@Sew
can you send me the suspicious email you got with the dropper?
makrusg - trojaner-board.de
please klick the link, there you find the mail adress.
have you try one of the tools we use in this forum, for exsample the tool we talking about in this topic?
you can find it in the first post.

@Jacqueline
eröffne mal ein neues thema im bereich logfiles, dann gucken wir uns den pc mal an

@Double D
Hast du denn die windowsbeispelbilder noch auf dem PC gehabt? Dann könntest du es darüber versuchen (Originaldateien zum Erstellen des Schlüssels findest du auch unter dem geposteten Link).
Ansonsten:
Hast du vll von dem PC aus eine Mail mit einer Datei versendet (Auftragsbestätigung etc.), die dir der Enpfänger zuschicken könnte um den Schlüssel zu generieren?
Oder gibt es Dateien, die auf jedem Eurer Rechner drauf sind (Im Autohaus, z. B. Fahrzeugliste, Mitarbeiter, Vorlagen für spezielle Programme etc.) und die du dir von einem anderen Rechner zum Generieren des Schlüssels besorgen könntest?

jo, alle solche verdächtigen mails ungefragt weiterleiten.
probiere bitte erst den shadow explorer aus.
falls sie vista oder höher hatt

Hallo,

ich lese mir hier seit Tagen die Postings durch und hab auch schon alle Programme durchprobiert. Hab mir den Trojaner der neuen Variante am 18.05.2012 eingefangen und hatte alle Symtome wie bisher beschrieben. Über den abgesichterten Modus mit Netzwerkzugang hab ich Internetverbindung bekommen und mit dem Malwarebytes/Antimaleware, das Notebook (win7) wieder zum Laufen gebracht.
Im Outlook hat er mir nichts verschlüsselt, alle Daten sind vorhanden und lesbar. Auf der Partition C hat er mir auch nicht eine Datei verschlüsselt, obwohl unzählige Bilder dort liegen. Nachdem ich mich hier etwas eingelesen hatte war ich schon glücklich, dass bei mir keine solchen Auswirkungen zu sehen waren. Ich hab dann des Kaspersky und nacheinander noch andere "Spürhunde" suchen lassen und den Rechner wieder sauber. Leider auch die ursächliche Mail gelöscht.
2 Tage später suche ich nach einer Datei und sehe, dass alle Musikdateien, alle Bilder und alle Worddokumente auf der Partition D wie vorher beschrieben verschlüsselt sind. Also ohne unlocked, sondern mit den Buchstabenfolgen z.B. eJalQOeTruXsXNDpuvsaN. Nur Groß und Kleinbuchstaben ohne Zahlen und ohne Dateiendung.
PDFDateien und Ordner blieben unverschlüsselt.

Ist das nun noch ein ganz anderer Schädling, der C verschont und D verschlüsselt?
Bin zwar ratlos, aber auch geduldig, in der Hoffnung, dass man das hoffentlich wieder beheben kann, da leider noch nicht alle Daten gesichert werden konnten.

Zitat:

Zitat von Enja

Hallo,

ich lese mir hier seit Tagen die Postings durch und hab auch schon alle Programme durchprobiert. Hab mir den Trojaner der neuen Variante am 18.05.2012 eingefangen und hatte alle Symtome wie bisher beschrieben. Über den abgesichterten Modus mit Netzwerkzugang hab ich Internetverbindung bekommen und mit dem Malwarebytes/Antimaleware, das Notebook (win7) wieder zum Laufen gebracht.
Im Outlook hat er mir nichts verschlüsselt, alle Daten sind vorhanden und lesbar. Auf der Partition C hat er mir auch nicht eine Datei verschlüsselt, obwohl unzählige Bilder dort liegen. Nachdem ich mich hier etwas eingelesen hatte war ich schon glücklich, dass bei mir keine solchen Auswirkungen zu sehen waren. Ich hab dann des Kaspersky und nacheinander noch andere "Spürhunde" suchen lassen und den Rechner wieder sauber. Leider auch die ursächliche Mail gelöscht.
2 Tage später suche ich nach einer Datei und sehe, dass alle Musikdateien, alle Bilder und alle Worddokumente auf der Partition D wie vorher beschrieben verschlüsselt sind. Also ohne unlocked, sondern mit den Buchstabenfolgen z.B. eJalQOeTruXsXNDpuvsaN. Nur Groß und Kleinbuchstaben ohne Zahlen und ohne Dateiendung.
PDFDateien und Ordner blieben unverschlüsselt.

Ist das nun noch ein ganz anderer Schädling, der C verschont und D verschlüsselt?
Bin zwar ratlos, aber auch geduldig, in der Hoffnung, dass man das hoffentlich wieder beheben kann, da leider noch nicht alle Daten gesichert werden konnten.

Hast du mal versucht die bilder auf c zu öffnen? es gibt nämlich die variante, dass auf LW C die Namen bleiben aber trotzdem nicht zu öffnen sind und auf einem anderen LW wie du es beschreibst.
Nachtrag: miniaturansicht funktioniert in der regel noch deshalb genau schauen!

Zitat:

Zitat von Nusshund

Hast du mal versucht die bilder auf c zu öffnen? es gibt nämlich die variante, dass auf LW C die Namen bleiben aber trotzdem nicht zu öffnen sind und auf einem anderen LW wie du es beschreibst.
Nachtrag: miniaturansicht funktioniert in der regel noch deshalb genau schauen!

Nein, alle meine Daten auf "C" sind vollommen in Ordnung und zu öffnen, finde das auch recht unglaublich, ist aber wirklich so.

liegen die auf dem desktop oder im dokumenten ordner oder einfach in irgendeinem ordner¿ wenn letzteres der fall ist wo liegt dein dokumenten ordner auf LW D?

Zitat:

Zitat von Nusshund

liegen die auf dem desktop oder im dokumenten ordner oder einfach in irgendeinem ordner¿ wenn letzteres der fall ist wo liegt dein dokumenten ordner auf LW D?

Die Dokumente, Bilder etc. liegen unter LW C Bibliotheken, - Bilder,- Dokumente,- Musik,- Videos, wie von win7 die Ordnereinteilung vorgegeben ist. AUch alle Dateien auf dem Desktop lassen sich ohne Probleme öffnen.

Unter LW D ist die Einteilung ähnlich: Bibliotheks,- Dokuments,- Musik,- Pictures.
Hab an der Ordneraufteilung nichts verändert, nur unter neue Ordner darunter angelegt. Die Ordnernamen sind auch unter D unverschlüsselt.

Hi, bei mir liegen die Dokumente auf der 2. Partition (LW E, weiters auf einer externen FP (LW G - sind allesamt verschlüsselt, nur die Ordner und unwichtige Dateien (zB. .ink)sind normal lesbar.

Seltsam, dass bei jedem andere Auswirkungen da sind

Ich habe da ein Win XP

welches betriebssystem nutzt ihr.
wer vista oder höher nutzt, shadow explorer versuchen.
bei mp3s und bildern ist es möglich das man einige files zum laufen bekommt wenn man die endung anhängt.

Hi Markus, hilft es dir etwas wenn ich eine Verschlüsselte Datei (zB blaue Berge Bild) poste?

hi
nein verschlüsselte dateien haben wir genug denke ich :-)