-update@inbox.lt, so bald dieser Code geprüft wurde, erhalten Sie ein Update Programm. Falls Sie Ihre Daten nicht brauchen raten wir Ihnen dringend Ihren Computer zu formatieren um den Virus vollständig zu entfernen. Ukash können Sie an einer beliebigen Tankstelle erwerben und auch in mehreren Internetcafes in Ihrer Nähe. mfG Ihr Security Team Schweinerei :( -------------- Durch Programm gelöscht - und erkannt schädliche Trojan: Antivirus Programm Dr.Web indenfecirt schadliche datei: Trojan.DownLoader6.17383 mit Google ich versuchen etwas finden : --------------------------------------- TR/Dldr.Agent.17383 Allgemein Verbreitungsmethode: • Keine eigene Verbreitungsroutine Aliases: • Bitdefender: Trojan.Generic.KDV.647838 • Eset: Win32/Trustezeb.C trojan • GData: Trojan.Generic.KDV.647838 • DrWeb: Trojan.DownLoader6.17383 Betriebsysteme: • Windows 2000 • Windows XP • Windows 2003 • Windows Vista • Windows Server 2008 • Windows 7 Auswirkungen: • Änderung an der Registry --------------------------------------------- Dateien Kopien seiner selbst werden hier erzeugt: • %temp%\%zehnstellige zufällige Buchstabenkombination% .pre • %appdata%\%fünfstellige zufällige Buchstabenkombination% \%zehnstellige zufällige Buchstabenkombination% .exe Die anfänglich ausgeführte Kopie der Malware wird gelöscht. Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten. – [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] • "D8812EB1"="%temp%\%fünfstellige zufällige Buchstabenkombination% \%achtstellige zufällige Buchstabenkombination% .exe" Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden. – [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] • "DisableRegedit"="dword:0x00000001" • "DisableTaskMgr"="dword:0x00000001" – [HKLM\SYSTEM\ControlSet001\Control\Session Manager] • "PendingFileRenameOperations"="\??\%temp%\%zehnstellige zufällige Buchstabenkombination% .pre" Der Wert des folgenden Registry keys wird gelöscht: – [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot] • "AlternateShell"="cmd.exe" Folgende Registryschlüssel werden hinzugefügt: – [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] • "DisableRegedit"="dword:0x00000001" • "DisableRegistryTools"="dword:0x00000001" • "DisableTaskMgr"="dword:0x00000001" – [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Image File Execution Options\msconfig.exe] • "Debugger"="P9KDMF.EXE" – [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Image File Execution Options\regedit.exe] • "Debugger"="P9KDMF.EXE" – [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Image File Execution Options\taskmgr.exe] • "Debugger"="P9KDMF.EXE" – [HKEY_USERS\S-1-5-21-602162358-2077806209-839522115-1003\Software\ Microsoft\Windows\CurrentVersion\Policies\System] • "DisableRegedit"="dword:0x00000001" • "DisableRegistryTools"="dword:0x00000001" • "DisableTaskMgr"="dword:0x00000001" Injektion – Es injiziert sich in einen Prozess. Diverses Greift auf Internetressourcen zu: • hxxp://**********-shops.com/forum/**********.php?id=**********E45544E45&cmd=pcc&win=Windows_XP&loc=0x0809&ver=2.000.11 • hxxp://**********-shops.com/forum/**********.php?id=**********45544E45&cmd=lfk&ldn=31&stat=CRA&ver=2.000.11&data=**********L86tkrTFDMEt9Cgt8DREw== Datei Einzelheiten Programmiersprache: Das Malware-Programm wurde in Visual Basic geschrieben. Laufzeitpacker: Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt. Die Beschreibung wurde durch Google.de am Mittwoch, 13. Juni 2012 bei AntiVir oreg.seite gelesen! =========================================================================== Ich bitte zu Alle um mir helfen und Daten entcypten und video und foto Archiv wider brauchbar machen.... Vor Danke zu ALLE!!!!! Ich habe letzte Hoffnung :( |
Zitat:
wie hast Du den Virus beseitigt? Die Wiederherstellung Deiner Daten ist wahrscheinlich nur bedingt möglich. Windows 7 bietet die Option der Shadow Copies. Versuche zuerst diese Option zu nutzen und schaue nach, ob es Shadow Copies gibt. Dazu eignet sich der Shadow-Explorer sehr gut. Wenn der Shadow-Explorer Copies findet, die vor dem 13.6.2012 angelegt wurden, dann kannst Du diese Dateien wiederherstellen. Sonst bleiben Dir nur die Möglichkeiten, die unter diesem Link aufgezeigt werden. http://www.trojaner-board.de/116851-...strojaner.html Vor Allem die Wiederherstellung von JPG-Bildern mit JPGSnoop und JPEG Recovery ist recht vielversprechend. Volker |
hi leutz, ich hab schon wieder so n scheissteil bekommen. marcus, du wolltest das teil haben, schick mir bitte ne genaue anleitung wie ich das mache, normal weiterleiten geht nicht. und zur erinnerung: ich hab null plan von sowas, also bitte idiotensicher. danke mantha |
steht eig in meiner signatur :-) |
Hier eine interessante und detailreiche Analyse von einer älteren Version: hxxp://malware.lu/Pro/RAP001_malware_rannoh_matsnu_1.1.pdf Und von einer neueren Version: hxxp://code.google.com/p/malware-lu/wiki/en_malware_rannoh Viellt interessiert einem ja die Funktionsweise :eek: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:03 Uhr. |
Copyright ©2000-2025, Trojaner-Board