ich habe jetzt noch den ESET Online-Scanner durchlaufen lassen und der sagt folgendes ( Ich hoffe ich nerve nicht,sondern helfe euch)


C:\$Recycle.Bin\S-1-5-21-4059222336-2335840329-65277441-1004\$RMDNEEL.zip probably a variant of Win32/Agent.LMXRIUT trojan
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarApp.dll a variant of Win32/Toolbar.Babylon application
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarEng.dll Win32/Toolbar.Babylon application
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarsrv.exe probably a variant of Win32/Toolbar.Babylon application
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll Win32/Toolbar.Babylon application
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll Win32/Toolbar.Babylon application
C:\Program Files (x86)\FoxTabMusicConverter\AudioConverter.exe a variant of Win32/InstallCore.A application
C:\Users\Marie\AppData\Local\Temp\4ECE4740-BAB0-7891-A477-E28AFEFBFCAE\MyBabylonTB.exe Win32/Toolbar.Babylon application
C:\Users\Marie\AppData\Local\Temp\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbar4ie.exe Win32/Toolbar.Babylon application
C:\Users\Marie\AppData\Local\Temp\is1438683437\MyBabylonTB.exe Win32/Toolbar.Babylon application

Hi,

habe den Computer im Abgesicherten Modus (F8) hochgefahren dann eine Widerherstellung gemacht.Dann habe ich laut Anleitung von PCAB50 (Vielen Dank PCAB50) die Dateien mittels Schatenkopie wiederhergestellt.Werde jetzt das System neu Installieren.

Hier die Anleitung von PCAB50

http://www.trojaner-board.de/115551-...tml#post835551

Viele Dank an alle

Joerg

Also, so wie es aussieht, scheinen viele, die diese Buchstabenverschlüsselung haben, ganz gut zu fahren mit Shadow Explorer!

Soll ich denn nun ein neues Thema eröffnen, oder kann mir so jemand sagen, wie ich nun noch schauen kann, ob da noch etwas ist oder nicht? Die Virenprogramme sagen alle, dass da nichts mehr ist.

Dankeeeee schööööön!!

P.S. Die böse Mail ging gestern an Markus raus...

Hallo,

ich habe eben bei einem "Kunden" etwas interessantes diesbezüglich bemerkt, was mir vorher noch nicht aufgefallen war/ist.

MalwareBytes fand folgendes:
C:\Users\"Benutzername"\Downloads\sUgsyxAtQGJsuo (Adware.Bundler)

MalwarBytes war also in der Lage eine zuvor (vor dem Angriff/Übergriff) nicht verschlüsselte Datei (vermutlich eine .EXE) als etwas "schädliches" zu identifizieren.
Eventuell hilft dies auch einen Schritt weiter.
Ich habe nun auch schon pro Tag bis zu 5 Anfragen die sich auf diese Verschlüselten Dateien beziehen.

Bin gespannt wann es eine Lösung gibt, ob es eine gibt und ob/wie man evtl. noch helfen kann (Mir und Euch).^^


Grüße,
Simon

@Shorty86
@all
das unter forum ist nicht für logs, poste die bitte da, wo sie hingehören
steht ja deutlich diskusionsforum nicht logfiles drann.
@Kleene86
ja kannst du
@all die noch gepostet haben.
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

Nachdem ich gestern drauf reingefallen bin, habe ich heute erneut eine Mail mit diesmal sogar zwei Anhängen bekommen und diese entsprechend an die angegebene Mailadresse von weitergeleitet.

Zitat:

Guten Tag Benutzer xxxxx,

wir müssten leider feststellen, dass unsere Forderung ID: 14193669 für den Nutzer xxxx immer noch nicht ausgeglichen wurde. Dies bedeutet einen rechtskräftigen Vertragsbruch von Ihnen. Nach § 286 BGB könnten wir die offenen Kosten bereits jetzt durch Gericht fordern. Wir geben Ihnen trotzdem noch eine letzte Möglichkeit, Ihre vertragliche Verpflichtung zu erfüllen, indem Sie sofort die ausstehende Rechnung in Grösse von 485.00 EURO an uns zahlen.

Die Leistungen und die Bankdaten können Sie im Anhang sehen.

Bitte beachten Sie, die Folgen des Verzugs bestehen vor allem in der Regresspflicht des Schuldners sowie in einer verschärften Haftung.

flirt-fever.de - flirten. chatten. daten - Singles Chat Partnersuche Kontaktanzeigen Singlebörse AG mit Sitz in München

Leiter: Wolfgang Scholz, Manfred Binder
Gericht: Keiserslautern

Keiserslautern?

Servus zusammen,
meine Freundin ist dummerweise auch auf der Trojaner reingefallen.

Hab alles auf einen nackten Rechner nachsimuliert und schicke euch die komplette Geschichte per E-Mail !

Die Datei die ich euch schicke heißt "Trojanerhilfe.7z"

Dort enthalten ist sind folgene Files:
Orginal Zip Datei "Bescheid.zip" mit dem Inhalt "bescheid.com"
die Datei die erstellt wird wenn die com Datei ausgeführt wird "Trojaner nach installation als Zip Datei.zip"
den CMD promt als Jpg bei der Ausführung
sowie eine txt Datei mit jeglichen Informationen die ich sammeln konnte.

Des Weiteren schaltet der Trojaner die Firewall aus ! diese geht dann nur über den Gruppenrichtlinieneditor wieder an !

Hoffe ich konnte euch helfen und ihr könnt meiner Freundin helfen.

Desweiteren hänge ich hier diese Info an.

VORSICHT IN MEINEM ANHANG IST DER TROJANER ALS ORGINAL UND ALS EXE !!!

Lieben Gruß

Kup

Anhang entfernt....

cad

Hallo markus!

Sorry,aber ich weiß weder was ein Logfile ist noch das andere was du meintest...da es hier um den Trojaner geht dacte ich,ich wäre richtig.
Ich bin Krankenschwester,aber habe wenig Ahnung von Laptops.Wollte nur helfen...

Naja.. dafür kennst du dich mit Infektionen aus ...

(SCNR = sorry, could not resist .. ) (grins)

Hi Markus,

hab dir eine pdf Datei aus Backup und das verschlüsselte Pendant per Mail zugeschickt.

Saß heute 8Std vor dem Rechner meines Kumpels (windows 7 Prof 32Bit), da bin ich echt froh das ich einen Mac habe...
Den Trojaner habe ich mit NOC wegbekommen, hab die Festplatte ausgebaut und an einem anderen Rechner bereinigt.

Jetzt ist nur noch das Problem mit den verschlüsselten Dateien zu lösen, werde morgen nochmal hinfahren und ShadowExplorer ausprobieren, die Beispieldatei hilft hoffentlich dabei die Verschlüsselungsmethode herauszufinden.

Gute N8 an alle "Geiseln".

MfG, Babak

Sry ich hab das nicht gelesen deine Info über Windows...
Wo hast du das noch gepostet? Nur um zu sehen, was ich übersehen habe

Hi, nein du hast nichts überlesen....ich hatte es noch nicht gepostet weil ich nicht wusste das es so eine große Rolle spielt....

Ich werde mir jetzt noch mal die Rubrik "Wie man Fragen richtig stellt" durchlesen,damit es nicht wieder zu Problemen kommt....

Sollte ich lieber ein neues Thema aufmachen?

Hey servus kleine um deine Frage zu beantworten.

Die Schattenkopien bringen deine Daten nicht wieder und können die VErschlüsselung auch nicht entschlüsseln.

Die Schattenkopie ist eine Art von Backup eine Datensicherung für einzelne Dateien bzw Ordner die eine alte Datei wiederherstellen kann. Ein Beispiel

Gestern hieß eine Datei "Servus.txt" und wurde heute durch einen Trojaner in "huasiodfasdhsadiz" verschlüsselt

Dann kannste mit der schattenkopie die Datei auf das gestrige Datum zurücksetzen. Der Inhalt wäre dann der alte obwohl die diese vielleicht sogar heute bearbeitet hättest.

Ich weiß auch nicht ob Windows 7 starter diese Option überhaupt hat, denke eher nicht. Kannst trotzdem mal nachgucken.

Die Optzion findest du folgendermaßen:

Klicke unten Links auf Start dann gehste mit der Maus auf "Computer" und drückst die rechte Maustaste. Dann "Eigenschaften", dann klickst du mit einem Linksklick auf erweiterte Systemeinstellungen. Es erscheint ein neues Fenster. Dort klickst du oben in den reitern auf Computerschutz.
Etwa in der mitte siehst du unter "Schutzeinstellungen" welche Festplatten diese Option aktiviert hat. und kannst diese option für die Zukunft auch dort unter "Konfigurieren" aktivieren. Musst vorher nur die jeweilige Festplatte auswählen.

Wenn du auf konfigurieren klickst erscheint wieder nen Fenster. Um wir klich für jede Datei eine Schattenkopie zu erstellen musste die option "Systemeinstellungen und vorige Dateiversionen wiederheratellen" aktivieren.

Nun klickste überall auf okay und auf dem Zeitpunkt haste erst die Schattenkopien. Also mache es in Zukunft kurz nach der Neuinstallation des Systems.

Grüße

Kup

Servus,

gehöre jetz auch zu den Zwangsverschlüsselten.

Hab gesehen, dass bisher nur Teile auf meinen verschiedenen Laufwerken verschlüsselt sind, der Rechner wohl Stück für Stück verschlüsselt wird.

Jetzt zwei Fragen dazu, in der Hoffnung das das nicht auf den 48 Seiten vorher schon erklärt wurde.

Die erste Frage wäre, ob nur verschlüsselt wird wenn ich das infizierte System starte oder auch bspw.die betroffene Platte als externe Festplatte anschließe?

Einige Daten konnte ich auf einen USB-Stick kurzfristig noch überspielen und habe dann den Rechner heruntergefahren, kann ich die nun auf einem anderen Recher öffnen oder können die Dateien infiziert sein / die Verschlüsselung auf andere Rechner überspringen?

Zitat:

Die erste Frage wäre, ob nur verschlüsselt wird wenn ich das infizierte System starte oder auch bspw.die betroffene Platte als externe Festplatte anschließe?

Man sollte so langsam mit dem Destruktivsten rechnen, was man sich vorstellen kann
Daher auch die automatische Widergabe auf allen Laufwerken deaktivieren - Backuplaufwerke nur dann einhängen wenn man sie braucht, mehrere Generationen verwenden!!!
Aber wem sag ich das. MS muss ja sein Windows so ausliefern, dass ja kein Klick mehr gemacht werden muss, wenn jmd eine CD, DVD, ext. Platte oder USB-Stick ansteckt. So ein OS wie Windows ist schon sehr praktisch, es macht alles was es soll sehr zuverlässig, welche Sicherheitsprobleme sich ergeben, darum können sich ja andere biiiiiiiiep drum kümmern und vor allem ist die Ausführbarbeit nur an der Dateiendung festzumachen

So Leute ich geh erstmal kotzen und dann schlafen.
Gute Nacht auch nach Redmond