Hallo, habe dir gerade ne pm gesendet.

Post und Pin ist raus VALROSS

Hallo, ich sehe gerade wenn man nur 1 datei entschlüsselt macht das programm direkt alles was verschlüsselt war. Ist ja genial.

Vielen vielen dank nochmal.

Gruß ValRoss

Genau Ruhe bewahren, das wird schon, das Forum ist genial hier freut mich das die Bilder helfen konnten.


LG
Pit

Hey Jungs,

ich habe gestern früh eine E-Mail bekommen und habe diese geöffnet.
Da stand auch ich müsse 340 Euro zahlen und die Rechnung ist im Anhang.
Ich öffnete diese und nun habe ich ebenfalls den Verschlüsselungs Trojaner drauf.
Da ich nichts mehr machen konnte an meinem Bildschirm habe ich über abgesicherten Modus eine Systemwiderherstellung gemacht. Nun konnte ich mich wenigstens wieder in meinem Konto anmelden. Ich habe heute schon Dr. Web durchlaufenlassen, Malewarebytes, das Antivirenprogramm von Windows und Avira. Außer Avira zeigt keines der Programme einen Fehler an.
Bei Avira steht auch nur da das verdächtige Dateien gefunden wurde und ob ich den Suchlauf abbrechen möchte.
Nun meine Frage, wie kann ich den Trojaner entfernen und meine Dateien wieder frei machen?

Grüße Susk

Schau mal hier
http://www.trojaner-board.de/114115-...oftware-2.html
Erster Eintrag aufmerksam lesen da steht alles. Wenn dann noch Fragen sind ?
Diese hier posten

MFG
pit

also einfach den decrypt runterladen und loslegen?

Hallo nochmal, habe noch eine letzte frage. Wie lösche ich jetzt eigentlich die locked dateien? Die sind ja noch da!

Gruß ValRoss

ich habe jetzt den Decrypthelper heruntergeladen und klicke auf eine Datei und jetzt steht da das der schlüssel eine ungültige größe hat?

schau bitte hier: http://www.trojaner-board.de/114115-...tml#post820441

und hier: http://www.trojaner-board.de/114451-...-anwenden.html

wenn du sicher bist, dass die entschlüsselten dateien alle funktionstüchtig sind, kannst du die locked dateien löschen.

Moinsen,

verfolge als Opfer diesen Beitrag schon die ganzen Tage:
eine meiner Mitarbeiterinnen hate sich auch den Trojamitarbeiter eingefangen per Mail an unseren Chef, der aus aller Welt Mails empfängt...
Nach kurzer :twak: habe ich mich dem Problem annehmen müssen und siehe da: der Trojamitarbeiter hat seinen Weg bis auf unseren Server gefunden: RESPEKT
:daumenhoc
Da gabs ja eine Sicherung und Problem war gelöst, aber der PC....?!?!?
Erst mal XP neu drauf..bei der Aktivierung schwupps waren alle Dateien nochmals gelocked..doller Tojamitarbeiter :lmaa:

Also alles nochmal und dann mal auf Eurer Seite geschaut, wo sich ja so allmählich alle Leidenden melden und warten: HOCHACHTUNG VOR DER COMMUNITY UND DEN PROGRAMMERN!!!!!

Nun zu meinem Problem:
ich staune ja, das bei allen die Dateien wieder repariert sind, aber bei mir kann ich sie nicht lesen, hören, bearbeiten..geht das bei allen anderen?
Ich bekomme sie zwar zurück, aber das wars dann auch. Kann das an der XP-Neuinstallation liegen????:headbang:

Übrigens: Euer Decrypter ist der einzige der auf dem PC läuft...

Gruß Vire

rechte Maustaste START,
suchen,
Eingabe "locked",
suchen,
mit Strg + A alles markieren,
Datei,
löschen.

MfG
Stefan P.

Kurzes Update..

gibt drei Fehler, die ich hier jetzt zusammengetragen und teilweise selber analysiert habe:

1. "map failed" entsteht wahrscheinlich durch zu viele kleine Dateien.. bei der nächsten Version werde ich gezielter Resourcen freigeben, damit es dazu hoffentlich nicht mehr kommt.
2. Beim Kopieren (für die Sicherheitskopie) von großen Dateien gibt es unter Windows öfters mal Probleme. Nächste Version kopiert in mehreren Teilstücken.
3. Das Programm bricht bei diesen Windows-typischen Verknüpfungen von Anwendungsdaten -> AppData ab.. die nächste Version probiert nur wirklich existierende Ordner.

Es DARF kein Unterschied raus kommen. Die nächste Version wird besser mit großen Dateien umgehen können.
Ich werde mal meine Testfälle ergänzen...

Die nächste/übernächste Version wird dann überprüfen, ob die Dateigröße korrekt ist.

Aktiviere das Schreiben der Logdatei (DecryptHelper.txt).
Dort wird der aktuelle Fortschritt protokolliert.
Eine zukünftige Version bekommt auch eine direkte Anzeige in der Oberfläche, aber im Moment musst du auf die Textdatei zurückgreifen.

Fehler beim decrypten / kein Schlüssel
 

...PC soweit wieder "sauber" aber beim Schlüssel erstellen zum decrypten kommt: "Der Schlüssel konnte nicht bestimmt werden!"
Probiert mit den 3 geladenen Bilddateien aus diesem Threat für Vista und den passenden Dateien aus dem Public\Pictures-Ordner. Größe ist gleich.

:balla:

Update:

Neue Version lässt sich nicht mehr Windows-typischen Verknüpfungen (Anwendungsdaten->AppData) aufhalten und sollte nun komplett durchlaufen (siehe DecryptHelper.txt für Fortschritt).
Weiterhin wurde das Kopieren von großen Dateien (> 64 MB) überarbeitet.
Eventuell behebt das Update auch die "map failed"-Fehler, konnte ihn bisher leider noch nicht reproduzieren.

Falls der "map failed"-Fehler weiterhin auftritt, erzeugt das Programm jetzt eine DecryptException.txt, die mir dann hier bitte bereit gestellt wird!


http://matthi.org/DecryptHelper-0.5.3.jar
http://matthi.org/DecryptHelper-0.5.3.exe



Das ist eine Sicherheitsvorkehrung, die ungültige Schlüssel verhindert. Funktioniert bisher eigentlich zuverlässig.

Häng am besten mal die zwei Dateien, die du zum Schlüssel generieren verwendest, hier an den Beitrag!

... meine Dateien, die keinen Schlüssel generieren lassen...

Hallo ich bin ein stück weiter hab mit dem Avira entschlüßelt aber er hat mir nicht alle Datein entschlüßelt. Was kann ich tun? er sagt mir immer wieder es wären alle entschlüßelt sind es aber nicht. Bitte meldet sich mal jemand bei mir?

Dein verschlüsseltes Autumn Leaves.jpg ist nicht das originale Windows-Beispielbild. Ihm wurden zusätzliche Meta-Informationen hinzugefügt:
http://matthi.org/Bildschirmfoto 201...m 18.06.19.png

Eine Sicherheitsüberprüfung im DecryptHelper verhindert deshalb, dass dir ein Schlüssel generiert wird.

Du solltest versuchen ein anderes Pärchen zu verwenden (evtl. sogar kein Beispielbild oder überhaupt gar kein Bild).


Falls du unter gar keinen Umständen ein anderes Pärchen finden kannst, leichtsinnig genug bist und eine Sicherheitskopie deiner Daten hast, dann kannst du den angehängten Schlüssel verwenden. Ich habe ihn unter Deaktivierung der sinnvollen Sicherheitsfunktion erzeugt. Es wird nicht garantiert, dass er 100%ig korrekte Dateien wiederherstellt.

Bitte nutze dazu den passenden Avira-Thread. Ich kann dir keine Auskunft über das Programm geben, sondern höchstens meinen DecryptHelper empfehlen..

mit der Version 0.5.3 klappt es jetzt, keine MAP Fehler mehr.
Es werden aber je hergestelltem AVI je 5 tmp Dateien zusätzlich erstellt, mit 0 kb Größe. In der DecryptHelper.txt werden diese tmp aber nicht gezeigt
Ist nicht so schlimm, kann ich ja löschen. Soll das so sein?

Soll natürlich nicht so sein! ;)

Wie groß ist denn die .avi Datei? Damit ich's selber mal überprüfen kann.
Ist die entschlüsselte .avi Datei exakt gleich groß?
Ist sie wirklich 100%ig korrekt entschlüsselt? Auch am Ende?

Sorry, Kommando zurück.
Macht er nicht mehr, ich vermute die tmp waren noch Überbleibsel der Version 0.5.2 mit der MAP failed Geschichte. Da hat er wahrscheinlich bei jedem Versuch die tmp angelegt.
Jetzt arbeitet das Script gerade alles super ab!!! :applaus:

Tausend Dank noch mal

Hallo

Habe auch ein Notebook welche befallen wurde und keine Sicherung für 1.500 Bilderdatien :-(

Bekomme beim verwenden des decrypt 0.5.3 bei vergleichen der zwei Bilddateien von Windows Vista die Meldung, das kein Schlüssel erzeugt werden konnte.
Das Tool von Avira beginnt garnicht mit seiner Arbeit.
Habt ihr eine Idee, was helfen könnte?

Wie heißt eine der verschlüsselten Dateien beispielsweise?
Wie lautet die genaue Fehlermeldung?
Mit welchen zwei Dateien (Pärchen) versuchst du den Schlüssel zu generieren? (am besten als Zip-Archiv an die Antwort anhängen)

mit passender key-Datei funktioniert das decrypten
 

danke an matkuni.
Habe schon mal nen Probeordner wiederhergestellt, nachdem ich natürlich alle locked-files gesichert habe.
Zu den Daten kann ich nichts sagen, ob sie verändert wurden oder nicht, da es nicht mein Notebook ist was ich auf dem Tisch habe. Es ist schon sehr leichtsinnig rechnung- oder sonstige .exe-files von fremden emails zu öffnen ... würde mir mit Sicherheit nicht passieren! Ich mache nur heile.
Also vielen Dank!!

Hi, hab wieder zwei verdächtige Mails bekommen

1. von : Verehrte(r) Namen,

vielen Dank für Ihre Bestellung bei Conrad.de, nachfolgend finden Sie Ihre Bestellbestätigung.

Deine Bestellnummer 82571688768
Artikel: Nikon 4401066704 748,14 Euro
Rechnungsname:
Zahlungsmethode: Paypal

Versandadresse und detaillierte Zahlungsdetails finden Sie im Anhang.

Die Zahlung wurde autorisiert und wird innerhalb 2 Tage abgebucht.
Artikeleinzelheiten und Stornierung Erklärung finden Sie im Anhang.


Ihr Support-Team

Penius GmbH
Culinstrasse 11
29695 Essen

Telefon: (+49) 858 6185268
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Stuttgart
Umsatzsteuer-ID: DE684967286
Geschäftsfuehrer: Ute Benen

2. mindyvarley@frontiernet.net

Hallo,

vielen Dank für Ihre Bestellung bei cyberport.de, nachfolgend finden Sie Ihre Bestellbestätigung.

Deine Bestellnummer 97954003123
Artikel: Sony Vaio 3872831232 977,00 Euro
Rechnungsname:
Zahlungsmethode: Auf Rechnung

Versandadresse und detaillierte Zahlungsdetails finden Sie im Anhang.

Die Zahlung wurde autorisiert und wird innerhalb 2 Tage abgebucht.
Bezahleinzelheiten und Widerruf Mitteilung finden Sie im Zusatzordner in der E-Mail.


Ihr Supportteam

Alster GmbH
Dannerallee 56
85957 Kiel

Telefon: (+49) 051 9821523
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist München
Umsatzsteuer-ID: DE629390843
Geschäftsfuehrer: Anne Bronn

beide mit .zip anhängen

Gruß Melanie

markusg freut sich sicher über die E-Mails samt Anhängen.
Kannst mich gerne mal als CC eintragen: decrypthelper@kunig.org

kann ich nicht einfach auf weiterleiten klicken?

Für mich persönlich würde es reichen.
Aber markusg hat immer gerne den kompletten Inhalt der Nachricht, welcher verloren geht, wenn man die E-Mail einfach nur weiterleitet. (anhand dessen kann man Rückschlüsse u.a. auf den Absender ziehen)

hallo wie krieg ich das blöde bild mit der code eingabe weg um das hier zu machen mit Taskmanager gehts nicht und im abgesicherten modus komm ich nicht da er einfach wieder neustartet. :(

Hallo Kowalle,

am Besten du nimmst eine LiveCD (BartPE LiveCD funktioniert gut und auch eine aktuelle LiveCD der Virenhersteller wie Antivir Rescue System (Thank you for downloading) von einem anderen PC runterladen und dann dein System damit booten (Anleitung dazu sollte hier im Forum gefunden werden). Wichtig: Per Netzwerkkabel ans Internet angebunden wenn die LiveCD läuft (Der Virenhersteller) damit aktuelle Definitionen geladen werden können.

Dann sollte der Virus entfernt werden können.

super danke :) kann der Virus übergehen durch das Netzwerk auf mein anderen Computer win 7 / win 8 oder mac???
und werden die Daten denn wenn sie verschlüsselt sind automatisch wieder hergestellt oder muss ich das hier mit dem decryper machen ???

Also der Virus aktuell geht nicht durch das Netzwerk auf andere Geräte über soweit ich das getestet und bisher hier gelesen habe (Aber auf Netzlaufwerke obwohl ich vorhin einen Kunden mit XP hatte in einer Domäne bei dem es nicht auf das Netzwerlaufwerk über gegangen ist).

Das Entschlüsseln musst du noch mit dem decrypter machen aber zunächst ist wichtig dass du den Virus los wirst. Sonst bringt dir das Decrypten nichts. Ein Schritt nach dem Anderen :) Hier mal eine Anleitung für die ich aber keine Gewähr gebe:



1. Zunächst den Virus entfernen (liegt in %appdata% herum in einem zufällig generierten Ordner, sowie ggf. unter Windows/System32/zufälligername.exe hier auf Erstelldatum achten) (Windows Live CD hilft da wahre Wunder)
2. Combofix herunterladen und auf dem Zielrechner ausführen: Google nach "Combofix" dann der link von bleepingcomputer . com
3. Ggf. Malwarebyte ebenfalls auf dem Rechner ausführen falls du zuviel Zeit habt.

Nun geht es an das Entschlüsseln der Daten:
Decrypt 0.5.3 (Aktuell 03.05.12) benötigt Java. Die ausführen auf dem Infizierten Rechner und nun brauchst du folgendes:
„Eine Datei die nicht infiziert ist also Originaldatei (am Einfachsten z.B. die Windows Beispielbilder bei XP) und die Datei verschlüsselt.

Programm starten oben Links auf „Schlüssel erzeugen“ dann wird er beide Dateien haben wollen

Nun je nachdem wie sicher du es haben willst (falls keine Sicherheitskopie vorhanden alles erst mal mit den Hacken so lassen) kannst du Sagen ob du die verschlüsselten behalten willst und Existierende Dateien überschreiben.

Anschließend auf „Ordner entschlüsseln“ und das Systemlaufwerk wählen, nun warten das kann dauern. Irgendwann kommt dann die Meldung dass es geklappt hat. Evtl. Meldungen mit OK wegklicken.

!!!!!!!!!!!!! NA DAT IS DOCH MAL NE ANLEITUNG !!!!!!!!!!
wo jeder Bauer was mit anfangen kann :D

DANKE

Einen ganz klaren Hinweis gibt es zu Combofix:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

@Tarja
es geht darum, die verwendeten mail adressen still legen zu lassen, das geht nur, wenn ich den sogenannten mail header hab, der liefert einige wichtige infos die ich benötige, um dann den jeweiligen mail anbieter anzuschreiben

@markusg wiso anschreiben ich wurde mal an die tuer klopfen und ihm eine geben und wenn er noch bloede fragt warum ihm den scheiss auffen rechner machen!!! als wenn der mail anbieter das nicht schon mitbekommen haette was da los ist!

Och menno..da kann man ja neidisch werden, wie das bei ANDEREN klappt:heulen:....
Bei mir entlocked er nur die Beispielbilder erfolgreich und der Rest bleibt unansehbar bzw. unbearbeitbar..
Woran könnte das denn liegen:balla:????

@Vire du ich hab es jetzt aufgegeben und mach meinen platt also kopf hoch. die daten die ich wollte habe ich der Rest is mir egal.

aber trotzdem bin ich stinke sauer meine Freundin klickt auf ne Mail und ich Sitz die ganze Nacht vor dem scheiß ding und mache und tue.

GEHT der Virus auch auf ein MAC (Lion) weil den hat sSe jetzt mit nich das Sie heut Abend wieder kommt und da is der scheiß auch drauf ;(

nein, das ist windows malware.
wenn mal wieder so was rein kommt, bitte, wie weiter oben beschrieben an mich weiter leiten.

@kowalle

wenn ja nicht so viele wichtige Unterlagen für den Betrieb des Arbeitsplatzes drauf wären würde ich ihn auch platt machen, verstehe meine Mitarbeiterin völlig..hat aber auch nicht auf mich gehört die Daten uffm Server abzuspeichern..könnte 'ne Brechreizüberreizung bekommen :twak:

WARUM RELOCKED DER NICHT ALLE RICHTIG???:killpc::killpc:

@Vire
bleibt denn das locked an den datei namen drann oder werden sie umgewandelt und sind trotzdem nicht ansehbar.

Es werden alle umgewandelt mit den richtigen Endungen ohne irgendwelche lock's, aber in den dazugehörigen Anwendungen bekomme ich eine Fehlermeldung oder bei Bildern sagt er z.B. "Vorschau nicht möglich".
Aber bei den Beispielbildern klappt das 100%ig...

du hast ja hoffendlich ein backup?
es könnte möglich sein, dass es beim verschlüsseln der dateien, zb einen neustart gab und unterschiedliche schlüssel angewendet wurden.
hast du noch andere dateien, die du als pärchen verwenden kannst?

@Vire

Das liegt sicher an deinem Schlüssel zum decrypten.
Versuch ein andere Dateien zum Schlüssel erzeugen dann wirds bestimmt besser.
Nicht aufgeben!
Ich kämpfe auch noch...

I ♥ My Mac :applaus::rofl:

Hallo
Habe mich soeben neu angemeldet, damit ich mich hier herzlich bedanken kann.
Mit Hilfe des Tools habe ich bei 2 Rechnern wo noch eine Oriinaldatei vorhanden war, alles wieder herstellen können.
Bei 3 anderen, wo leider keine Originale da waren gehts leider nicht. Auch nicht mit dem hier bereitgestellem Schlüssel und auch nicht mit den Beispieldateien die ich hier runterladen konnte.
Trotzdem Vielen Dank nochmals

überhaupt nichts originales da, evtl. mal ne bilddatei die man irgendwo hochgeladen oder irgendwo hin versendet hatt?

Rein Gar nichts mehr vorhanden.

Hi Leidensgenossen!

Mein Vater hat sich an seinem PC auch so n Teil eingefangen und ich suche jetzt nach einer funktionierenden Lösung...

Mit dem Anti-Malware Programm hab ich die infizierten Dateien soweit runtergebracht, allerdings hab ich noch das Problem mit den locked-files.

Bsp. der Benennung: locked-Faustball U18 WM.ppsx.qooo

Hab mir gerade ein paar Originalbilder beschafft und nun ist ein neues Problem aufgetreten:

Die Dateien sind unterschiedlich groß, obwohl die Datei auf den ersten Blick gleich groß erscheint!

Unter den Dateieigenschaften hab ich dann folgendes gefunden:

Originaldatei:
Größe: 2,44 MB (2.560.564 Bytes)
Größe auf Datenträger: 2,44 MB (2.564.096 Bytes)

Locked-File:
Größe: 2,44 MB (2.560.130 Bytes)
Größe auf Datenträger: 2,44 MB (2.564.096 Bytes)

Das ist bei einigen Files so :heulen:
Da sind nur ein paar Bytes anders und schon geht da nix...es is echt zum Haareraufen!

Gibt's diesbezüglich irgendwelche Tipps?

Vielen Dank schon mal!

mfg
Chris

hast du die windows beispiel bilder versucht?
du brauchst ja nur ein passenes pärchen.

Da kommt folgende Meldung:

"Der Schlüssel konnte nicht bestimmt werden"

Müssen sich die Files im gleichen Ordner befinden?

Das mit den Pärchen hab ich schon behirnt, eines zu finden ist das Problem...

sind die dateien gleich groß? schau mal in den eigenschaften.
denke nicht das sie im gleichen ordner sein müssen, kannst ja sicherheitshalber mal testen.

Ja sind gleich groß.
Hab's gerade mit ein paar anderen Beispielbildern probiert, genau das selbe:

Der Schlüssel konnte nicht bestimmt werden!

kannst du die pärchen mal anhängen?

Bin gespannt ob es bei dir funzt!

Sry für den Doppelpost!

UPDATE:
Hab gerade einen alten Gamepatch gefunden, mir den runtergeladen und jetzt konnte ein Schlüssel erstellt werden!
Hoffentlich klappts!

Der Tipp mit der Mail war gut. Es wurden von dem Rechner PDF dateien verschickt. Die haben wir zurück senden lassen und hatten damit ein Original.
Damit hat es dann wieder super geklappt. Alles wieder hergestellt und Ok.
Danke

UPDATE:

So ganz langsam lassen sich die Dateien "entLocken", funzt wirklich mit unterschiedlicher Schlüsselerstellung, habe noch andere Originaldateien per gesendete Objekt im Mailprogramm auf'm Exchange gefunden (als Anregung für andere, kommt man ja nicht gleich drauf :daumenhoc)....
Bei XLS-Dateien habe ich immer jede 2. zurückbekommen (komisch), mal sehen ob sich die anderen auch noch knacken lassen, DOCS scheinen auch zu gehen..PDF bin ich gespannt..
Mal schauen was noch geht..

Da doch einige Probleme haben hier mal mein Lösungsweg. Der Unterschied ist das ich nicht mit Malwarebytes gearbeitet habe.
Die Kaspersky Rescue Disk rein und gebootet.
Updates geladen
Windowsunlocker ausgeführt.
Dann von Kaspersky aus die Virensuche durchgeführt.
Er hat alle Trojaner gefunden und entfernt.
Erst dann wieder in Windows gestartet.
Originaldatei irgendwo besorgt und mit dem DecryptHelper ist dann alles wieder sauber hergestellt worden. Auch eine externe Usb Platte auf der die Daten verschlüsselt waren ist wieder absolut sauber.
Ob es was zu sagen hat , das ich die Virensuche nicht mit Malwarebytes ausgeführt habe, weiß ich nicht. Wollte meine Weg aber mal schreiben. Ein Versuchs wärs ja wert.

woher willst du wissen, das nach kaspersky alles sauber ist...?
von diesen ganzen rettungs cds ala avira- kaspersky etc ist nicht unbedingt zu erwarten das sie den pc sauber bekommen, denn dass nen antimalware programm ne hundert prozentige erkennung hat ist mir neu.

Wollte ja nur den kleinen Unterschied in der Verfahrensweise beschreiben.
Anstatt Malwarebytes Kaspersky genommen.
Auf den Rechnern ist als Virenschutzsoftware Anti Vir installiert. Damit wurde nochmals ein Scan durchgeführt.
Auf jedenfall arbeiten die Rechner wieder absolut korrekt und ohne irgendwelche Probleme.

Zusammenfassung:

Trojaner durch Powerpoint-File unwissentlich heruntergeladen
Trojaner mit Anti-Malware entfernt
Versuch mit DecryptHelper und Windows Beispielbilder einen Schlüssel zu erzeugen => Fehlschlag
Gelockte Game-Patch-Datei (CoD MW4 1.1 Patch) auf Festplatte gefunden
Selbe Patch-Datei aus dem Internet heruntergeladen
DecryptHelper verwendet, um Schlüssel zu bekommen => Erfolg
DecryptHelper verwendet, um locked-Files zu unlocken => bisher teilweiser Erfolg (noch nicht fertiggestellt)

:taenzer:

ChrisX
hast du die powerpoint datei noch?
dann mal hochladen bitte:
Trojaner-Board Upload Channel
wenn es eine mail war:
wenn du ein mail programm nutzt markiere die mail, datei speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.

auch zukünftige mails, von fremden, mit anhang, so an mich senden.

Hi

Mir hat dann das Tool ScareUncrypt geholfen (http://www.trojaner-board.de/114548-...e-dateien.html).
Als Datei habe ich zwei verschiede Windows Wallpaper benutzt, einem dritten wollte ich dann keine Chance geben. Beim ScareUncrypt konnte gleich von Anfang an ein Schlüssel erstellt werden und alle Dateien konnten wieder entschlüsselt werden.
Danke eurem Forum :applaus::applaus:

Gruß Ede

na dafür gibts ja mehrere tools, eines wird sicher helfen :-)

Hi!
Die Powerpoint + die dazugehörige gelockte Datei werden gerade hochgeladen (sind ca. 400MB)

Der Trojaner befand sich im Anhang einer Mail, versteckt in einer Powerpointpräsentation

Die entsprechende Mail wurde leider gelöscht.
Sobald wieder so eine Mail ankommen sollte, werde ich sie dir sofort weiterleiten!

Eine Frage noch:
Es sind noch eine Menge gelockter Files am PC, welche anscheinend nicht geunlockt werden können.

Gibt's da nen Trick, wie ich die wiederbekomme?

Danke!

hi,
ne 400 mb kann man nicht hochladen im upload channel.
sind die files wirklich noch gelockt und gibt es davon keine entschlüsselte kopie? denn der unlocker löscht nicht die gelockten files aus sicherheitsgründen.
ja, wenn wieder so ne mail ankommt, her damit.
bzw mal im papierkorb schauen, oder, falls du die über nen mail programm holst, mal im browser anmelden, denn häufig wird ne kopie auf dem web mailer server gelassen.

@markusg:
Sämtliche Dateien wurden geunlockt und sind wieder verfügbar!
Kontrolliere gerade, ob auch wirklich alle Dateien wieder vorhanden sind.
Bis jetzt sieht's aber gut aus!
Insgesamt wurden ~15k Dateien wiederhergestellt!

Ohne diesem Forum wäre ich verloren gewesen!

der dank geht aber an mathias :-)

Der Dank geht an alle, die das hier ermöglicht + Erfahrungsberichte gepostet haben!

so ein scan habe ich gemacht, aber was solle nun gemacht werden?
wie finde ich die verschlüsselten Dateien ?
Bin leider nicht so der PC Mensch sorry.
Java und das Decrypt habe ich schon. was nun?
Kann mir jemand weiter helfen
Danke
Stephan

Hallo an Alle,
ich habe das Problem, dass sämtliche Dateien verschlüsselt sind und ich natürlich keine Originaldatei habe. Kann ich nun überhaupt noch irgend etwas tun?
Über eine rsche Antwort würde ich mich sehr freuen.

Ich erläutere kurz meine vorgehensweise zum beheben des Trojaners und der Entschlüsselung der Daten.

Ich hab zuerst von Kaspersky (Avira geht auch) die Notfall-CD heruntergeladen und gebrannt. Dann habe ich die Disk in den "verseuchten PC" eingelegt und von der CD gebootet. Anschließend habe ich zu erst ein Update durchgeführt, sodass alles auf dem neuesten Stand ist, dann der komplett Scan. (Dauer ca 1-2 h) Es wurden 3 Trojaner gefunden und gelöscht.

Nachdem Scan konnte ich mich ganz normal an den PC anmelden und das Bild:

http://img.trojaner-board.de/verschl...an.encoder.png

war nicht mehr da.

Wie sieht die verschlüsselt Datei aus? Ein Beispiel: locked.BlaueBerge.jpg.xyz

Um herauszufinden wieviele Dateien verschlüsselt wurden, habe ich einfach in der Suche "locked" eingegeben und die Festplatte ausgewählt, nach dem Suchdurchlauf hat er ungefähr 10380 Dateien gefunden.

Zum entschlüsseln der Dateien habe ich den DecryptHelper-0.5.3.jar von Matthias genommen. (Fettes Dankeschön an dieser Stelle :singsing: )

Zum erstellen des Schlüssels habe ich die Originaldatei (Blaue Berge) die hier verfügbar ist heruntergeladen und genau die gleiche Datei (BlaueBerge) muss auch gelocked sein, um halt diesen Schlüssel zuerstellen. Dann einfach den Anweisungen folge leisten, wenn ihr auf den Button "Schlüssel erzeugen" klickt.

http://img444.imageshack.us/img444/7...rypthelper.png

Dann habe ich einfach den Ordner (Festplatte C: ) ausgesucht und dann die Entschlüsselung gestartet, nach ca. 20-30 min wurden alle Dateien wiederhergestellt.

Wichtig ist das ihr die Daten vorher sichert. Safety First :daumenhoc

So ich hoffe ich habe das verständlich erklärt.

gruß schwini


und viel erfolg dabei

hi, heute werden einige hersteller spezielle updates für diese malware raus bringen, also, guckt noch mal in eure postfächer, bitte, und sendet mir an mails zu, was passend zu diesem thema ist :-)
wenn ihr ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn ihr eure mails über den browser abruft, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.

Hallo,

erstmal möchte ich mich wie auch schon einige andere herzlich für das super Entschlüsselungs-Programm bedanken. Es hat mir sehr geholfen! :applaus:

Heute scheint es eine neue Variante der E-Mail zu geben, denn ich habe schon zwei Mails bekommen mit dem Anhang "schreiben.zip" in dem eine "Schreiben.exe" ist. :daumenrunter:

------------
Hallo lieber Kunde/Kundin,

Ihr Account wurde aktiviert.
636,94 Euro Teilnehmerbeitrag ist ab sofort zu zahlen.

Die Zahlung wird innerhalb 2 Tagen abgetragen.
Sie werden in kürze angerufen und ein Lieferzeitpunkt wird ausgemacht.
Kaufdetails und Widerspruch Möglichkeiten finden Sie im zugefügtem Zip Ordner.

Firmenname xxx
Strassse xxx
Ort xxxx

Telefon: (+49) xxxxxxx
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Keiserslauter
Umsatzsteuer-ID: DE721756259
Geschäftsfuehrer: Frank Kübels
--------------
Verehrte(r) Kunde/Kundin,

Ihr Anmeldekonto wurde aktiviert.
838,88 Euro Jahresbeitrag ist ab sofort zu begleichen.

Die Zahlung wird innerhalb 2 Tagen abgebucht.
Sie werden bald angerufen und ein Termin wird ausgemacht.
Bezahlauflistung und Stornierung Hinweise finden Sie im Zusatzordner in der E-Mail.

Firmenname xxx
Strassse xxx
Ort xxxx

Telefon: (+49) xxxxxxx
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Potsdam
Umsatzsteuer-ID: DE958994192
Geschäftsfuehrer: Frank Schneider
------------
Firmenname und Telefonnummer habe ich rausgenommen.

Also weiterhin immer schön vorsichtig sein!!

LG,

make_fun

bitte die mails an mich senden, wir können nur was gegen die spammer tun, und die erkennung dieser malware verbessern, wenn wir alle mails vor liegen haben!

wichtige info
 

hallo,
es ist, leider, so weit.
es gibt jetzt variannten, bei denen die entschlüsselung anhand von paaren nicht mehr funktionieren wird.

wichtiger hinweis:
entschlüsselt nur anhand von backups und meldet euch bei problemen.


an einer lösung wird gearbeitet.

bei mir kommt ungültige größe des schlüssel was tun? da alle meine daten weg sind und ich absolut panik schiebe bitte dringend um hilfe wäre super danke

hast du zum entschlüsseln ein paar vorliegen, dabei müssen die dateien natürlich gleich sein.
hast du das in der dateigröße unter eigenschaften noch mal überprüft?
da auch variannten unterwegs sind, wo die hier angebotenen tools seit gestern nicht mehr funktionieren
lies post 375 und lass mir mal die infizierte mail(s) zukommen.

danke mach ich.. das rießen problem ist das ich kein backup habe und alles weg ist. ich habe keine original datei sprich original konto auszug oder starmoney Db was soll ich tun ich verzweifle hier

zeig mir erst mal, wenn möglich die mail, damit ich sehe ob momentan überhaupt was zu machen ist.
aber als erstes, erst mal durchatmen :-)

das ding ist das ich KIS 2011 drauf hatte bzw. die person die den virus eingefangen hat. trotz neustem update

ok, trotzdem brauche ich die mail.
wenn du nen mail programm nutzt und du sie gelöscht hast, im papierkorb gucken.
wenn du nen mail programm hast, melde dich mal über den browser im deinen mail konto an, oft wird da ne kopie gespeichert.

bei der person wo ich gerade bin hat sie aus panik alles gelöscht sämtliche mails was tun ohne mails die email von dem typen kann ich geben aber leider nicht die mail an sich die leigt mir nur ausgedruckt vor!

post 62 lesen:
http://www.trojaner-board.de/114115-...tml#post820441

ich habe jetzt versucht den schlüssel zu erzeugen mit originalem bild und crypt bild es kommt der schlüssel konnte nicht bestimmt werden

sind die bilder gleich groß
und zwar die byte anzahl in den klammern.
unter eigenschaften und dort siehst du das.

ja sind sie bis auf das byte genau

anderes paar zur verfügung?
heißen die dateien denn locked, dateiname.endung.zufällige endung?

locked-Humpback Whale.jpg.nttf und Humpback Whale.jpg sonst sind keine bilder von der größe identisch

mal anhängen bitte, evtl. mit winrar packen.

hier mal crypted files mit original bilder

Zippyshare.com - Zip der crypted bilder mit originalen.rar

hxxp://www21.zippyshare.com/v/5445830/file.html

P.S. ihr seit die besten danke erstmal für die rasche hilfe. der hammer

Hallo,
ich habe auch ein ganz grosses problem. Nachdem ich den Ukash Verschlüsselungstrojaner anhand der Kaspersky Recovery CD erstmal ausgeschaltet habe. Waren alle meine Dateien unlocked. Nahdem ich dieses Forum durchgelesen habe habe ich die verschienenen Entschlüsselungssoftware ausprobiert. Ich habe auch einen Schlüssel erhalten, aber alle Dateien sind trotzdem nicht zu gebrauchen. Bilder werden nicht geöffnet, auch nicht in der Vorschau und z.B Worddokumente bestehen nur noocha us irgendwelchen Zeichen. Ich habe natürlich nur mit Kopien getestet. Habe also noch alle Originaldateien. Ich hbe auch bestimmt 20 Versuche gestartet bis ich überhaupt erstmal einen Schlüssel hatte, bei den meisten Dateien hatte ich keinen Erfolg einen Schlüssel zu generieren, obwohl sie ganu gleich groß waren znd auch genau gleich hießen.
Was kann ich jetzt machen? Ich brauche meine Dateien so dringend, da auch das Backup einen Fehler hat.
BITTE HILFE !!

Hallo

Ich habe auch das Problem mit so einem Verschlüsselungs Trojaner. Es handelt sich hierbei um eine Rechnungs.zip die geöffnet wurde. Ich ahbe bereits einen Scann mit malewarebytes gemacht und dieser findet einen Trojan.Banker und einen Trojan.Agent. Es wurden Bilder Videos Exel Word Dateien verschlüsselt.

Kann mir hierzu bitte jemand helfen ?

MFG

@MarkusG

habe auf einem infiziertem Rechner die Mail orginal ung verschlüsselte Datei gesichert.
Wo bitte willst du sie hingeschickt haben?

Als erstes sorge dafür, dass dein System clean ist. die entsprechenden Anleitungen findest du auf der Startseite dieses Forums.
Der zweite Schritt ist dann das entschlüsseln der Dateien. Dazu gibt es entsprechende Hilfsprogramme in diesem Thread.
Also immer erst ein Schritt nach dem anderen und ruhig Blut ;-)

Ich habe das alles schon wie beschrieben erledigt. Nur ich finde keinen Schlüssel da kommt immer eine Meldung das diese zwei Dateien nicht zusammmen passen.

Erkläre doch mal wie du es gemacht hast!

Habe das ganze System mit malewarebyte gescannt und gesäubert. Anschließend hab ich mich an das entschlüsseln gemacht. Mit dem Avira File Unlocker und dem Decrypter. Das angegebene Paar passt nicht zusammen kommt als Meldung.

Genau dass hat mich interessiert.
Und hier bitte ins Detail gehen wie hieß die verschlüsselte Datei ,saubere Datei usw...