Welcher ist das? Gegenmittel? Einstellungen

[Gast_@ndreas_*]

Hallo,

hier der untere Teil eines Fotos von irgendwelchem Viehzeug. Kann das jemand identifizieren?

Der Beitrag wurde von @ndreas bearbeitet: 25.07.2013, 19:06

Angehängte Datei(en)

 Foto.JPG ( 279.22KB ) Anzahl der Downloads: 52

 

[simracer]

Die Variante mit einem solchen Sperrbildschirm hab ich auch noch nicht gesehen. Ist dein eigenes System betroffen oder das System eines Bekannten?

[Gast_@ndreas_*]

Kumpel. Ist bei NIS durchgerutscht.

[simracer]

Autsch! Und du bereinigst ihm sein System bzw spielst ein(hoffentlich vorhandenes)Systemback/image bei ihm ein? Auch wenn es vielleicht etwas OT ist: ich bekam im CB Forum per PN ein paar Links zu solchen Files aus angeblich Rumänien und hab mal eines ausgeführt(30 Minuten vorher machte ich von C ein Systembackup)und als das Ransom aktiv wurde, verschwand erst nur der Desktop, das Desktopbild blieb ohne Verküpfungen usw. und nach einem Reboot war "nur" ein weißer Sperrbildschirm da mit nichts darauf.

Der Beitrag wurde von simracer bearbeitet: 25.07.2013, 19:21

[Gast_@ndreas_*]

Es ist natürlich kein Image vorhanden

[Gast_@ndreas_*]

Und der obere Teil

Angehängte Datei(en)

 Foto2.JPG ( 223.42KB ) Anzahl der Downloads: 32

 

[simracer]

Nicht gut. Er könnte zuerst mit der Kaspersky Rescue Disk und da im Terminal mit der Eingabe windowsunlocker wahrscheinlich erstmal den Sperrbildschirm entfernen, dann gegebenenfalls einen Komplett Scan mit der sowieso schon gebooteten Kaspersky Rescue Disk machen oder gleich versuchen ob das System nach der windowsunlocker Ausführung wieder bootet und wenn ja, Malwarebytes Free runterladen und installieren und damit einen Vollständigen Suchlauf durchführen. Nicht zu vergessen Temp Dateien löschen die hier bei XP unter C/Dokumente und Einstellungen/Benutzername/Lokale Einstellungen/Temp drin sind.

[Catweazle]

...und mit Malwarebytes' Anti-Malware, keine chance ?

Catweazle

[simracer]

Und der obere Teil

Aha eine GVU Variante die kenne ich vom sehen her bei mir wenn mich mal wieder die "Testlust" gepackt hatte so wie gestern. Dürftet ihr mit Kaspersky Rescue Disk und Malwarebytes Free bereinigt bekommen.

Der Beitrag wurde von simracer bearbeitet: 25.07.2013, 19:50

[simracer]

...und mit Malwarebytes' Anti-Malware, keine chance ?

Catweazle

Catweazle, zuerst muss ja mal Malwarebytes Free aufgespielt werden können auf das betroffene System Ist das gemacht, denke ich bzw behaupte ich fast schon bereinigt Malwarbytes das System von dieser Infektion.
@ndreas
Falls dein Bekannter Kaspersky Windows Unlocker nicht kennt(und ihr das ausprobieren wollt), das wird hier beschrieben: http://support.kaspersky.com/de/viruses/so...s?qid=208641247

Der Beitrag wurde von simracer bearbeitet: 25.07.2013, 19:43

[Catweazle]

Ja, ja, vielleicht auch mal die Chameleon funktion benutzen.....

Catweazle

[simracer]

Catweazle, sobald der Sperrbildschirm weg ist, kann Malwarebytes runtergeladen und installiert werden und dann zur Bereinigung eingesetzt werden.

[Catweazle]

...wen dieser übeltäter überhaupt erkannt wird, von Malwarebytes' Anti-Malware !

Catweazle

[simracer]

Wird er Catweazle, da bin ich optimistisch aber Garantie kann ich keine geben weil die GVU Variante ja bestimmt auch in Hunderten oder gar Tausenden Varianten im Umlauf sein dürfte. Solltest nicht vergessen: Malwarebytes ist "spezialisiert" auf solche Infektionen.

[simracer]

Catweazle, es sind immer solche Funde(als Beispiele) die Malwarebytes findet und bereinigt:

Infizierte Dateien: 1
C:\Dokumente und Einstellungen\xxxxxx\Anwendungsdaten\cache.dat (Trojan.Agent.rfz) -> Erfolgreich gelöscht und in Quarantäne gestellt.
Infizierte Dateien: 3
C:\Dokumente und Einstellungen\xxxxxxx\Anwendungsdaten\skype.dat (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\xxxxxx\desktop\movie1080p.mkv.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\RECYCLER\S-1-5-21-117609710-1532298954-1801674531-1004\Dc1.exe (Trojan.FakeAlert.ED) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|shell (Trojan.Agent.RNS) -> Daten: explorer.exe,C:\Dokumente und Einstellungen\xxxxxxx\Anwendungsdaten\skype.dat -> Erfolgreich gelöscht und in Quarantäne gestellt.

Um nochmal auf Kaspersky Windows Unlocker einzugehen: so schaut ein Screenshot davon aus wenn der Befehl windowsunlocker ausgeführt wurde:

Der Beitrag wurde von simracer bearbeitet: 25.07.2013, 20:18

[Catweazle]

@ andreas, bzw sein Bekanter, ich hoffe sein rechner kann bereinigt werden.

Catweazle

[Catweazle]

Oder auch das mal von einen sauberen Rechner erstellen, und prüfen....----> http://blog.botfrei.de/2012/12/hitmanpro-k...der-ransomware/

Catweazle

[Gast_@ndreas_*]

Nach, dann wird der Unlocker zunächst mal ausprobiert. Thx.

[Rene-gad]

Nach, dann wird der Unlocker zunächst mal ausprobiert.

Mein Kollege hatte so ähnliches Ding gehabt. Habe mit KRD in ..\local\temp eine *.js und eine komische *.bft-Dateien entdeckt.

[scu]

Der Typo 'BenutzeNname' kam mir doch sehr bekannt vor. Über den wurde erst vor wenigen Tagen auf heise security berichtet:

Neuer Erpressungs-Trojaner dreht seine Runden
http://www.heise.de/security/meldung/Neuer...en-1919498.html

Bis auf den Banner oben scheint es der gleiche zu sein.