Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR.Matsnu.EB.31 verschlüsselte Dateien sind nicht umbenannt nach locker etc. (https://www.trojaner-board.de/118933-tr-matsnu-eb-31-verschluesselte-dateien-umbenannt-locker-etc.html)

Digital_Data 09.07.2012 02:26
TR.Matsnu.EB.31 verschlüsselte Dateien sind nicht umbenannt nach locker etc.
 
Hallo,

erst einmal vielen Dank für dieses Board und allen Helfern.

Den Rechner eines Bekannten hat der Verschlüsselungstrojaner erwischt. Bekannter bat mich (schon öfters Viren von Hand gesäubert, sehr erfahren) um Hilfe. Auf dem Rechner läuft die bezahlte Version von Avira im neuesten Update. Infektion war am 23 Juni. Rechner bootet, auf Windows Desktop kommt Meldung, 100 Dollar für Entschlüsselung. Im Abgesicherten Modus gestartet nach Virus gesucht nichts gefunden, erste verschlüsselte Dateien gefunden. Aber die Dateien haben noch den originalen Dateinamen (also nicht locked*.????) und als Created Datum das Jahr 1601. Nach dem der Rechner beim Arbeiten (ich habe dort auch eine parallele leere Win-Installation) immer wieder einfach bootete, baute ich die Platte aus und nahm sie mit zu mir.

Auf meinem Rechner habe ich die Platte zunächst via USB angeschlossen. Avira gestartet, fand TR.Matsnu.EB.31 immer dann wenn er den Virus gefunden hat, konnte auf die Platte nicht mehr geschrieben/gelesen werden. Virus ist aber in der Quarantäne gelandet. Virus ist als Quarantäne-Datei vorhanden, kann übermittelt werden.

Auf meinem Rechner intern an ATA-Board angeschlossen, nun läuft Platte den ganzen Scan durch, kein Virus mehr gefunden. Kein Reboot oder Schreibfehler seit dem. Auf Google wegen Verschlüsselung gesucht und dieses Board gefunden. Malwarebytes Anti-Malware und Gmer laufen lassen, keine weiteren Funde.

Avira Entschlüsselung runter geladen, ich habe von einigen PDF-, CSV-Dateien Original-Versionen, aber da die Dateien nicht locked-*.???? heißen, funktioniert die Entschlüsselung nicht. Kann jemand helfen ?

Hier Germ-Log: C:\ ist meine Partition, D:\ ist die befallene Partition, K:\ ist die Partition mit meinem Programme-Verzeichnis.

Code:
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-07-08 23:19:39
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 ST3500630A rev.3.AAE
Running: hzecrlif.exe; Driver: H:\Temp_XP\agldikow.sys


---- System - GMER 1.0.15 ----

SSDT            B87E8904                                                                        ZwClose
SSDT            B87E890E                                                                        ZwCreateSection
SSDT            B87E88B4                                                                        ZwCreateThread
SSDT            B87E88FF                                                                        ZwDuplicateObject
SSDT            B87E88A0                                                                        ZwOpenProcess
SSDT            B87E88A5                                                                        ZwOpenThread
SSDT            B87E8927                                                                        ZwQueryValueKey
SSDT            B87E8918                                                                        ZwRequestWaitReplyPort
SSDT            B87E8913                                                                        ZwSetContextThread
SSDT            B87E891D                                                                        ZwSetSecurityObject
SSDT            B87E8922                                                                        ZwSystemDebugControl
SSDT            B87E88AF                                                                        ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

?              rqadvlg.sys                                                                      The system cannot find the file specified. !
.text          C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                        section is writeable [0xB5C803C0, 0x95AECA, 0xE8000020]
init            C:\WINDOWS\system32\drivers\monfilt.sys                                          entry point in "init" section [0xB3233280]
init            C:\WINDOWS\System32\Drivers\dgcodec.sys                                          entry point in "init" section [0xA9502194]
init            C:\WINDOWS\System32\Drivers\dgvideo.sys                                          entry point in "init" section [0xA8B9019F]

---- User code sections - GMER 1.0.15 ----

.text          K:\PrgXP\Internet Explorer\iexplore.exe[116] USER32.dll!DialogBoxParamW          7E4247AB 5 Bytes  JMP 3E215505 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          K:\PrgXP\Internet Explorer\iexplore.exe[116] USER32.dll!CreateWindowExW          7E42D0A3 5 Bytes  JMP 3E2EDAD4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          K:\PrgXP\Internet Explorer\iexplore.exe[116] USER32.dll!DialogBoxIndirectParamW  7E432072 5 Bytes  JMP 3E3E7207 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          K:\PrgXP\Internet Explorer\iexplore.exe[116] USER32.dll!MessageBoxIndirectA      7E43A082 5 Bytes  JMP 3E3E7139 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          K:\PrgXP\Internet Explorer\iexplore.exe[116] USER32.dll!DialogBoxParamA          7E43B144 5 Bytes  JMP 3E3E71A4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          K:\PrgXP\Internet Explorer\iexplore.exe[116] USER32.dll!MessageBoxExW            7E450838 5 Bytes  JMP 3E3E700A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          K:\PrgXP\Internet Explorer\iexplore.exe[116] USER32.dll!MessageBoxExA            7E45085C 5 Bytes  JMP 3E3E706C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          K:\PrgXP\Internet Explorer\iexplore.exe[116] USER32.dll!DialogBoxIndirectParamA  7E456D7D 5 Bytes  JMP 3E3E726A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          K:\PrgXP\Internet Explorer\iexplore.exe[116] USER32.dll!MessageBoxIndirectW      7E4664D5 5 Bytes  JMP 3E3E70CE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          K:\PrgXP\Internet Explorer\iexplore.exe[860] USER32.dll!DialogBoxParamW          7E4247AB 5 Bytes  JMP 3E215505 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          K:\PrgXP\Internet Explorer\iexplore.exe[860] USER32.dll!SetWindowsHookExW        7E42820F 5 Bytes  JMP 3E2E9A65 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          K:\PrgXP\Internet Explorer\iexplore.exe[860] USER32.dll!CallNextHookEx          7E42B3C6 5 Bytes  JMP 3E2DD0DD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          K:\PrgXP\Internet Explorer\iexplore.exe[860] USER32.dll!CreateWindowExW          7E42D0A3 5 Bytes  JMP 3E2EDAD4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          K:\PrgXP\Internet Explorer\iexplore.exe[860] USER32.dll!UnhookWindowsHookEx      7E42D5F3 5 Bytes  JMP 3E25466C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          K:\PrgXP\Internet Explorer\iexplore.exe[860] USER32.dll!DialogBoxIndirectParamW  7E432072 5 Bytes  JMP 3E3E7207 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          K:\PrgXP\Internet Explorer\iexplore.exe[860] USER32.dll!MessageBoxIndirectA      7E43A082 5 Bytes  JMP 3E3E7139 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          K:\PrgXP\Internet Explorer\iexplore.exe[860] USER32.dll!DialogBoxParamA          7E43B144 5 Bytes  JMP 3E3E71A4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          K:\PrgXP\Internet Explorer\iexplore.exe[860] USER32.dll!MessageBoxExW            7E450838 5 Bytes  JMP 3E3E700A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          K:\PrgXP\Internet Explorer\iexplore.exe[860] USER32.dll!MessageBoxExA            7E45085C 5 Bytes  JMP 3E3E706C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          K:\PrgXP\Internet Explorer\iexplore.exe[860] USER32.dll!DialogBoxIndirectParamA  7E456D7D 5 Bytes  JMP 3E3E726A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          K:\PrgXP\Internet Explorer\iexplore.exe[860] USER32.dll!MessageBoxIndirectW      7E4664D5 5 Bytes  JMP 3E3E70CE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          K:\PrgXP\Internet Explorer\iexplore.exe[860] ole32.dll!CoCreateInstance          774FF1BC 5 Bytes  JMP 3E2EDB30 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          K:\PrgXP\Internet Explorer\iexplore.exe[860] ole32.dll!OleLoadFromStream        7752983B 5 Bytes  JMP 3E3E756F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat                                                        fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
Digital_Data

cosinus 12.07.2012 15:24
Wo sind die Logs von Malwarebyts, AntiVir? Bitte alles posten!


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:31 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131