Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)
-   -   Neue Verschlüsselungs-Trojaner Variante im Umlauf (https://www.trojaner-board.de/115183-neue-verschluesselungs-trojaner-variante-umlauf.html)

Racheengel 18.05.2012 23:35

ScareUncrypt findest hier im forum zum downloaden.

hat mir ein bisschen zumindest geholfen.
konnte mp3 schlüssel generieren aber als ich dann
den ordner klkickte und unterverzeichniss und kopie häckchen drinnen war passierte bei mir nix.
aber vielleicht hast du glück :)
lieben gruss karin

skumelum 18.05.2012 23:46

Hallo,

mich hat es heute auch betroffen. Bekannte Email - mit Sperrung des PCs. Die lies sich relativ leicht wieder beheben. Aber alle Dateien sind verschlüsselt. AVIRA hat den TR/Injector.MI.2 identifiziert. Die Dateien sind verschlüsselt und mit den 6 bekannten Tools nicht wieder herstellbar. Beispiel: Win7 Beispielbild Wüste = JQaXfdAqslJQonVUg

Bin für jeden Hinweis dankbar, da alle unsere Fotos und Dokumente betroffen sind.

Gruß
skumelum

chris.k 19.05.2012 02:35

Hallo ich hab den Virus auch, bei mir ist auch einiges beschädigt.
Aber ich kann keine Verschlüsselung erkennen, alle Daten sehen normal aus.
Videos, Fotos usw. sie funktionieren auch noch.
Jetzt könnte man denken ich hätte Glück gehabt, aber mich hat es leider doch sehr hart getroffen... ich bin Filmemacher und habe ein Schnittprogramm welches auf 12 Terabyte Daten zurückgreift und es wurden die Verweise auf die Filmdaten in einem sogenannten (Domain Header) umgeschrieben oder beschädigt. Ich habe keinen Zugriff mehr auf die Daten. Da ich grad an einem Diplomfilm arbeite ist die Arbeit von 6 Monaten unwiederbringlich weg bzw. nicht aufrufbar. Es sind teils unwiederbringliche Aufnahmen dabei.
Weiß jemand von euch was es mit dem Domain Header auf sich hat und woran ich erkennen kann was mit den Daten passiert ist ?
Ich habe schon öfter Probleme mit Viren gehabt aber das ist jetzt das Schlimmste was mir je passiert ist.
Ich bin ziemlich ratlos :-(

ReginaG21 19.05.2012 03:22

Hallo nochmal,

habe nun den ersten Punkt wie beschrieben durchgeführt, mit der Anti-Malware.

Das ist nun dabei rausgekommen. Ich hab keine Ahnung, was das bedeutet.
Jedenfalls wurden viele bösartigen Dateien gelöscht.
Ich soll das Ergebnis mitteilen, ist das richtig?
Morgen probiere ich das Entschlüsseln der Word-Dateien. Mal schauen.

LG
Regina



Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.18.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Regina Gottschlich :: MEINLAPTOP [Administrator]

19.05.2012 00:15:07
mbam-log-2012-05-19 (00-15-07).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 272264
Laufzeit: 2 Stunde(n), 45 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 9
HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB} (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
HKCR\TypeLib\{1D4DB7D0-6EC9-47a3-BD87-1E41684E07BB} (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB} (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
HKCR\FunWebProductsInstaller.Start.1 (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
HKCR\FunWebProductsInstaller.Start (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\FunWebProducts (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 5
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Bösartig: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\6CB683FE8CEADD423506.exe,) Gut: (userinit.exe) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 4
C:\Programme\FunWebProducts (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
C:\Programme\FunWebProducts\Installr (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
C:\Programme\FunWebProducts\Installr\1.bin (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
C:\Programme\FunWebProducts\Installr\2.bin (PUP.MyWebSearch) -> Keine Aktion durchgeführt.

Infizierte Dateien: 9
C:\Dokumente und Einstellungen\Regina Gottschlich\Eigene Dateien\Downloads\SoftonicDownloader_fuer_malwarebytes-anti-malware (1).exe (PUP.ToolbarDownloader) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Regina Gottschlich\Eigene Dateien\Downloads\SoftonicDownloader_fuer_malwarebytes-anti-malware.exe (PUP.ToolbarDownloader) -> Keine Aktion durchgeführt.
C:\Programme\FunWebProducts\Installr\1.bin\NPFUNWEB.DLL (PUP.FunWebProducts) -> Keine Aktion durchgeführt.
C:\Programme\FunWebProducts\Installr\2.bin\NPFUNWEB.DLL (PUP.FunWebProducts) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{79CF2C47-7C1F-4F55-919E-F88A822ADA89}\RP50\A0012942.DLL (PUP.FunWebProducts) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{79CF2C47-7C1F-4F55-919E-F88A822ADA89}\RP50\A0012943.DLL (PUP.FunWebProducts) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{79CF2C47-7C1F-4F55-919E-F88A822ADA89}\RP50\A0012944.DLL (PUP.FunWebProducts) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{79CF2C47-7C1F-4F55-919E-F88A822ADA89}\RP50\A0012945.DLL (PUP.FunWebProducts) -> Keine Aktion durchgeführt.
C:\Programme\Freecorder\tbFre1.dll (Adware.Shopper) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

golldy 19.05.2012 08:40

guten morgen,
habe mir auch diesen virus eingefangen :heulen:



hier mal eine anmerkung:
ein fotoordner
deckblatt= 000000.jpg - jetzt AdfoLjOdTTuqNVoLjOd
umbenannt in 000000.jpg - kann nicht geöffnet werden, defekte datei
in diesem ordner befinden sich die dateien al-000.jpg - al-119.jpg
die verschlüsselungen sind sowas von "konfus", nichts weisst auf eine gemeinsamkeit hin :stirn:
gestern hat der it-fachmann von der telekom "malwarebites" installiert und durchlaufen lassen = ok. eben habe ich es nochmal getan = 4 inf. dateien.

ein wort noch an die vollpfosten, die diesen trojaner versandt haben:
ich bin eine alte frau und habe alle erinnerungsfotos verloren, könnt ihr mit eurem wissen nichts nutzvolles tun?:daumenrunter:

polodriver 19.05.2012 09:28

@Goldy Hallo , ich hatte das gleiche Problem meine Bilder waren auch mit diesem "komischen Buchstabensalat" versehen. Ich habe daraufhin einfach mal ".jpg" hinten angehängt. Die Bilder waren dadurch wieder lesbar. Dann habe ich sie mit einem Programm mit dem man komplette Ordnerinhalte nach bestimmten Kriterien umbennen kann umbenannt z.B.: vorher: AgfdshccgvzZh jetzt April20111, April20112, April20113 usw. Bilder sind soweit alle wieder brauchbar und den Rechner werde ich neu aufsetzen. Vielleicht hilft´s Dir ja auch.
Gruß
polodriver

markusg 19.05.2012 09:39

@all
keine logs in diesem thread posten, der ist für eine diskusion gedacht, logs ins passende unterforum

wenn ihr probleme habt, nicht schreiben, geht nicht, kann nicht etc.
sondern vernünftige sätze mit denen man arbeiten kann.
wenn eure dateien verschlüsselt sind, schreibt uns, nach welchem chema.

infizierte mails an uns weiterleiten:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
makrusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

FlickE 19.05.2012 10:00

Habe den Virus auch gehabt, hab es aber hinbekommen ihn (hoffentlich ganz) zu entfernen.

Einfach TaskManager öffnen ( [Strg] + [Umschalt] + [Esc] ), da ist der Prozess dwm.exe doppelt. Den beenden und den explorer.exe auch. Danach auf Anwendung -> Neuer Task... -> "explorer" eingeben und man hat wieder zugriff auf den PC :).

Habe den Virus dann mit CCleaner ausfindig gemacht, da er im Autostart war.

https://lh4.googleusercontent.com/-Q.../Unbenannt.png

markusg 19.05.2012 10:34

naja, hoffendlich ist nicht grad was, worauf man sich verlassen sollte.
lass deinen pc bitte hier untersuchen, eröffne also ein thema im passenden unterforum

neuromancer_ 19.05.2012 10:41

Benutzt zum wiederherstellen der Fotos doch einfach die Vorgängerversion Option von Windows, wie ich auf Seite 3 schon beschrieben habe ;)


Für andere Windows-Versionen: http://www.trojaner-board.de/115496-...erstellen.html
.

Racheengel 19.05.2012 10:42

hi flicke :)


also die datei hatte ich auch doppelt und habe mit ccleaner gelöscht.
mal schauen ob es nun past. zugriff habe ich eh nur die musik und bilddatein sind noch in ner unbrauchbaren zahglen buchstaben kombination :)
aber super und :dankeschoen: für den tolle tip.

habe nun bei den zgihuguigzh datein mp3 dran gehängt nun ist es wieder eine mp3 das proiblem nur sie heisst trotzdem noch so und man kann 2500 lieder durch rätseln und umbennen wer was wie wo singt :( ABER man kann die komischen datein trotzdem mitm windows mediaplayer öffnen einfach auf weiter klicken trotz fehlermeldung dann zeigt er das lied und den künstler an. gut das ich alles auf der externen egspeichert habe und nur die letzten 3 monate musik auf dem rechner sind :(

ps habe housecall, antivir, malware usw drüber laufen lassen er findet anscheinend nichts mehr. wie soll ich ihn hier anschauen bzw durchsuchen lassen ?

die komische dvm datei ist auch im gesunden rechter in prozesse zu finden ?!
verstehe nun garnichts mehr.
habe beim kranken laptop den prozess beendet und cccleaner benutzt aber nach neustart war sie wieder da.
aber wie egsagt ist sie auch auf dem gesunden pc :(

Pommi 19.05.2012 11:33

Hallo,
gestern hat es mich leider auch erwischt.
Genau wie oben beschrieben stellt sich der Trojaner bei mir dar.
Versuche derzeit mit Avira Rescue System den Trojaner zu finden und auszuschalten. Aber wenn danach Dateien beschädigt oder verschlüsselt sind bin ich schon arg getroffen.
Ich weiß mir da keinen Rat.

Da ich mehr Anwender als Computerfachman bin, hab ich von diesen Dingen keine Ahnung und benötige HILFE.
Ich habe keinen Plan wie ich den Trojaner wieder los werde und wie ich die Dateien oder Verzeichnise dann wieder Entschüsseln muss oder kann.


Hier die Mail:

Peter Ihre Bestellung 53902273620
Von: hlfhye@cox.net
Gesendet: Freitag, 18. Mai 2012 18:06
An:
Peter <xxxxxx@freenet.de>

Anlagen: 1
Rechnung.zip (56.1 KB)

Sehr geehrter Peter,

unser Logistikzentrum hat Ihr Paket mit der Bestell-Nr 12039975796 zur Lieferung an DHL AG übergeben.

Im Anhangsordner befindet sich die Abrechnung und Zustell Adresse als PDF-Datei. Sie dürfen die
Abrechnung jederzeit selbständig über den online Shop abrufen.

Folgende Informationen werden benötigt:

- Email-Adresse und die Bestellnummer und
- die Vertrags-Nr. und die Geräte-Id

Bestellnummer: 40090463655
Geräte Serien-Nr.: 35951683467
Rechnungshöhe: 532,65 euro

Ihre Bestellung ist hiermit abgeschlossen.

Mit besten Grüßen

Ihr Kundendienst

_____________________________________
Poike Technik Aktiengesellschaft mit Sitz in Bremen

Vorstand: Andreas Scholz, Helga Peters
Aufsichtsratsvorsitzender: Heinz Eder
Gesellschaftssitz: Keiserslauter 49292

_________

Habe in dem Ordner Virusverdacht 2 weitere ähnliche Mails gefunden.

Ich nutze Freenet und würde die Mails gern an markusg weiter leiten. Nur müsste mir jemand erklären wie ich das machen kann.

Für jede Hilfe bin ich sehr dankbar.

LG Peter

Undertaker 19.05.2012 12:12

Zitat:

Zitat von Racheengel (Beitrag 830311)
hi flicke :)

die komische dvm datei ist auch im gesunden rechter in prozesse zu finden ?!
verstehe nun garnichts mehr.
habe beim kranken laptop den prozess beendet und cccleaner benutzt aber nach neustart war sie wieder da.
aber wie egsagt ist sie auch auf dem gesunden pc :(

Diese "komische" Datei heißt nicht dvm sondern dwm.exe.
Sie startet den Desktopfenster-Manager (DWM). Er verhilft Windows zu den grafische Effekt wie Livevorschau und glasähnliche Rahmen um Fenster (Aero-Glas).


@Pommi,
schau mal nach einem Beitrag von markug, er erläutert fast in jedem Posting, wie man ihm den Virus samt Mail zukommen lassen kann.

FlickE 19.05.2012 14:27

Hallo Racheengel,

ich hätte vielleicht erwähnen sollen das der Prozess dwm.exe vom System ist, und der Trojaner sich als diesen ausgibt und der Prozess dann 2 mal angezeigt wird :)

didek 19.05.2012 14:56

Hallo zusammen,

ich habe seit gestern einen Rechner vor mir, der sich auch mit diesem Windows Verschlüsselungs-Trojaner verseucht hat.

Es scheint sich dabei aber um eine ganz neue oder andere Version zu handeln, als hier beschrieben wurde/wird....

zum einen, hat dieser Trojaner auch alle angeschlossenen USB-HDD´s befallen...

zum andern, werden/wurden die Dateien "nicht" Umbenannt....... alle Namen und Endungen...bleiben erhalten...
und trotzdem kann keine Datei mehr geöffnet werden......
wenn es nur C:\ gewesen wäre...hätte man ein Image zurückspielen können....
aber auf einer HDD mit 1000GB voller Dokumente und Bilder kommt einem dieser Zwischenfallsehr teuer zu stehen...


ich habe mit den von euch hier beschriebenen Tools (Avira, bzw DecryptHelper-0.5)versucht die Dateien wieder herzustellen....
aber wie soll ich das machen, wenn er die Namen der Dateien nicht verändert......bzw. das mit den org. Beispielbilder nicht hinhaut......

vielleicht habt Ihr eine Lösung?!

Danke für eure Mühe und Hilfe

Didek


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:09 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131