Gute Abend !
--------------
Ich habe 13.6.2012 Auch bin dran war ((


Auf mein PC Win.7pro 64 Bit .... Alle Daten auf C: Ich habe alles beseitigen und wider herstellt ! Aber auf D,E,F Festplatten Privat alte Fotos und Privat Archiv Video in avi Format verschlüsselt : und so aussehen QqTlVOqAlsFFAstGun (mit umbenennen & Endung Format bring nichts(((

Ich habe schon total Untergang Da ist privat-videoarchiv von ganze Familien welche ich 15 Jahre gesammelt teilweise mit schnitt und Nachtvertonung gemacht ((
Ich habe angst zu meine Frau sagen... ist alle Video-Foto Daten unbrauchbar ist (((

So war:
kommt -E.Mail von ambient@smail.lt auf mein Namen-Vornahmen , das wegen ich nicht aufmerken da ist falle.!
---------------
Sehr geehrter "Meine Vorname & Nachnamen!!!!!

Sicher ist es Ihnen entgangen, dass die Zahlungsfrist der nachfolgenden Rechnung abgelaufen ist. Auf unsere Schreiben haben Sie auch nicht reagiert.

Artikel: Dell THK PA
Artikelnummer: 8783852257981
Stück: 2
Zwischensumme: 615,47 Euro

Aufgrund zusätzlicher Kosten anlässlich des Ausgleichs von Gebührenforderungen erheben wir Mahngebühren und Einschreibegebühren in der Höhe von 10.- Euro inkl. MwSt.

Wir bitten Sie, den ausstehenden Rechnungsbetrag in den nächsten 7 Tagen zu überweisen. Ansonsten sehen wir uns leider gezwungen, ein Gerichtsverfahren in die Wege zu leiten und ein Inkasso Unternehmen für die weiteren Massnahmen zu beauftragen.

Sollte sich dieses Schreiben mit der Bezahlung des ausstehenden Betrags gekreuzt haben, so betrachten Sie dieses Schreiben bitte als gegenstandslos.

Beilagen:
- Rechnungsübersicht
- Bestellung

Mit freundlichen Grüßen
Dazu "Beilagen.zip Datei 44kb
------------------------------------
Nach System wiederherstellen ich habe auf Destop text datei : ACHTUNG-LESEN.txt :

Sehr geehrte Damen und Herren,
anscheinend wurde das Update Programm vollständig unterbrochen.
Jetzt kann das Virus nur manuell beseitigt werden.
Dies brauchen Sie um Ihre Dateien benutzen zu können.
Falls Sie also die gesperrten Daten brauchen,
senden Sie uns bitte 200 Euro Ukash Code an die Email:
software-update@inbox.lt, so bald dieser Code geprüft wurde,
erhalten Sie ein Update Programm.
Falls Sie Ihre Daten nicht brauchen raten wir Ihnen dringend Ihren Computer zu formatieren um den Virus vollständig zu entfernen.
Ukash können Sie an einer beliebigen Tankstelle erwerben und auch in mehreren Internetcafes in Ihrer Nähe.
mfG Ihr Security Team

Schweinerei
--------------
Durch Programm gelöscht - und erkannt schädliche Trojan:

Antivirus Programm Dr.Web indenfecirt schadliche datei:
Trojan.DownLoader6.17383

mit Google ich versuchen etwas finden :
---------------------------------------
TR/Dldr.Agent.17383
Allgemein Verbreitungsmethode:
• Keine eigene Verbreitungsroutine


Aliases:
• Bitdefender: Trojan.Generic.KDV.647838
• Eset: Win32/Trustezeb.C trojan
• GData: Trojan.Generic.KDV.647838
• DrWeb: Trojan.DownLoader6.17383
Betriebsysteme:
• Windows 2000
• Windows XP
• Windows 2003
• Windows Vista
• Windows Server 2008
• Windows 7
Auswirkungen:
• Änderung an der Registry
---------------------------------------------
Dateien Kopien seiner selbst werden hier erzeugt:
• %temp%\%zehnstellige zufällige Buchstabenkombination% .pre
• %appdata%\%fünfstellige zufällige Buchstabenkombination% \%zehnstellige zufällige Buchstabenkombination% .exe

Die anfänglich ausgeführte Kopie der Malware wird gelöscht.

Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "D8812EB1"="%temp%\%fünfstellige zufällige Buchstabenkombination% \%achtstellige zufällige Buchstabenkombination% .exe"



Die folgenden Registryschlüssel werden hinzugefügt um die Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
• "DisableRegedit"="dword:0x00000001"
• "DisableTaskMgr"="dword:0x00000001"

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager]
• "PendingFileRenameOperations"="\??\%temp%\%zehnstellige zufällige Buchstabenkombination% .pre"



Der Wert des folgenden Registry keys wird gelöscht:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
• "AlternateShell"="cmd.exe"



Folgende Registryschlüssel werden hinzugefügt:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
• "DisableRegedit"="dword:0x00000001"
• "DisableRegistryTools"="dword:0x00000001"
• "DisableTaskMgr"="dword:0x00000001"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\msconfig.exe]
• "Debugger"="P9KDMF.EXE"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\regedit.exe]
• "Debugger"="P9KDMF.EXE"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\taskmgr.exe]
• "Debugger"="P9KDMF.EXE"

– [HKEY_USERS\S-1-5-21-602162358-2077806209-839522115-1003\Software\
Microsoft\Windows\CurrentVersion\Policies\System]
• "DisableRegedit"="dword:0x00000001"
• "DisableRegistryTools"="dword:0x00000001"
• "DisableTaskMgr"="dword:0x00000001"

Injektion – Es injiziert sich in einen Prozess.

Diverses Greift auf Internetressourcen zu:
• hxxp://**********-shops.com/forum/**********.php?id=**********E45544E45&cmd=pcc&win=Windows_XP&loc=0x0809&ver=2.000.11
• hxxp://**********-shops.com/forum/**********.php?id=**********45544E45&cmd=lfk&ldn=31&stat=CRA&ver=2.000.11&data=**********L86tkrTFDMEt9Cgt8DREw==

Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde durch Google.de am Mittwoch, 13. Juni 2012 bei AntiVir oreg.seite gelesen!

===========================================================================

Ich bitte zu Alle um mir helfen und Daten entcypten und video und foto Archiv wider brauchbar machen.... Vor Danke zu ALLE!!!!! Ich habe letzte Hoffnung

Zitat:

Zitat von Igorm

Ich habe alles beseitigen und wider herstellt !

Guten Morgen,
wie hast Du den Virus beseitigt?

Die Wiederherstellung Deiner Daten ist wahrscheinlich nur bedingt möglich.
Windows 7 bietet die Option der Shadow Copies.
Versuche zuerst diese Option zu nutzen und schaue nach, ob es Shadow Copies gibt. Dazu eignet sich der Shadow-Explorer sehr gut.
Wenn der Shadow-Explorer Copies findet, die vor dem 13.6.2012 angelegt wurden, dann kannst Du diese Dateien wiederherstellen.

Sonst bleiben Dir nur die Möglichkeiten, die unter diesem Link aufgezeigt werden.

http://www.trojaner-board.de/116851-...strojaner.html

Vor Allem die Wiederherstellung von JPG-Bildern mit JPGSnoop und JPEG Recovery ist recht vielversprechend.

Volker