Hi,

mit dieser Software gings "DecryptHelper von Matthias... warn Haufen arbeit, aber ALLE Bilder wieder da!!!!

Mein Gott wasn Glück das es Leute wie Euch gibt!!! Tolles Board!!!

Vielen Vielen Dank!!!

Darf ich noch was fragen?

Nun läuft ja Windows7 wieder und auch die Dateien sind entschlüsselt. Trotzdem äußern viele Bedenken das der Trojaner wirklich dauerhaft meine Festplatte verlassen hat?
Empfehlt ihr wirklich ne Formatierung?

Danke nochmal

insbesondere wenn du onlinebanking, einkäufe, sonstige zalungsabwicklungen machst, wäre das ratsam das teil kann prinzipiell malware nachladen etc.
beim banking neue zugangsdaten senden lassen

ok... noch son Aufwand aber wenns sein muss... Also nochmal vielen Dank

@markusg,

habe gerade eine solche mail in meinem Postkasten gefunden:
Sehr geehrte Damen und Herren,

Sie haben sich für unseren Email Upgrade eingetragen und wir sind sehr erfreut Sie als unseren frischen Teilnehmer zu begrüssen
Sie können jetzt bis zu 300 Sms pro Monat gebührenfrei versenden und Ihr Onlinespeichervolumen vergrössert sich um 5 Gb.
222,89 Euro für Mitgliedschaft werden Ihnen pro 12 Monate im Voraus von Ihrem Bankkonto zu Last gelegt.

Entnehmen Sie die Vertragseinzeilheiten bitte dem Anhang, dort finden Sie auch den Formular für Ihre 2 Wochen Kündigungsfrist.

Mit freundlichen Grüßen
Ihr Support

die datei habe ich im uload channel hochgeladen, weis nicht welche version es ist, hab sie nicht ausgeführt :-)

Die Kopfzeile des Versenders ist:
From - Tue May 01 04:14:24 2012
X-Account-Key: account3
X-UIDL: 0LgWtJ-1Rt3C43WLt-00o2iX
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <rachyllooseyvw5@hotmail.com>
Delivery-Date: Tue, 01 May 2012 04:07:34 +0200
Received-SPF: pass (mxbap4: domain of hotmail.com designates 65.55.116.78 as permitted sender) client-ip=65.55.116.78; envelope-from=rachyllooseyvw5@hotmail.com; helo=blu0-omc3-s3.blu0.hotmail.com;
Received: from blu0-omc3-s3.blu0.hotmail.com (blu0-omc3-s3.blu0.hotmail.com [65.55.116.78])
by mx.kundenserver.de (node=mxbap4) with ESMTP (Nemesis)
id 0LgWtJ-1Rt3C43WLt-00o2iX for .......; Tue, 01 May 2012 04:07:34 +0200
Received: from BLU153-DS15 ([65.55.116.73]) by blu0-omc3-s3.blu0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
Mon, 30 Apr 2012 19:07:32 -0700
X-Originating-IP: [111.250.105.75]
X-Originating-Email: [rachyllooseyvw5@hotmail.com]
Message-ID: <BLU153-ds1509E8603EFE2FF6FDFD23F5290@phx.gbl>
Return-Path: rachyllooseyvw5@hotmail.com
From: Kathryn Winebrenner <rachyllooseyvw5@hotmail.com>
To: <.....@t-online.de>
Subject: Lastschrift Nr174869
Date: Tue, 1 May 2012 06:07:01 +0400
MIME-Version: 1.0
Content-Type: multipart/related; type="multipart/alternative";
boundary="----=_NextPart_000_000B_9D16BFE7.5311D1D2"
X-Priority: 3
X-MSMail-Priority: Normal
Importance: Normal
X-Mailer: Microsoft Windows Live Mail 14.0.8064.206
X-MimeOLE: Produced By Microsoft MimeOLE V14.0.8064.206
X-OriginalArrivalTime: 01 May 2012 02:07:32.0965 (UTC) FILETIME=[2B7D0950:01CD273F]
X-UI-Loop: V01:+SX4nqdbepI=:9blwqzglraZFytvM4Nwj79ZWyoTQXx9wDfjS+FfU+Jr9
NBqTWQjxiTdz2nbgDhrq
Envelope-To: .......
X-Antispam: clean, score=64
X-Antivirus: avast! (VPS 120430-1, 30.04.2012), Inbound message
X-Antivirus-Status: Clean


by

avira ransom unlocker update.
hier gibt es kleinere bugfixes
sobald sich ein admin bzw moderator dessen annimmt, wird die version in post1 durch diese ausgetauscht.

Moin moin,

3. Befolge folgende Anweisungen: an alle Hilfesuchenden um den Rechner vollständig zu bereinigen. Das ist wichtig, denn der Rechner ist noch nicht sauber!

Hier wird empfohlen einen Scanner (Gmer) laufen zu lassen... dieser sollte aber nur bei dem 32bit System angewendet werden.

Ich habe aber 64bit. was jetzt?

Danke schon mal

Und einen schönen ersten Mai... in HH Kaiserwetter :-)

Gruß dubsch

hi,

wenn du die mail über ein mail programm erhalten hast.
öffne diese, datei speichern unter, dort als datei typ zb
.eml
wählen.
mail an:
http://markusg.trojaner-board.de
senden, und die so eben gespeicherte datei anhängen.
wenn du über ein web mailer gehst, bzw dessen internet seite, sag mir mal welchen bitte.

dann lässt du den schritt aus.
und dir auch nen schönen feiertag.

Interessante Konstellation bei mir:

Wir haben drei Terminalserver und einen Fileserver mit Fileshares.
Zwei der Mitarbeiter haben anscheinend gleichzeitig so´nen Rechnung.exe Schrott bekommen und geöffnet. Terminalserver 1 und 3 wurden dabei infiziert durch jeweils eine Mitarbeiterin. Die FileShares auf dem Filer ebenfalls.

Jetzt meine Frage: Ich hab wahrscheinlich ein Misch-Masch an verschlüsselten Dateien. Einmal durch Benutzer 1, außerdem durch Benutzer2. Wie stelle ich fest, bei welcher Datei welcher Schüssel der richtige ist? Nachdem es zwei unterschiedliche Maschinen waren, dürfte der Schlüssel auch ein Anderer sein?

ja, vor allem da du mit 2 verschiedenen samples verschlüsselt hast.
der vollständigkeit halber, kommst du an die mail rann? so was kann evtl. für weitere analysen wichtig sein.
sind meistens rechnung, manung, security update, oder lieferschein.zip.
auf jeden fall mails von unbeaknnten absendern mit zip oder rar archiv.
wenn du ein mail programm nutzt, öffne diese mail mal, datei speichern unter, und bei typ zb
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.

wie siehts denn aus mit backups, gibts da welche
haben die beiden mitarbeiter das zur selben stunde geöffnet oder am selben tag.
und, haben sie die selben dateien verschlüsselt oder einer auf server 1 und der andere auf server 3?

@mtx430
update:
für dein problem haben wir bisher leider keine lösung, das einzig plausible ist wirklich, dass die verschlüsselung zwischendurch unterbrochen wurde, und deswegen evtl. ein zweiter schlüssel erstellt wurde

Hallo zusammen,
ich komme leider nicht weiter hier.
sobald ich die verschlüsselte Datei und die Originale
im Program lade, erscheint folgende Meldung:
siehe Anhang...

Könnt ihr mir bitte weiterhelfen ?

Danke !

kannst du mir die meldung mal als klartext posten bitte?

Die Fehlermeldung meinst du ?
:
Bitte wählen Sie ein anderes Locked/Original-Paar aus.
Das gegebene Paar passt nicht zusammen

hallo,
es ist, leider, so weit.
es gibt jetzt variannten, bei denen die entschlüsselung anhand von paaren nicht mehr funktionieren wird.

wichtiger hinweis:
entschlüsselt nur anhand von backups und meldet euch bei problemen.


an einer lösung wird gearbeitet.