Hallo zusammen,

heute nachmittag hat mich eine gute Freundin angrufen und erzählte mir, dass sie eine Mail mit einer ihr unbekannten Abrechnung bekommen hatte. Als sie dann noch erwähnte, sie habe eine exe Datei ausgeführt, wusste ich gleich das war keine gute Idee. Sie meinte nach dem starten der Exe war sie dann plötzlich verschwunden und der Rechner arbeitet wie wild. Dann wurde ein Neustart ausgeführt und sie konnte kurz etwas mit Verschlüsseln in einem Fenster lesen. Nach dem Neustart und der Anmeldung war ihre Dateien verschlüsselt und der Bildschirm flackerte immer wieder zwischen hell und dunkel. Da hat sie ihn dann ganz ausgemacht...

Sie hat mir gerade ihren Laptop vorbeigebracht. Da ich mir nicht sicher bin, was der Trojaner alles noch anrichtet, habe ich den Rechner noch nicht wieder gestartet, da auch wichtige Dinge von ihrer Arbeit drauf sind.

Im Internet bin ich dann auf euch gestossen und war gleich begeistert, dass es solche tolle Unterstützung gibt. Das stimmt einen dann doch wieder etwas fröhlicher...

Vielen Dank schon einmal vorab, für eure tatkräftige Unterstützung!!
Da ich ich nicht genau weiß, was am besten ist, würde ich als erstes die Mail weiterleiten. Soll sie auch an http://markusg.trojaner-board.de geschickt werden?

Achja, es handelt sich um ein Windows 7 Rechner.

Viele Grüße,
Luke

hi, jepp das soll sie :-)
+ mail header:
aus web.de hilfe:
Auf unserer Weboberfläche können Sie den kompletten Header anzeigen, indem Sie in der E-Mail-Ansicht auf "erweiterter Header" klicken.

bitte freunde und bekannte vor dieser spam welle warnen, da gibts einige, manung, rechung, telekom-secure, alles im zip format.
solche mails sind nützlich für weitere analysen, deswegen, gern her damit.


und dann das gute stück mal starten und gucken in wie weit er funktioniert.

Hallo Markus,

wow, das ging ja schnell und das um dieser Uhrzeit!
Dachte ich mir schon, dass dich das interessiert
Die Mail ist weitergeleitet.

Ja habe schon einigen meiner Freunde erzählt was passiert ist. Hoffe es spricht sich weiter herum und vorallem schneller wie der Trojaner.

Ich habe ihr auch schon gesagt, sie soll morgen gleich eine Anzeige machen. Es wird wahrscheinlich nicht erfolgreich sein, aber die Hoffnung stirbt zuletzt...
Na dann bin ich mal gespannt, ob wir es wieder zum laufen bekommen.

Viele Grüße,
Luke

hi, speichere ihr die mail mit header auf nen usb stick
also so wie du sie mir gesendet hast.
ich hab auch mal den provider angeschrieben, damit sie die adresse sperren.
wenn bekannte von dir, oder von ihr mails bekommen mit anhängen von unbekannten absender, gerne zusenden.
teste dann mal, in wie weit das gerät startet

ok, mache ich

Der Computer hat normal gestartet. Nach der Anmeldung waren alle Daten auf dem Desktop mit verschlüsselt oder so beschrieben.

Jetzt sehe ich nur noch das Bild was ich im Anhang mitgesendet habe. Den Taskmanager kann ich auch nicht in den Vordergrund holen

Grüße,
Luke

mache ein backup deiner wichtigen dateien die verschlüsselt sind
auf ein externes laufwerk
dann entschlüsseln:
Avira Ransom File Unlocker
gesammtes verzeichniss entschlüsseln wählen
teile mir mit obs geklappt hatt

Hallo Markus,

super, danke!!!!!
Das Programm funktioniert tadelos. Es belässt noch die verschlüsselten Daten da, sie müssen also hinterher manuell bereinigt werden
Nun wird es zwar ein weilchen dauern, ehe sie alle ihre Daten wieder hergestellt hat und ihren Rechner aufgeräumt, aber Strafe muss ja auch sein

Ich habe vorher im abgesicherten Modus, den Trojanerstart deaktiviert. Danach Avira installiert, Update der Datenbank und scannen lassen. Er hat dann den Trojaner erkannt.

Hat sich der Trojaner noch irgendwo anderes im System eingegraben oder war es das nun?

Nochmals vielen Dank, für die schnelle und erfolgreiche Hilfe.

Liebe Grüße,
Luke

poste das avira log.
warnt freunde und bekannte vor dieser spam masche, und weist sie darauf hin, dass solche mails ruhig weiter geleitet werden können, an die oben genannte adresse.

windows suche, dort
*.locked
suchen dann solltet ihr alle verschlüsselten files erwischen und löschen können

Hallo Markus,

das mit dem der Logdatei wird etwas schwieriger, weil der Rechner schon wieder bei ihrer Besitzerin ist. Ich versuche sie später noch online zu stellen.

Die Warnungen habe ich schon meinen Freunden weitergegeben. Bleibt nur zu hoffen, dass sie sich auch daran halten!!

Ich soll euch auch noch ein riesen Dankeschön von der Verursacherin ausrichten Sie ist wieder glücklich und wird so schnell keine unbekannten Anhänge mehr öffenen und gibt mir auch Bescheid, wenn sie wieder so was bekommt.

So dann wünsche ich dir ein schönes Wochenende.

vg,
Luke

dir auch :-)
jo mails sind interessant, so finden wir neue malware und können die spammer melden.
also auch der freundeskreis möge seine mails von unbekannten absendern an mich weiterleiten :-)