Hallo Zusammen,
ich habe vor gut einer Stunde eine E-Mail geöffnet mit einer Zahlungsaufforderung von knapp 96 Euro und im Anhang befand sich dann eine Datei, die die Erläuterung sowie ein Widerrufsrecht hergibt.
Antivir hat auch kein Alarm geschlagen oder so.
Nach einem Neustart kommt ein Fenster:

Sie haben sich mit einen Windows-Verschlüsselungs-Trojaner infiziert.

Aus Sicherheitsgründen wurde ihr Windowssystem blockiert. Das Besuchen von Seiten mit pornografischen und infizierten Inhalten hat dazu geführt, das Ihr System von einem Computerverschlüsselungstrojaner befallen wurde. Dieses Virus verschlüsselt Ihre Festplatte mit einem 2048 Bit PGP-RSA Schlüssel und eine selbstständige Entschlüsselung ist nicht mehr machbar.

Um das System wiederherstellen zu können, müssen Sie ein zusätzliches Sicherheitupdate herunterladen. Diese Update ist ein kostenpflichtiges Upgrade für infizierte Windowssysteme. Kostenpflichtig ist es, weil es nicht zum ursprünglichen Windowspaket gehört und nur dafür entwickelt wurde um Ihnen zu helfen ihre Daten nicht zu verlieren. Bitte schalten Sie den Computer nicht aus, sonst kann es vorkommen das der Virus nicht beseitigt werden kann und Sie ihre Daten komplett verlieren. Dieses Update beschützt ihr System vollständig von Virus und Schadprogrammen stabilisiert ihr Computersystem und verhindert den Datenverlust.

Damit ihr Computer schnellstens entsperrt wird, nutzen Sie bitte die schnelle und diskrete Zahlungsmöglichkeit durch Paysafecard oder Ukash. Diese Karten können Sie an fast jeder Tankstelle oder einem Kiosk in Ihrer Nähe kaufen. Diese Codes gibts auch überall da, wo Sie Handyaufladekarten erwerben können. Sofort nach der Eingabe und der Gültigkeitsprüfung wird das Update auf Ihren Computer automatisch heruntergeladen und installiert. Ihr System wird sofort entschlüsselt und von dem Trojaner befreit.

50 Euro Paysave-Card Code:____________________ Code eingeben

50 Euro Ucash Code: _____________________Code eingeben.

In den Abgesicherten Modus komme ich erst gar nicht, weil der PC sofort wieder neu startet.
Bei dem Abgesicherten Modus mit Netzwerktreibern das gleiche.

System: Windows XP Professional
Was kann ich tun?

hi, hast du nen zweiten pc und kannst die mail mal an mich weiter leiten, keine angst, da kann nichts passieren.
bitte im thread melden wenn erledigt.
mail adresse:
http://markusg.trojaner-board.de

Nein, vor lauter Panik habe ich es direkt vom Server gelöscht :-(

was ist mit dem papierkorb, da noch drinn?

desweiteren:
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

Hallo,

einen Kunden von uns hat es heute auch erwischt. Wir bekommen den Rechner Heute oder Morgen in die Finger, ggf. auch die Mail, gelingt es die PST zu bergen.

Netter weiße hat der Unglückliche die Mail ausgedruckt. Inhaltlich ging es um eine angebliche Arcor Rechnung für einen Premiumaccount, Vertrags und Kündigungsdetails in einer Rechnung.zip.

Verhalten ist identisch, abgesicherter Modus crasht.

1. warum schreibst du das in den thread eines anderen :-)
2. wenn du die mail bekommst gerne her damit.
3. wenn du weiter führende hilfe willst, bitte neues thema, danke.

Ich habe nun den Rechner und die externe Platte des Kunden.

den Rechner habe ich noch nicht angemacht aber die Dateien auf der externen Fesplatte sehen schon sehr spannend aus:

locked-<Dateiname>.<extension>.<kryptische Extension>

Es scheint eine Art von Verschlüsselung angewendet worden sein denn z.B. Text-Dateien sind, wenn man Sie sich anschaut, verschlüsselt / nicht lesbar.

Einfaches ändern der Extension bringt also nix.

hi,
bitte eröffne ein neues thema, wir sind drann :-) aber das teil ist neu, erst heute aufgetreten, also geduld :-)

Toll, ich glaube ich habe mich etwas überschätzt. Hab Windows gelöscht und neu installiert alles soweit gut sehr viele Dateien sind eh gesichert. Aber wie der Teufel es will sind die Datenbanken von meinem WaWi Programm alle gelocked. Kann man die auch nicht mehr retten?

keine ahnung, antwort kann dauern.
von formatieren hat niemand was gesagt

mache ein backup deiner dateien die verschlüsselt sind
dann entschlüsseln:
http://www.trojaner-board.de/114224-...-unlocker.html
teile mir mit obs geklappt hatt