Hallo ich hab den Virus auch, bei mir ist auch einiges beschädigt.
Aber ich kann keine Verschlüsselung erkennen, alle Daten sehen normal aus.
Videos, Fotos usw. sie funktionieren auch noch.
Jetzt könnte man denken ich hätte Glück gehabt, aber mich hat es leider doch sehr hart getroffen... ich bin Filmemacher und habe ein Schnittprogramm welches auf 12 Terabyte Daten zurückgreift und es wurden die Verweise auf die Filmdaten in einem sogenannten (Domain Header) umgeschrieben oder beschädigt. Ich habe keinen Zugriff mehr auf die Daten. Da ich grad an einem Diplomfilm arbeite ist die Arbeit von 6 Monaten unwiederbringlich weg bzw. nicht aufrufbar. Es sind teils unwiederbringliche Aufnahmen dabei.
Weiß jemand von euch was es mit dem Domain Header auf sich hat und woran ich erkennen kann was mit den Daten passiert ist ?
Ich habe schon öfter Probleme mit Viren gehabt aber das ist jetzt das Schlimmste was mir je passiert ist.
Ich bin ziemlich ratlos :-(

@all
keine logs in diesem thread posten, der ist für eine diskusion gedacht, logs ins passende unterforum

wenn ihr probleme habt, nicht schreiben, geht nicht, kann nicht etc.
sondern vernünftige sätze mit denen man arbeiten kann.
wenn eure dateien verschlüsselt sind, schreibt uns, nach welchem chema.

infizierte mails an uns weiterleiten:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
makrusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

naja, hoffendlich ist nicht grad was, worauf man sich verlassen sollte.
lass deinen pc bitte hier untersuchen, eröffne also ein thema im passenden unterforum

Benutzt zum wiederherstellen der Fotos doch einfach die Vorgängerversion Option von Windows, wie ich auf Seite 3 schon beschrieben habe


Für andere Windows-Versionen: http://www.trojaner-board.de/115496-...erstellen.html
.

Hallo,
gestern hat es mich leider auch erwischt.
Genau wie oben beschrieben stellt sich der Trojaner bei mir dar.
Versuche derzeit mit Avira Rescue System den Trojaner zu finden und auszuschalten. Aber wenn danach Dateien beschädigt oder verschlüsselt sind bin ich schon arg getroffen.
Ich weiß mir da keinen Rat.

Da ich mehr Anwender als Computerfachman bin, hab ich von diesen Dingen keine Ahnung und benötige HILFE.
Ich habe keinen Plan wie ich den Trojaner wieder los werde und wie ich die Dateien oder Verzeichnise dann wieder Entschüsseln muss oder kann.


Hier die Mail:

Peter Ihre Bestellung 53902273620
Von: hlfhye@cox.net
Gesendet: Freitag, 18. Mai 2012 18:06
An:
Peter <xxxxxx@freenet.de>

Anlagen: 1
Rechnung.zip (56.1 KB)

Sehr geehrter Peter,

unser Logistikzentrum hat Ihr Paket mit der Bestell-Nr 12039975796 zur Lieferung an DHL AG übergeben.

Im Anhangsordner befindet sich die Abrechnung und Zustell Adresse als PDF-Datei. Sie dürfen die
Abrechnung jederzeit selbständig über den online Shop abrufen.

Folgende Informationen werden benötigt:

- Email-Adresse und die Bestellnummer und
- die Vertrags-Nr. und die Geräte-Id

Bestellnummer: 40090463655
Geräte Serien-Nr.: 35951683467
Rechnungshöhe: 532,65 euro

Ihre Bestellung ist hiermit abgeschlossen.

Mit besten Grüßen

Ihr Kundendienst

_____________________________________
Poike Technik Aktiengesellschaft mit Sitz in Bremen

Vorstand: Andreas Scholz, Helga Peters
Aufsichtsratsvorsitzender: Heinz Eder
Gesellschaftssitz: Keiserslauter 49292
_________

Habe in dem Ordner Virusverdacht 2 weitere ähnliche Mails gefunden.

Ich nutze Freenet und würde die Mails gern an markusg weiter leiten. Nur müsste mir jemand erklären wie ich das machen kann.

Für jede Hilfe bin ich sehr dankbar.

LG Peter

Hallo zusammen,

ich habe seit gestern einen Rechner vor mir, der sich auch mit diesem Windows Verschlüsselungs-Trojaner verseucht hat.

Es scheint sich dabei aber um eine ganz neue oder andere Version zu handeln, als hier beschrieben wurde/wird....

zum einen, hat dieser Trojaner auch alle angeschlossenen USB-HDD´s befallen...

zum andern, werden/wurden die Dateien "nicht" Umbenannt....... alle Namen und Endungen...bleiben erhalten...
und trotzdem kann keine Datei mehr geöffnet werden......
wenn es nur C:\ gewesen wäre...hätte man ein Image zurückspielen können....
aber auf einer HDD mit 1000GB voller Dokumente und Bilder kommt einem dieser Zwischenfallsehr teuer zu stehen...


ich habe mit den von euch hier beschriebenen Tools (Avira, bzw DecryptHelper-0.5)versucht die Dateien wieder herzustellen....
aber wie soll ich das machen, wenn er die Namen der Dateien nicht verändert......bzw. das mit den org. Beispielbilder nicht hinhaut......

vielleicht habt Ihr eine Lösung?!

Danke für eure Mühe und Hilfe

Didek

Eine Lösung kann ich zumindest für die Outlook-Datendateien präsentieren.

Es gibt ein Tool von Microsoft, welches die Outlook-Datendatei scannt und reparieren kann. Da ja "nur" die ersten 12 kB verschlüsselt wurden, kann evtl. der Header wieder hergestellt werden. Das Tool heisst "scanpst.exe" und ist zu finden unterhalb "C:\Program Files\Common Files\System\MSMAPI\1031".

Beim Kunden von mir, wo die Datendatei 1,3 GB groß war, hat es funktioniert.

Die Outlook-Datei liegt in der Regel unter "C:\Dokumente und Einstellungen\Benutzer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook", dort einfach die vorhandenen Dateien kopieren (!) und nach "Outlook.pst" umbenennen. Dann das Tool starten und die eben umbenannte Datei auswählen.

mfg
Michael

Hallo zusammen,

ich bin neu hier im Forum und hatte ebenfalls den neuen Trojaner. Karspersky bezeichnet diesen als "Trojan-Ransom.Win32.PornoAsset.gal". Der Trojaner ist gelöscht, aber die Dateien sind bei mir auch durch eine wirre Buchstabenfolge verschlüsselt.
Sobald jemand von euch weiß, ob es schon einen passenden Unlocker (z.B. von Avira) gibt, meldet euch doch bitte.
Vielen Dank vorweg.

Grüße,
Manuela

hi,
habe mich grade bei euch angemeldet.
erst mal vielen dank für die vielen tipps und tricks die ihr so auf lager habt
bin auch befallen von dieser "neuen variante".
dank dieser seite kann ich mich immerhin wieder auf meinen desktop bewegen.
die dateien sind aber noch alle verschlüsselt.
habe alle 6 tools ausprobiert aber es ließ sich kein schlüssel generieren.
habe die original email noch falls ihr sie haben möchtet.
hoffe ihr findet was um diese wieder zu entschlüsseln.

@Racheengel,
prima wenn das bei Dir klappt.
In irgendeinen der zahlreichen Beiträge hat das ein anderer User berichtet, diese Variante auch Erfolgreich bei einigen MP3s und JPGs durchgeführt zu haben.
Hast Du bei den MP3s auch M3Us?
Die müsste man doch anhand der Größe deutlich von den MP3s unterscheiden können.
Vielleicht kann man aus den M3Us die Namen rausnehmen.

Zitat:

Zitat von Undertaker

@Racheengel,
prima wenn das bei Dir klappt.
In irgendeinen der zahlreichen Beiträge hat das ein anderer User berichtet, diese Variante auch Erfolgreich bei einigen MP3s und JPGs durchgeführt zu haben.
Hast Du bei den MP3s auch M3Us?
Die müsste man doch anhand der Größe deutlich von den MP3s unterscheiden können.
Vielleicht kann man aus den M3Us die Namen rausnehmen.

hallo

ich weiss nicht ob da m3Us dabei waren
bis auf 5 lieder konnte der windows media player bzw vlc player alle erkennen
der rest ist schrott. jetzt noch gescheites antiviren program was am besten auch gleich die email sperrt und gut is

TXT Dateien sollten auch kein Problem sein, da der nur was am Dateianfang hinzufügt.

Habe jetzt mal mit Office 2010 (verschieden große PST Dateien und Archive 100mb, 500mb und 2GB) mit scanpst durchlaufen lassen.

Das funktioniert wirklich ohne Probleme! Benutzt also bitte diesen Weg, wenn ihr neuere Office Versionen (ab 2007) nutzt.

hxxp://office-blog.net/post/Outlook-2010-PST-Datei-mit-ScanPST-reparieren.aspx

Versucht mal DOC Dokumente und DOCX Dokumente von Office reparieren zu lassen.

hxxp://support.microsoft.com/kb/826864/de

Ich check gerade ein paar Wege, um JPEG zu reparieren.

Zitat:

Zitat von Racheengel

hallo

ich weiss nicht ob da m3Us dabei waren
bis auf 5 lieder konnte der windows media player bzw vlc player alle erkennen
der rest ist schrott. jetzt noch gescheites antiviren program was am besten auch gleich die email sperrt und gut is

Hallo Racheengel,

kannst du bitte mir eine kaputte MP3 Datei von dir zu kommen lassen, damit ich was vergleichen kann. Bitte keine reparierte - am besten verschlüsselt und umbenannt.

(am besten per Sharehoster hochladen und mir den link kurz zukommen lassen)

Danke und Grüße

Moin zusammen,

hab im Forum von Chip.de einen Link gesehen:

hxxp://www.threatexpert.com/report.aspx?md5=301647257d81e8ad5d7ff7c167cc0c06

Mir sagt das alles nicht wirklich was, aber möglicherweise können die Experten was damit anfangen...

Gruß, Uwe

Hallo,

danke für die Antwort, aber selbst ich bin nur von der HS auf Real... gewechselt
weil mein Notendurchschnitt es zugelassen hat. Mit Binärenzahlen oder sonstiges
hab ich kein Plan.

Hallo,

Ich hatte auf meinem Windows 7 diese neue Version de Verschlüsselungstrojaners, welche die ganzen Dateinamen unerkennbar macht. Hab mir dann eine Strategie aus verschiedenen Foren zusammengebastelt. Vielleicht hilft sie dem einen oder anderen weiter. Oder sieht jemand der besser draus kommt Risiken an dieser Lösung?

1. Windos Defender Offline runtergeladen, und darauf gebootet.
2. Widows Starthilfe fragte mich, ob „Sie“ das System einige Tage zurückstellen soll. Hab ich dann gemacht. So bin ich wieder ins Widows gekommen, aber erschrocken, dass alle Daten noch verschlüsselt sind.
3. ShadowExplorer konnte alle Daten wieder einwandfrei herstellen.
4. PC neu aufsetzen (windows cd booten). -> Wäre nicht zwingend nötig, wird aber dringlich empfohlen. Zudem mag vertraue ich dem System nicht mehr, wenn es einmal sich so selbständig gemacht hat...

lg basil