Hallo ich hatte auch ein PC mit dem oben beschriebenen Trojaner. Konnte ihn leicht über eine Linux-CD entfernen. Über die Windowssicherung auf eine zweite Partition konnte ich auch alle Daten wieder einspielen.

Jetzt eine allgemeine Frage dazu. Es soll auch Varianten geben die auch auf Netzlaufwerke und USB-Laufwerke die Daten verschlüsseln.

Wie kann ich in Zukunft dann noch ein automatisches Backup erstellen wenn die Gefahr ist, das das Backup auch verschlüsselt wird.

Reicht es bei Netzlaufwerke wenn ich die alle trenne (Also keine Laufwerksbuchstaben mehr im Explorer habe). Ich könnte direkt über die Netzwerkadresse auf mein NAS oder Backup-PC zugreifen (z.B \\Backup-NAS\Backup-Pfad\usw). Oder findet der Trojana auch alle am Netzwerk verbundene Geräte auch wenn man ohne Netzlaufwerk auf sie zugreift. Falls ja fällt mir bei einen NAS dann nur noch Zugriff per FTP ein.

Also wie könnte man besten automatisch ein Backup auf ein NAS oder zweiten PC erstellen ohne das ein Verschlüsselungs-Trojaner auf dieses Backup zugreifen kann.

Bei Backup auf USB-Platten fällt mir nur ein "Ausschalten". Aber das ist für automatische Backup's ungeeignet.

ich hoffe auf rege Vorschläge.

Alex

Ich habe jetzt mein System neu aufgespielt, weil ich das Gefühl hatte das der Trojaner weitere Daten vernichten könnte. Die Bilder sind wohl noch vorhanden,. jedoch kann ich sie nicht öffnen. Unter Acdsee steht Quelldatein kann nicht geöffnet werden, unter Windos kommt die meldung ungültiges Format. Gehe mal davon das die Bilder mit dem Trojaner verschüsselt worden sind. wie kann ich sie wieder herstellen. HILFE.... Wenn ich die Bilddatein recht Anwähle und unter Eigenschaften gehe, dort weiter unter Details, sehe ich das die Ganzen Bildinformationen nicht mehr vorhanden sind, ist das jetzt ganz schlecht, oder geht da eventuell noch was?

@azystems:

Zitat:

Zitat von azystems

Wie kann ich in Zukunft dann noch ein automatisches Backup erstellen wenn die Gefahr ist, das das Backup auch verschlüsselt wird.

Reicht es bei Netzlaufwerke wenn ich die alle trenne (Also keine Laufwerksbuchstaben mehr im Explorer habe). Ich könnte direkt über die Netzwerkadresse auf mein NAS oder Backup-PC zugreifen (z.B \\Backup-NAS\Backup-Pfad\usw). Oder findet der Trojana auch alle am Netzwerk verbundene Geräte auch wenn man ohne Netzlaufwerk auf sie zugreift. Falls ja fällt mir bei einen NAS dann nur noch Zugriff per FTP ein.

Also wie könnte man besten automatisch ein Backup auf ein NAS oder zweiten PC erstellen ohne das ein Verschlüsselungs-Trojaner auf dieses Backup zugreifen kann.

Bei Backup auf USB-Platten fällt mir nur ein "Ausschalten". Aber das ist für automatische Backup's ungeeignet.

ich hoffe auf rege Vorschläge.

Alex

Leider bin ich einer der Betroffenen wo die Sicherung auf externer USB ebenfalls mit verschlüsselt wurde.
Abhilfe ist in diesem Fall nur über abstecken,ausschalten oder USB-Platte über einen Script nach Ende des Backup vom Rechner abmelden (entfernen).

Komfortabler ist auf jeden Fall die Sicherung auf Fileserver/NAS, wo die Laufwerke erst bei Beginn der Sicherung mit Passwort gemountet werden, und nach Ende des Backups getrennt. Auch in diesem Fall würde ich über entsprechende Rechtevergabe dafür sorgen, daß auf die älteren Backups nur Read-only zugegriffen werden kann.

Das A und O und der beste Schutz ist, niemals als Administrator im Internet zu surfen bzw. Mails zu lesen/öffnen. Die Sicherung z.B. würde als Task unter Administrator ausgeführt, der normale Benutzer hätte nur Leserechte. Somit kann kein Schadprogramm mehr die Sicherungen verändern/löschen/verschlüsseln. Auch wenn ein Schädling dann die Eigenen Dateien/Bilder usw. verändert, wären diese dann schnell vom Backup wiederhergestellt.

gruss

Rainer

ich habe ebenfalls diesen Trojaner, habe schon mehrfach mit der spezial CD
gebootet und die Logfiles erstellt.


kann ich hier die mal eben posten

irgendwie brauche ich wohl nun die Hilfe eines Menschn um das Scriptfile fix.txt zu erstellen, sehe ich das richtig ?

wie kontrolliere ich ob meine OTLPE Version neu genug ist ?

Hallo, ich habe mich gerade infiziert Ich bin total unglücklich. Wie kann ich meine Dokumente wieder herstellen und den Trojaner vernichten ? (Ich kenne mich mit sowas nicht aus) Bitte um Hilfe !!!

Ach ja das ist die Email:
Sehr geehrte/r Kunde/Kundin,

Vielen Dank für Ihren Vertrag mit teemarktplatz.de, nachfolgend finden Sie Ihre Bestellbestätigung.

Deine Gebotsnummer: 031263883430
Artikel: BareBone 7453487975 5378,14 Euro
Rechnungsname: Wie in Rechnungsdaten mitgeteilt


Zahlungsmethode: Bankeinzug

Versandadresse und detaillierte Vertragsdaten finden Sie aus Sicherheitsmaßnahmen in beigefügter Datei.

Die Überweisung wurde autorisiert und wird innerhalb 4 Tage abgetragen.
Artikeldetails und Widerspruch Mitteilung finden Sie im Anhang.


Ihr Kundenberater

Kraus GmbH
Hermannstal 41
10501 München

Telefon: (+49) 471 6618632
(Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr)
Gesellschaftssitz ist Alzenau
Umsatzsteuer-ID: DE100030436
Geschäftsfuehrer: Victoria Seidel

@VannyJoan
lies post 3, und sende mir die mail zu.
nach welchem chema sind die verschlüsselten dateien benannt?
sind sie umbenannt worden wie hier als beispiel angegeben.
haben sie ein locked vor dem datei namen oder sind sie gar nicht umbenannt worden?

Hallo Leute,
ich habe hier auch einen Rechner sthen, welcher mit dem besagten Trojaner über eine email infiziert wurde. Die Dateien sind in dieser Art : TxoXdJptaEoQUvpsnED verschlüsselt. Wenn ich ein verschlüsseltes Bild umbenenne, also einfach so:TxoXdJptaEoQUvpsnED.jpg kann ich das Bild ganz normal öffnen. Da es bei diesem PC hauptsächlich um die Fotos geht, würde mir eine Möglichkeit weiterhelfen wie ich mehrere Datein auf einmal umbenennen kann zB. Bild1.jpg, Bild2.jpg etc. Wäre schön wenn mir jemand helfen könnte.
Vielen Dank im Voraus!
polodriver

Habe den Virus auch gehabt, hab es aber hinbekommen ihn (hoffentlich ganz) zu entfernen.

Einfach TaskManager öffnen ( [Strg] + [Umschalt] + [Esc] ), da ist der Prozess dwm.exe doppelt. Den beenden und den explorer.exe auch. Danach auf Anwendung -> Neuer Task... -> "explorer" eingeben und man hat wieder zugriff auf den PC .

Habe den Virus dann mit CCleaner ausfindig gemacht, da er im Autostart war.

hi flicke


also die datei hatte ich auch doppelt und habe mit CCleaner gelöscht.
mal schauen ob es nun past. zugriff habe ich eh nur die musik und bilddatein sind noch in ner unbrauchbaren zahglen buchstaben kombination
aber super und für den tolle tip.

habe nun bei den zgihuguigzh datein mp3 dran gehängt nun ist es wieder eine mp3 das proiblem nur sie heisst trotzdem noch so und man kann 2500 lieder durch rätseln und umbennen wer was wie wo singt ABER man kann die komischen datein trotzdem mitm windows mediaplayer öffnen einfach auf weiter klicken trotz fehlermeldung dann zeigt er das lied und den künstler an. gut das ich alles auf der externen egspeichert habe und nur die letzten 3 monate musik auf dem rechner sind

ps habe housecall, antivir, malware usw drüber laufen lassen er findet anscheinend nichts mehr. wie soll ich ihn hier anschauen bzw durchsuchen lassen ?

die komische dvm datei ist auch im gesunden rechter in prozesse zu finden ?!
verstehe nun garnichts mehr.
habe beim kranken laptop den prozess beendet und cccleaner benutzt aber nach neustart war sie wieder da.
aber wie egsagt ist sie auch auf dem gesunden pc

Zitat:

Zitat von Racheengel

hi flicke

die komische dvm datei ist auch im gesunden rechter in prozesse zu finden ?!
verstehe nun garnichts mehr.
habe beim kranken laptop den prozess beendet und cccleaner benutzt aber nach neustart war sie wieder da.
aber wie egsagt ist sie auch auf dem gesunden pc

Diese "komische" Datei heißt nicht dvm sondern dwm.exe.
Sie startet den Desktopfenster-Manager (DWM). Er verhilft Windows zu den grafische Effekt wie Livevorschau und glasähnliche Rahmen um Fenster (Aero-Glas).


@Pommi,
schau mal nach einem Beitrag von markug, er erläutert fast in jedem Posting, wie man ihm den Virus samt Mail zukommen lassen kann.

Hallo Racheengel,

ich hätte vielleicht erwähnen sollen das der Prozess dwm.exe vom System ist, und der Trojaner sich als diesen ausgibt und der Prozess dann 2 mal angezeigt wird

Hallo
ich habe heute morgen eine Mail erhalten, in welcher meine 4 Jährige Tochter vermerkt wurde mit Vor-und Nachnamen.
Ich habe diese geöffnet und die Datei geöffnet. Jedoch passierte rein gar nichts.
Habe alles in den Papierkorb verschoben.

Als ich dann meinen Laptop runtergefahren habe und ihn 20 min später wieder anmachen wollte erschien von "Windows" ein "Update"

Sehr geehrte/r Leana Erler,

Danke für ihren Vertrag mit Querstreifen, nachfolgend finden Sie Ihre Bezahbestätigung.

Ihre Transaktionsnummer: 070450401715
Artikel: 3ware 7283361787 5808,79 Euro
Rechnungsname: Leana Erler

Zahlungsmethode: Visa

Versandadresse und detaillierte Vertragsdaten finden Sie aus Vorsichtsgründen im zugefügten Ordner.

Die Überweisung wurde autorisiert und wird innerhalb 3 Tage abgetragen.
Rechnungseinzelheiten und Widerspruch Erklärung finden Sie im zugefügtem Zip Ordner.


Ihr Support-Team

Hoffmann GmbH
Audorfring 81
50435 Dortmund

Telefon: (+49) 927 1570980
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Amorbach
Umsatzsteuer-ID: DE148803122
Geschäftsfuehrer: Frieda König










Was mach ich denn nun? Der Laptop gehört meinem Freund. Ich bin nun übergewechselt zum Rechner.
Ich bräuchte driiiingend Hilfe!!!!!

Danke
Jennifer

@ Jenna25.....
wenn du nach einigen sec., nachdem der PC hochgefahren ist, ein Fenster auf dem Schirm, mit dem Titel "Sie haben sich mit einem Windows Verschlüsselungs-Trojaner infiziert"?????, hast..... sieht es nicht gut für deinen PC aus.

Wenn du kein Backup des PC´s haben solltest, bzw. die Windows Wiederherstellungs-Optionen "nicht" aktiviert sind........ wird dir nicht viel anderes übrig bleiben als den PC Neu zu Installieren......
zu beachten ist auch noch, dass wenn du diesen Schädlich auf dem Pc hast, unter umständen alle deine Dokumente (Bilder, PDF usw.) auch in Mitleidenschaft gezogen worden sind........

wäre es möglich das du näheres zu dem Problem schreibst.......
z.B.
- wie sehen die Dateinamen deiner Dokumente jetzt aus (wie sahen sie vorher aus...(vorher: bild1.jpg...jetzt jdhgdhgd.kdas oder hasgdjhg usw.)
- was macht der PC nach den Hochfahren
- welchens Betriebssystem hast du (WinXp, Vista, Windows7....usw)
- hast du noch zugriff auf den PC
usw. usw


@golldy
es wäre sicher interessant.....verseuchte Dateien zu bekommen.....je mehr man zum Vergleich hat um so besser ist es eine Lösung zu finden

Grüße
Didek

Hat bei mir leider einen XP-Rechner, d.h. ohne Schattenkopien erwischt. Anbei ein Verschlüsselungspaar des Hintergrundbildes winter.jpg

@ Didek

Es ist der Laptop meines freundes. Dieser kommt erst spät Abends heim. Wo genau sich die Windows CD befindet weiß ich nicht.
Ich bin nun auf seinen Rechner übergewechselt.

Wenn ich den Laptop starte kommt, wie du schon genannt hast, das bild auf welchem steht : Sie haben sich mit einem Windows Verschlüsselungs Trojaner infiziert.

Und dann ein ewig langer Taxt und ganz unten soll man dann den 100 Euro Paysafe Card Code eingeben..... Was ich sicherlich nicht tun werde... -.-

Ich kenne mich mit all dem nicht wirklich so aus...Da sind Männer geschickter drin

Dennoch habe ich keinerlei Zugriff auf meinen Laptop. Da ständig diese Meldung erscheint....
Ich habe Windows 7 als Betriebssystem...
Wie gelang ich denn ins bios? (schreibt sich dies so) =)

Ich wäre wirklich dankbar für jede Hilfe, denn ich glaube ich hab mir da was ganz böses zugelegt