Guten Tag,

ich habe mir leider den Ukash-Verschlüsselungstrojaner am 18.05.2012 in einem Datei-emailanhang namens buchung.zip eingefangen.

nachdem ich von meiner anderen partition(Dualbootsystem) gebootet hatte , sah ich daß alle meine (die meisten ,also fast alle !!) Dateien in undefinierbare buchstabenketten ohne datei endung umbenannt worden waren.

mir gehts nicht um das betriebssystem , welches ich neu aufsetzen könnte, ich brauch nur unbedingt die dateien wieder

WAS KANN ICH TUN ? Kann mir da eventuell jemand helfen???

ihr seid hier meine letzte hoffnung...

mfg

marko

die email sieht so aus :

Sehr geehrte Damen und Herren,

Sie haben soeben bei AstridiSardegna die Premiummitgliedschaft bestellt. Der
Betrag in Höhe von 167,49 EUR wird in den folgenden Tagen von Ihrem Bankkonto
abgeschrieben.

Sie sind jetzt für die nächsten 24 Monate Elite-Kunde und können in vollem
Umfang die Starmöglichkeiten nutzen.

Bestelldetails sind wegen Sicherheitsgründen laut dem §§ 7a, 3g BDSG, aus der
Beilage zu lesen.
Die Kündigung der Extradienste, ist mit der im Anhang angefügten
Wiederrufungserklärung an Mathilda@Lorenz-anwalt.ch zu schreiben.

Ihr Kundenberater

Krause GmbH
Heckenpfad 71
85351 Bielefeld

Tel.: (+49) 429 22767433
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 9.00 bis 17.00 Uhr)
Ort ist Altenau
Steuer-Id: DE781977138 Geschäftsfuehrer: Louisa Graf
.....................................................................

und dazu der anhang "Buchung.zip"

Zitat:

Zitat von marko71

Guten Tag,

ich habe mir leider den Ukash-Verschlüsselungstrojaner am 18.05.2012 in einem Datei-emailanhang namens buchung.zip eingefangen.

nachdem ich von meiner anderen partition(Dualbootsystem) gebootet hatte , sah ich daß alle meine (die meisten ,also fast alle !!) Dateien in undefinierbare buchstabenketten ohne datei endung umbenannt worden waren.

mir gehts nicht um das betriebssystem , welches ich neu aufsetzen könnte, ich brauch nur unbedingt die dateien wieder

WAS KANN ICH TUN ? Kann mir da eventuell jemand helfen???

ihr seid hier meine letzte hoffnung...

mfg

marko

die email sieht so aus :

Sehr geehrte Damen und Herren,

Sie haben soeben bei AstridiSardegna die Premiummitgliedschaft bestellt. Der
Betrag in Höhe von 167,49 EUR wird in den folgenden Tagen von Ihrem Bankkonto
abgeschrieben.

Sie sind jetzt für die nächsten 24 Monate Elite-Kunde und können in vollem
Umfang die Starmöglichkeiten nutzen.

Bestelldetails sind wegen Sicherheitsgründen laut dem §§ 7a, 3g BDSG, aus der
Beilage zu lesen.
Die Kündigung der Extradienste, ist mit der im Anhang angefügten
Wiederrufungserklärung an Mathilda@Lorenz-anwalt.ch zu schreiben.

Ihr Kundenberater

Krause GmbH
Heckenpfad 71
85351 Bielefeld

Tel.: (+49) 429 22767433
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 9.00 bis 17.00 Uhr)
Ort ist Altenau
Steuer-Id: DE781977138 Geschäftsfuehrer: Louisa Graf
.....................................................................

und dazu der anhang "Buchung.zip"

wenn ich die jemanden schicken dürfte der sich damit auskennt zur auswertung ,bräuchte ich dessen E-mail Adresse

Zitat:

WAS KANN ICH TUN ? Kann mir da eventuell jemand helfen???

Hinweise oben beachten oder ist das so leicht zu übersehen? => Vorgehen beim Verschlüsselungs-Trojaner (Übersicht der 7 Tools) INFO: Windows Update Trojaner bitte Sendet uns die Viren!

ja moment,

bin gerade dabei alles durch zu ackern was ich noch besorgen kann...an Informationen

danke für die Rückmeldung

Marko Zimmermann

So ok,

den Trojaner bzw. die email(mit Anhang "Buchung.zip") habe ich an markusg geschickt !!

Betriebssystem selbst habe ich neu aufgesetzt, (2x das ganze) - es geht mir eigentlich um die Entschlüsselung der Daten , also habe ich ihn (den Trojaner nochmal mal wüten lassen und verschiedene Dateien auf d: gepackt .

Es sei zu erwähnen daß ich alle hier vorgestellten Tools zur Entschlüsselung natürlich durchprobiert hab leider ohne Erfolg.

Ich füge hier mal zwei Originaldateien und die gleichen verschlüsselten bei und hoffe auf euer ganzes KnowHow diese Nuß knacken zu können..!!!?

Wenn ihr trotzdem doch noch irgendwelche "Logfiles oder sonstiges benötigt"
hier reinschreiben, dann mach ich es eben noch einmal...

Er ändert auch die Reihenfolge der Dateien beim zerhexeln(also was vorher oben stand ,steht verschlüsselt woanders),ich habs anhand der dateigrösse jetzt zugeordnet...denke mal nicht daß er die ändert.

mfg

Marko Zimmermann (einer der vielen Hilfesuchenden)

So Leute, hab jetzt alles nach der Anleitung "vorgehensweise Verschlüsselungstrojaner"

durchgeführt (also malwarebytes,defogger,dds usw.) - die log-dateien sind alle im Anhang,

ich hoffe daß ihr auf diese weise ein bisschen weiter kommt, falls ich noch was tun kann um euch zu helfen - bitte schreibt es hier rein.

Ich habe jetzt ein Acronis-backup eines sauberen und eines des infizierten systems, so daß ich jederzeit umswitchen könnte und wir noch was versuchen könnten.

Ich benutze Win 7 64 Bit, so daß der GMER scan fehlt...

wenn vonnöten habe ich auch wieder dateien parat , original und verschlüsselt !!!

marko