@alle

Wir haben einige Samples an Xylitol weitergereicht (da er ja auch direkt angesprochen wurde *g*), und ihn gebeten, sich das auch mal anzuschauen. Das sollte ja in unser Aller Interesse liegen. Haben gerade ein positives feedback erhalten.

Zitat:

Zitat von markusg

@sebi3110
mich interesiert eig nicht der text, sondern die gesammte mail, wie beschrieben.

Okay, wie kann ich die E-mail in web.de zu einer .eml Datei machen,um dir die E-mail zukommen lassen zu können?

LG

öffnen und weiterleiten.
@pcnberlin
hatte ich schon vor längerer zeit getan, aber vllt hast du ja mehr glück

Beim Delphi-board: (hxxp://www.delphipraxis.net/168380-verschluesselungs-trojaner-hilfe-benoetigt-5.html) scheinen die Member dem Virus schon recht weit auf der Spur zu sein. Es gibt vorsichtige Hoffnung. Wichtig: Virus in Quarantäne nicht löschen, da möglicherweise individuell dort jeweils ein verschiedener Schlüssel hinterlegt ist, der zum Entschlüsseln benötigt wird.

Zitat:

Zitat von grahlke

Beim Delphi-board: (hxxp://www.delphipraxis.net/168380-verschluesselungs-trojaner-hilfe-benoetigt-5.html) scheinen die Member dem Virus schon recht weit auf der Spur zu sein. Es gibt vorsichtige Hoffnung. Wichtig: Virus in Quarantäne nicht löschen, da möglicherweise individuell dort jeweils ein verschiedener Schlüssel hinterlegt ist, der zum Entschlüsseln benötigt wird.

du meinst damit die .pif datei?
Aber es sollte die mail auch genügen, in dem die zip drinnen ist oder?

Hallo, bin neu und ebenfalls betroffen. Mich hat es am Dienstag erwischt und die Daten sind nach dem neuen Muster (Klein und Großbuchstaben) verschlüsselt.
@markusg
Ich bin zwar kein Experte habe aber einmal meine Festplatte unter die Lupe genommen.
Vielleicht ist das für Eure Arbeit ggf. wichtig:
Die Verschlüsselung ist ausschließlich in den Ordnern die mit den Buchstaben A-D anfangen. Alle Verzeichnisse von E-Z hat er (Gott sei dank) in Ruhe gelassen.
Das Ganze ist sowohl in den "Eigenen Datein" als auch auf dem Laufwerk C: + K: geschehen.
Alle Bild-, Musik- u. Videodateien sind nicht verändert worden.
Den E-Mailanhang hatte ich morgens geöffnet und bin danach unterwegs gewesen und habe den Rechner angelassen. Der Virus hatte also eigentlich ca. 4 Stunden Zeit sich auszubreiten.
Ich habe ihn mit Avira Rescue beseitigt und komme damit wieder in mein System, allerdings kommt jetzt mindestens 20-mal am Tag automatisch ein Versuch ein "GPBaseService2" zu installieren, was ich immer abbreche. Meistens aber wenn ich scannen will. Könnte das immer noch der Virus sein oder hat er mir nur eine datei zerschossen? Drucken und Scannen kann ich.

hi, eröffne ein neues thema im bereich logfiles und poste dort deine scan ergebnisse

Hallo,
ich arbeite an einem Fall mit 100% Datenverlust. Noch dazu war die Sicherungs-Festplatte per USB angesteckt, daher auch da 100% der Daten verschlüsselt.
Ich habe hier Dateien, die umbenannt sind und auch solche, die nicht umbenannt sind. Es scheint so zu sein, dass bei jedem Start des verseuchten Systems evtl. eine neue Version des Trojaners downgeloadet wird.
Daher: INTERNET trennen !!

Der Benutzer hat sicher keine Mail-Anhänge bewußt geöffnet. Allerdings verwendet er Outlook Express. Dieser Mail-Client öffnet meines Wissens auch Anhänge, wenn man Nachrichten bloß markiert, um sie zu löschen. Bitte um eine Bestätigung dieser meiner Annahme. Danke.

Ich habe aus dem verseuchten System Paare zusammengestellt aus den verschlüsselten Beispielbildern von XP und jene aus einem sauberen System. Ich brauche da dringend Hilfe, denn der Betroffene ist eine kleine Firma und der hat derzeit KEINERLEI Daten mehr !!!

Ich werde versuchen, die vorliegenden Paare hier hochzuladen und hoffe auf schnelle Hilfe. Danke.

Zitat:

Zitat von WalterT

Hallo,
ich arbeite an einem Fall mit 100% Datenverlust. Noch dazu war die Sicherungs-Festplatte per USB angesteckt, daher auch da 100% der Daten verschlüsselt.
Ich habe hier Dateien, die umbenannt sind und auch solche, die nicht umbenannt sind. Es scheint so zu sein, dass bei jedem Start des verseuchten Systems evtl. eine neue Version des Trojaners downgeloadet wird.
Daher: INTERNET trennen !!

bitte nochmal genauer, du hast dateien wie zb: HHHGZGZsgdZTZT ohne Endung, und welche art hast du dann noch am selben System?

Zitat:

Zitat von WalterT

Hallo,
ich arbeite an einem Fall mit 100% Datenverlust. Noch dazu war die Sicherungs-Festplatte per USB angesteckt, daher auch da 100% der Daten verschlüsselt.
Ich habe hier Dateien, die umbenannt sind und auch solche, die nicht umbenannt sind. Es scheint so zu sein, dass bei jedem Start des verseuchten Systems evtl. eine neue Version des Trojaners downgeloadet wird.
Daher: INTERNET trennen !!

Der Benutzer hat sicher keine Mail-Anhänge bewußt geöffnet. Allerdings verwendet er Outlook Express. Dieser Mail-Client öffnet meines Wissens auch Anhänge, wenn man Nachrichten bloß markiert, um sie zu löschen. Bitte um eine Bestätigung dieser meiner Annahme. Danke.

Ich habe aus dem verseuchten System Paare zusammengestellt aus den verschlüsselten Beispielbildern von XP und jene aus einem sauberen System. Ich brauche da dringend Hilfe, denn der Betroffene ist eine kleine Firma und der hat derzeit KEINERLEI Daten mehr !!!

Ich werde versuchen, die vorliegenden Paare hier hochzuladen und hoffe auf schnelle Hilfe. Danke.

Ich nutze ebenfalls Outlook und habe aber mit dem Öffnen des Anhangs den Trojaner ausgelöst. Bislang habe ich keine Erfahrungen damit gemacht, dass Anhänge automatisch geöffnet werden.

Bei mir ist die Verschlüsselung nicht bis zu den Programmdateien gekommen, sondern hat bei den Ordnern mit den Anfangsbuchstaben A-D aufgehört.
Allerdings habe ich ebenfalls eine Datei (ein .pdf) welche als Einzige im Ordner "Ablage" (wo alle anderen Dateien verschlüsselt waren) nicht verschlüsselt wurde. Die Datei war allerdings auch die Größte von allen, mit ca. 33 MB.

Vielleicht ist dies ja hilfreich, wäre auch an einer schnellen Lösung interessiert.

Achtung !! Ich rede nicht von Outlook, sondern von Outlook EXPRESS !!

Dieser Mail-Client ist Bestandteil von Windows XP und wurde seit Vista/W7 von Windows Mail und Windows Live Mail abeglöst.

Bisher ist mir kein Fall bekannt aus meinem Kundenkreis, wo bei der Verwendung von Outlook der Trojaner allein durch das Markieren der Nachricht aktiv wurde.

Genau das passiert aber meiner Meinung nach bei Outlook EXPRESS. u.U. gibt es eine Einstellung in den Optionen, die das Verhalten verhindert.

Wer kann diese Annahme bestätigen?

Hallo,

ich habe folgendes Problem....ich habe mich vor ein Paar Tagen mit dem neuen Trojaner infiziert und habe meinen Pc soweit wieder clean und der Trojaner ist auch weg....jetzt würde ich gerne meinen Pc wieder neu herstellen aber dazu vorher meine Dateien die alle durch den Trojaner verschlüsselt wurden,wieder herstellen...

Ich habe alle Tolls die dazu hier angeboen werden genutzt aber nichts geht irgendwie....

Was kann ich machen?

Ich wüßte zu gerne, ob irgend jemand diese fiesen Erpresser schon bezahlt und seine Daten zurück bekommen hat. Falls ja, wissen wir wenigstens dass prinzipiell eine Datenrettung möglich ist.

Kenne nur einen Fall bei dem Geld überwiesen wurde, aber da waren die Daten anschließend weiterhin verschlüsselt.
(Edit, war nicht ganz korrekt formuliert)

Zitat:

Zitat von DerC88

Kenne nur einen Fall bei dem Geld überwiesen wurde, aber da waren die Daten anschließend weiterhin verschlüsselt.
(Edit, war nicht ganz korrekt formuliert)

es stellt sich die grundlegende Frage, ob die Dateien überhaupt verschlüsselt sind, könnte es nicht sein dass die ersten 12KB einfach ein zufälliges Bitmuster sind?

Bei den veränderten Dateinamen ist mir z.B. aufgefallen, dass eine Datei mit einem 73 Byte langen Namen nach dem Virusbefall eine nur 19 Zeichen lange Bezeichnung hatte.