doch habe sie gelöscht nin habe ich wieder einen Zugriff und das doofe bild ist nicht mehr vorhanden nun möchte ich gern die Daten wieder Herrstellen bild und ducos nur sind die alles auf XLKSDBhsdlh veränder worten und die 8 entschlüsselungs Programme wollen nicht die Daten entschlüssen

3. locked-Varianten: Dateien enschlüsseln: Übersicht der 8 Entschlüsselungs-Tools

locked-Varianten

Sehen Deine verschlüsselten Dateien etwa so aus: locked-xxxxxxxx.yyy.zzzz

Nein, sondern so XLKSDBhsdlh

Also weiter unter Punkt 3:

ansonsten Daten retten / Daten widerherstellen: Daten retten nach Verschlüsselungstrojaner

Also, versuche die vorgeschlagenen Möglichkeiten unter Daten retten nach Verschlüsselungstrojaner
Beispielsweise JPGSnoop oder JPEG Recovery für JPG-Bilder.

Volker

das habe ich auch gemacht nur zeigt mir der Shadow nichts an alle aus wahl möglichkeiten sind leer muss ma da was noch weiter einstellen ich habe denn 7 verucht und denn 8 nicht wird angezeigt

Dann, auch auf die Gefahr, das man sich wiederholt, weil das schon 1000000 male geschrieben wurde, hast du im moment wohl Pech gehabt. PUNKT

Grüß euch hab bei meine Nachbarin den GÜV virus von Bundessicherungsamt drauf auf bau wie dieser hier nur das er rechts eine webcam aktiviert der in den lapi eigebaut ist. Hab zwar anti-malware durchlaufen lassen der 7 infektion gefunden hat aber den nicht gelöscht hat. Habt ihr da schon die Kenntnis darüber wie mann den Löscht?? selbst der Antivirus findet den nicht werde morgen nochmal versuchen in zu finden hab schon datei gesucht die z.b uuupppdddtttjj sich benenen aber nichts des gleichen.

@Bombenjaeger,
da bist Du hier im Diskusionsforum falsch.

Siehe oben:
1. Starte einen vollständigen Scan mit Anleitung: Malwarebytes Anti-Malware - Funde bitte in Quarantäne und nichts löschen. Am besten nichts selbst machen sondern Thema starten.

Also, folge dem Link und starte Dein individuelles Thema.
Sobald jemand Zeit hat, wird sich dieser um Dich kümmern.
Aber nicht drängeln, die Mädels und jungs haben allerhand zu tun.

Volker

Seid gegrüsst, so nun habe ich alles gelesen,wie man bestimmte Dateien ( jpeg,mp3 )usw.
eventuell retten kann. Wie sieht das eigentlich mit rar-Archiven aus? Sind zwar unverändert vom Namen,lassen sich aber nicht öffnen. Gibt es da vielleicht auch eine Möglichkeit?

Hallo zusammen.

Habe den Laptop jetzt platt gemacht und es erscheint, als hätte sich das Problem damit für mich gelöst. Zwar nicht so wie gehofft, aber immerin ist jetzt Ruhe. Werde das ganze noch passiv hier im Forum verfolgen, aber der Fall ist für mich abgeschlossen.


Ich bedanke mich nochmal für die stoische Geduld und Mithilfe der Beteiligten, besonders Undertaker und seeadler.

Bis hoffentlich nicht all zu bald
(natürlich im Sinne einer neuen Trojanerproblematik)

Pace
Theo aka Shravaka

Undertaker ich bin hier schon richtig sieh mal unten das bild an genau um diesen virus geht es hier nur das es ein neuer raus kam und das ich es bekannt gegeben habe das eure jungs und mädels bescheidt wissen.Anleitung: Malwarebytes Anti-Malware hab ich gemacht bei diesen kannste die Anti-Malware in die tonne kloppen hat den auch nicht gelöscht kannst nur den rechner neu machen.

@ Bombenjäger
Ich denke es geht Undertaker mehr um Punkt 2 in seinem Text..
Das du ein eigenes Thema starten sollst...

Aber so als Tip.. du könntest ja noch Kaspersky als Bootcd probieren...Um zumindest den Virus runterzubekommen...
Ich denke aber deine Daten kannst du vergessen...

es geht um das selbe thema warum sollte ich jetzt noch ein thread öffenen was das gleiche thema handelt?? ok kapersky ist nicht schlecht wie gesagt hab den rechner neu gemacht und hab von anti-malware denm report gespeichert den kann ich hier mal posten vielleicht hilft es den jungs

Die "Jungs" sind bestimmt begeistert.
Haben ja auch nicht so schon genug zu tun, nein, man muss ihnen auch noch den Fall erschweren mit einerdärschlächteßten Räschtschreibungen die, ich jehmalz gesähen hahbe.

Auf Rechtschreibfehler hinzuweisen, ist eigentlich überflüssig, zumindest solange man versteht, um was es geht. Da gab' es schon ganz andere Beiträge, bei denen das so stark ausgeprägt war, dass ich überhaupt nicht verstanden habe, worum es geht.

Viel entscheidender ist doch, dass der User Bombenjaeger anscheinend resistent gegen Ratschläge und Hinweise ist.

moin moin Bombenjaeger,

Nach Deinen Aussagen musste ich also davon ausgehen, dass der Rechner noch infiziert ist und erst gesäubert werden muss.
Da die Säuberung individuell durchgeführt werden muss, ist hier nicht der richtige Platz dafür.
Hier wird durcheinander diskutiert und das ist für eine individuelle Hilfe ungünstig.
Insofern mein Hinweis auf ein eigenes Thema.

Nun hast Du aber geschrieben, dass Du den Rechner schon neu aufgesetzt hast. Den Virus solltest Du also los sein und damit brauchst Du natürlich kein eigenes neues Thema mehr zu eröffnen.

Was ist nun konkret Dein Anliegen?
Wenn es nur um das Malware-Log geht, dann hilft uns das hier nicht, wenn Du es postest.

Volker

Ich habe mir den neuen Trojaner ebenfalls eingefangen. ich soll 100€ zahlen. ich komme überhaupt nicht mehr in windows. auch nicht über den abgesicherten modus. was kann ich tun?

Hallo zusammen

mein PC wurde heute gesperrt angeblich von der GVU nur die meinten ich habe inen virus drauf wie bekomme ich meinen Laptop wieder entsperrt

Lesen (!)
Ganz oben auf der Seite steht doch alles Schritt für Schritt beschrieben, wie man vorzugehen hat.
Das gilt auch für @PierreS.2111

Schon eigenartig, dass alle 2 Seiten wieder die selben Fragen gestellt werden. Ein Phänomen.

Man erhofft sich wohl doch andere Antworten weil man nicht wahrhaben will, wie unwahrscheinlich eine Entschlüsselung ist
Naja oder eben doch mundgerechte Häppchen auf dem Silbertablett http://cosgan.de/images/smilie/nahrung/e030.gif

:crazy:

Hey Volker
jo da hast du recht den Lappi hab ich neu gemacht weil mir nichts anders überblieb den es ist ja nicht mein Lappi der Betroffen ist sondern von Bekannten.So und wie ich schon geschrieben habe und PierreS.2111 auch die neue GVÜ verschlüsslungs variante schon drauf hat, kannst du diesen weg was oben beschrieben ist nicht anwenden.Hab ich ja versucht diesen schritte zu machen aber trotsdem war der noch drauf gewesen.das war ja auch mein anliegen das ihr bescheidt wisst das es eine neue Variante gibt.Der sehr hartneckig ist und gut versteckt ist.

Ok, danke für Deinen Hinweis, wir werden das im Auge behalten. :applaus:

Volker

Experten lernen von richtigen Experten.
Gut, dass es den Bombenjaeger gibt, dann wisst ihr jetzt ja Bescheid.

:crazy:

Mal schauen, wann der nächste "Experte" kommt. Ich tippe mal darauf, dass innerhalb der nächsten 15 Beiträge mind. einer fragt, wie man den Buchstabensalat entschlüsseln kann und einer wie man den Trojaner von der Platte bekommt.:applaus:

Gott sei Dank bekommen wir die Hinweise, dass es neue Varianten gibt und geben wird! :rofl:

was wäre denn wenn ich ein NAS voller daten im netzwerk gehabt hätte?
wäre es denn genauso betroffen gewesen?

Das ist der zweite Hauptsatz von Godwin: sobald ein Thread über zwei Seiten erreicht werden 2/3 der Fragen mehrfach gestellt. Sobald er über vier erreicht duplizieren sich die Meinungen mehrfach...

Godwin 1 ist ja bekannt: für Threadlänge Tl gegen Unendlich geht die Wahrscheinlichkeit eines oder mehrerer Hitler oder Nazivergleiche gegen eins.

@smudo: wenn dein befallener Client Schreibzugriff auf das NAS hat wird es gleich mitverseucht. Die Viren sind recht ... effizient...

Das kommt auf die Version des Virus an.
Schlimmstenfalls wären die Dateien genauso betroffen wie die auf jedem anderen Laufwerk.
Bei einem großen Datenvolumen vermutlich aber nicht alle, da angenommen wird, dass die Größe der *.$02 Datei begrenzt ist,
Damit ist auch die Anzahl der Dateien, die verschlüsselt werden können, begrenzt.

wie könnte ich ein NAS vor soetwas schützen?

hey volker
jetzt hat das blöde Neue verschlüssungs variante virus mein rechner betroffen und das ist der virus
Infizierte Registrierungswerte: 2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\WINDOWS\SYSTEM32\DLLHOST\DLLHOST.EXE (Spyware.Banker) -> Daten: 11 -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|COM Surrogate (Spyware.Banker)
C:\Windows\System32\dllhost\dllhost.exe (Spyware.Banker)

nur konnte der virus nicht direkt auf mein rechner zugriff nehmen weil ich benutzerkonto eingerichtet habe und so umschalten konnte auf den adminbereich.und direkt suchen ohne in abgesicherten modus zugehen.hoffe das du was damit anfangen kannst. aber Malwarebytes Anti-Malware ist schon ok.

1. Ich bin zwar kein Profi, aber ich glaube, das ist kein Verschlüsselungstrojaner, sondern einer um dein Online-Banking auszuspionieren.
2. Der ist nicht neu, sondern den gibt es schon seit ein paar Jahren.
3. Bitte korrigieren, falls ich Blödsinn geschrieben habe.
4. Setz doch einfach den Rechner neu auf, und gut ist es.
5. Beschaffe dir zur Vorsicht einen neuen PIN für's Online-Banking.
6. Wenn du Hilfe benötigst, dann eröffne doch einfach einen eigenen Thread.
7. Dieser Thread dient nur zur Diskussion, nicht zur Hilfe. (Wurde dir aber schon öfters mitgeteilt.)
8. Danke. Bitte. Tschö.

das kann ja jeder den neu aufsetzen und nein das ist nichts mit online banking zutun
HKCR\bho_project.bho_object (Trojan.BHO) -> Keine Aktion durchgeführt.
HKCR\bho_project.bho_object.1 (Trojan.BHO) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Google\Chrome\Extensions\kincjchfokkeneeofpeefomkikfkiedl (PUP.FCTPlugin)
so nach weiteren scan kam das da oben die sollte mann manuel löschen
zwar sagt der Anti-malware neustart für entfernung aber wie gesagt manuel löschen.ich glaube ich sollte euch ein bild senden von den was ich hier schreibe da hat mann ein neuen virus entdeckt und hier wird mann verpönnt darfür und halten sich an alte asbach sachen fest sorry so kommt es mir rüber

@ Bombenjager
Die Spyware.Banker beschäftigen sich mit OnlineBanking...

HKCR\bho_project.bho_object (Trojan.BHO) -> Keine Aktion durchgeführt.
HKCR\bho_project.bho_object.1 (Trojan.BHO) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Google\Chrome\Extensions\kincjchfokkeneeofpeefomkikfkiedl (PUP.FCTPlugin)

Diese Sachen haben auch nix mit nen neuen virus zu tun... Sind schon ein wenig Älter, findest auch schon mehrere Beiträge zu hier im Forum und im WWW...

Und das mit dem neu aufsetzen ist eigentlich eine generelle Empfehlung wenn man einen Befall hatte...

ok wen du meinst dieser HKCR\bho_project.bho_object (Trojan.BHO) hat zugriff auf deine webcam genauso wie der HKCR\bho_project.bho_object (Trojan.BHO)1 der google HKLM\SOFTWARE\Google\Chrome\Extensions\kincjchfokkeneeofpeefomkikfkiedl (PUP.FCTPlugin)
nimmt einfluss für den aufbau der seite des neuen virus aber bei euch ist ja alles alt ok dann frag ich mich wieso dieser virus der ja euer meinung nach so alt ist wobei von euch nicht mal ein bild gibt sein rundumlauf selbst hier ist er nicht aufgelistet hxxp://www.google.de/search?q=bundespolizei&hl=de&prmd=imvnsu&source=lnms&tbm=isch&sa=X&ei=LFj7T9uSI4jltQbutPGcBQ&sqi=2&v ed=0CF0Q_AUoAQ&biw=1024&bih=575#hl=de&tbm=isch&sa=1&q=bundespolizei+virus&oq=bundespolizei+virus&gs_ l=img.3..0l9j0i24.5760.7463.0.7811.6.2.0.4.4.0.87.173.2.2.0...0.0.AisNkB6yTvI&bav=on aber was sollst ihr habt eure meinung ich meine nur weiß ich wie ich so ein virus vernichte da brauch ich nichts neu machen oder 1j lang darüber zu Diskutieren über sachen die asbach sind.

Naja.. ich glaube so wirklich verstehen willst eher du nicht..
Aber wie du sagst, du hast deine Meinung, und wir unsere.. Wäre ja schlimm, wenn alle die gleiche hätten...

Und nebenbei..
Wo steht geschrieben, das die Dateien die du grad benannt hast, zu dem BKA Virus gehören ?
Meinst nicht es gibt noch ein paar mehr Viren und Trojaner auf der Welt ?

Aber lassen wir es mal so stehen...

weil ich ihn grade vor 2std gelöscht habe und die daten ausgewertet habe weil mein rechner bevor ich ihn bekamm sauber hatte viren frei aso der zeigte mir diese ip an 103.117.68 in der ignoliste

Ich könnte mich echt kaputtlachen...warum um Himmels willen, willst du eigentlich jeden Virus oder Trojaner, den du dir ständig wie auch immer einfängst, als absolute Weltneuheit verkaufen? Glaubst du, da gibt es einen Preis für?:rofl:

wen der so lange gibt so wie du es sagst dann frag ich mich wieso troj-board hier immer noch mit einen alten bild als neu verschlüsslung variante werbung macht???"grübel"so und wen es ein alter wäre spätens bei google bilder müsste das bild drin sein was auch nicht ist, also ist es für mich ein neuer Virus[verschlüsslungs variante]hätte ich gewusst das dieser board nur rum diskutiert um die viren und keine hilfe angeboten wird tja dann wäre ich bei chip .de gegangen.den ich versuch Leute zu helfen doof rum labbern könnt ihr ja.den ich hab diesen verschlüsslung entarnt und vernichtet.mein rechner ist somit wieder viren frei.spätens wen ihr den bekommt dann wisst ihr was ich meine dann könnt ihr ja hier aus diskutieren den troj.[verschlüsslung]:rofl:

Du bist echt der Knaller.
Wenn der Virus nicht bei Google BILDER auftaucht, dann ist es ein ganz neuer und auf jeden Fall auch ein Verschlüsselungstrojaner.
Und du hast ihn enttarnt und vernichtet.
Hör auf, ich fall' gleich vom Stuhl.:rofl:
Ich kann im Moment nicht schlafen, aber nach dem ist es nun wohl ganz vorbei.

Liebes Board-Team, ich bitte euch, besorgt euch das neue Bild vom Bombenjaeger, und macht gefälligst mit der ganz neu entdeckten Variante WERBUNG. Danke.:rofl:

Falls ich hier nicht mehr schreibe, habe ich mich evtl. totgelacht.:crazy:

Moin moin Bombenjäger,
Wieviel Dateien wurden denn nun neu verschlüsselt und wie sehen die aus?

Wie von meinen Vorrednern schon festgestellt, handelt es sich hier um Spionagesoftware zum abfischen von Bankzugangsdaten und nicht um eine neue Variante des Verschlüsselungstrojaners.
In letzter Zeit sind wieder vermehrt Mails unterwegs, zum Beispiel als Fakes von DHL.

Das ist auch kein neuer Verschlüsselungstrojaner.
Trojan.BHO ist eine Sammelbezeichnung für Browaser Help Objects.
Es gibt seit Jahren dutzende dieser Dinger, meist Adware.
Hier ein Zitat aus Chip.de:
2006, das ist nun wahrlich nichts Neues.

Ja, warum hast Du kein Bild angehängt und warum hast Du nicht exakt beschrieben, wie sich der "Neue" einnistet, was er genau tut und wie Du ihn konkret entfernt hast?
Das wäre doch ganz hilfreich für viele gewesen.

Über den GVU-Trojaner mit Webcam wurde hier auch schon berichtet, neu ist das also nicht, schau mal untrer Plagegeister nach.

Und zum Schluß noch ein Hinweis.
Wir stehen doch nicht im Wettbewerb, immer das Neueste Bild des aktuellsten Trojaners on top zu haben.
Oben stehen Hinweise für einen bestimmten Trojaner, den Verschlüsselungstrojaner und dazu gehört das Bild eben dazu.
Der gehört übrigens zur Ransomware und nicht zu BHOs.

Wie kommt es eigentlich, dass Du Dir ständig neue Schadsoftware einfängst?
Ich würde da mal mein Sicherheitskonzept überprüfen.

Bleib wachsam, Volker

hi
nur mal ne anmerkung, der dhl spam ist eine andere schadsoftware.
aber ich möchte aktuell warnen, der spam mit verschlüsselungstrojanern nimmt tatsächlich wieder zu es gibt wieder neue versionen, bzw versionsnummern.
also, wer was reinbekommt, an mich senden.

hey volker
hab ich leider verpasst ein bild rein zusetzen sollte ich es noch mal bekommen mach ich ein bild davon

du fragst mich wie ich es geschafft habe diesen virus los zuwerden ÄHM das was du als online banking fishing abhakst und den rest davon hat der Anti-malware gefunden und der virus war weg.der virus setz sich aus Trojana BHO,pupFCTPlugin,PUPSearch.ya,SPYware.zbot124gen,SpywareBanker zusammen.
zufinden in REGESTRIE KEY
aber nun gut du sagst ja das ihr diesen virus schon gepostet habt dann kanst du meine einträge löschen, den ich kenne ja viele viren FBI,BKA usw aber für mich war der neu gewesen und hab in euren eintrag ja gesucht aber nichts gefunden was annahnst diesen virus gleicht.

den bevor ich den virus bekommen habe war mein rechner sauber gewesen von viren.
und das was ich unter plagergeister gefunden habe sind alle von heute!!die das gleiche virus drauf haben was ich hatte.

aso kleiner anmerkung ich hab mir ein benutzeraccount auf mein rechner und ein adminaccount mit den benutzer account surfe ich in net und hab auch meine prog drauf brauchte nur umschalten auf den admin account um ihn auf zustöbern.

du verstehst es einfach nicht, du hast verschiedene malware arten, darunter auch ein banker.
eine infektion schließt die andere nicht aus

hab was ganz tolles gefunden ordner oapps dort ist ein VFG-unstall daten bho-projekt, , config,conf, chromaddons.perm ordner chromaddons dort ist drin und ordner intellidownloader anwendung VFG setup ich denkmal in der zeit wo mann den virus bekommt das er ein programm installiert weil diese beiden ordner kenne ich nicht und alle sind von 9.7.2012 genau wo ich den virus drauf bekommen habe.schon merkwürdig alles

:crazy::rofl:
Bin zwar kein Fachmann, darum sage ich da mal nichts weiter zu, aber allein dieser Satz ist schon Gold wert. Lachflash 2.0

Das bedeutet aber immer noch nciht, das du eine neue Version gefunden hast, oder nen neuen Virus gefunden hast...
Kann immer noch ne alte Version sein..
Bedeutet nur, das halt an diesem Tag die Sache passiert ist...

ok ihr habt Recht und ich meine Ruhe wen ihr meint das ist ein alter virus, gut dann ist das so. ich kenne den noch nicht bevor er auf mein rechner war.brauche kein old.log hab den auch so gefunden alle scans in grün bereich den der OLD.LOG sag zwar das die Regestrie so wie App ein virus erkennt aber wen das virus ein programm installiert weiß ich nicht ob dieser Old.log das auch erkennt!!

hallo, also bei mir sind die dataien in kaudawelsch um benannt worden.
hier mal paar beispiele. es waren mal bilder von der digi cam...
aepDQNvgQrDasqnUtds
asgunAfGoyUtyL
aspDuroqxUfGEqTev
wie gesagt es waren mal bilder von der digicam.
wie bekomme ich diese wieder richtig????

@saroma
Naja..
Das was über dem Thread steht, wurde wieder erfolgreich ignoriert ?
Da steht doch alles wichtige drin, inkl. Tolls und Tips wie du, sofern es geht, an deine Daten kommst...

jepp da werd ich montag ran gehen, den Rechner von meine bekannten soweit in Ordnung zu bringen die hat auch das kauderwälsch drauf.haben zwar versucht in jpg um zu schreiben zeigt auch die bilder unten in der ecke aber die datei soll beschädigt sein wen mann in ein fotogalery öffne.und das bringt so nichts

hi, ich habe alles so gemacht wie beschrieben. geht aber nicht. dateien sind verschlüßelt. und meine programme word corel usw sagen mir das sie neu instaliert werden müßen weil sie beim start einige dateien nicht finden. denke mal das diese dataien auch verschlüßelt sind.
also was nun???

Wenn du XP hast.. Daten sichern und hoffen das noch was kommt. PC neu installieren..
Wenn du Win7 oder Vista hast, schauen ob du mit ShadowExplorer noch was machen kannst.. Und was Bilder angeht kannst du noch mit JpegRecovery versuchen..
Ansonsten das gleiche wie bei XP... Daten sichern und hoffen das nochw as kommt und PC neu installieren.
Halt so die Tools die oben auch unter Programme zur Datenrettung stehen..

Das wurde doch nun wirklich lang und breit erklärt in diesem Thread, wie und was alles möglich ist. Ich finde, wenn jemand keine Lust hat, das nachzulesen, dann sollte man auch nicht mehr darauf antworten. Klingt zwar hart, ist aber nicht böse gemeint. Es soll nur helfen, die Eigeninitiative wieder in Schwung zu bringen.:party:

Meine Partnerin hat heute ebenfalls zwei dieser eMails erhalten, diese jedoch - weil verdächtig - nicht geöffnet sondern an mich weitergeleitet. Beim Öffnen des Anhangs unter Linux war eine ausführbare COM-Datei ersichtlich und somit erkennbar, dass es sich um Schadsoftware handeln musste... Damit ist in diesem Falle kein Schaden entstanden. Die betreffenden eMails wurden als *.eml gespeichert , mittels 7zip gepackt und anschliessend an Markus versendet.
In Zeiten schneller Internetanbindungen kann ich nur jedem Nutzer nahelegen, sich die Live-CD von Linux Mint (XFCE) herunterzuladen und im Zweifelsfalle damit ohne notwendige Installation im Intenet zu surfen sowie die eMails abzufragen. Auch ein Dual-Boot-System ist mit dieser Linux-Distribution bei gewünschter Installation möglich - so unterschiedlich zu Windows erscheint die Benutzeroberfläche nicht - eine Umgewöhnung ist kaum notwendig... Das erspart unter Umständen jeglichen Ärger und beugt Datenverlust vor.

Ich danke im Namen aller Betroffenen dem Team für seine Arbeit und hoffe, dass den Programmierern dieser Schadsoftware das Handwerk gelegt werden kann.

Auch eine virtuelle Maschine unter Windows kann ausreichen, per Snapshot kann man diese auch jederzeit zurückstellen, und nicht jeder muss sich erst an Linux gewöhnen ;-)

Hy,

habe den Verschlüsselungsvirus bei einem Bekannten drauf.
Konnte alles wieder mit einer Sicherungsimage zum laufen bringen. Aber die Daten! So ein Schrott. Hoffentlich findet ihr ein Tool um diese wieder herzustellen. Habe vorher ein Image vom verseuchten Rechner gemacht um später eine Datenrettung zu versuchen.

Ich zähl auf Euch.

Hallo

ich habe auch den Verschlüsselungs-Trojaner.

Ich habe die OTL.txt datei ausgelesen, ich kann sie aber nicht hochladen.
was mach ich jetzt?

mfg reuter

Hallo zusammen,
meine Frau hat gestern ihren Notebook zerschossen, auch mit einen UKASH trojaner, obwohl die Mail die adresse von ihre Uni-Professor hatte.
Windows konnte ich wieder Starten, dank polifix.exe, nur leider sind Ihre Daten alle Kryptiert, nach den Muster: xXGsnrgoLasLefUVxtGtV
habe es versucht wie es hier im Forum beschrieben, ShadowExplorer, JPGSnoop, usw. leider ohne Erfolg, alle Ihre Uni Dokumente, Fotos usw sind flöten gegangen.

hi
dank was konntest du windows starten?
wenn du combofix meinst, erstelle ein thema und poste den bericht.
in zukunft, finger weg von dem programm, zumindest nie allein damit arbeiten

Ich habe das Programm Polifix 2.0.3 in mehrere Spanischen Foren gefunden.
PoliFix 2.0.3 (by InfoSpyware) | InfoSpyware

Und damit konnte ich Windows 7 wieder ins laufen bringen
Habe es mit Malwarebytes Versucht, leider in Abgesicherten Modus, leider Blockiert der PC nach ca. 41000 gescannt files und mit OTL startete das Scan gernicht

Gibt es mittlerweile was um die Datein wieder zu entschlüssen
bitte einfach melden danke
lg Ice

Per Mail, per Post oder soll jemand nach hause kommen?

Hallo, habe seit gestern leider auch einen Verschlüsselungstrojaner auf meinem System (WIN7). Meine Daten, es sind nur Videodateien im Format avi und mpg betroffen, sind im Format "vruQgvNrQgvvrQggvNuQ" verschlüsselt.Es sind die ganzen Videos der Kiddies von Geburt an, wie kann ich die Videos wieder herstellen.Windows läuft wieder, habe dann Malewarebytes gestartet und er hat schon 5 infizierte Objekte gefunden.
Gibt es eine Möglichkeit die Dateien wiederherzustellen ???

Danke für eure Hilfe

Gruß

Peter

dann ist dein rechner nicht sauber wen du noch 5 meldungen bekommst schau mal ob du unter programme irgend welche sachen drin hast die du nicht kennst wie oapps,vfg usw aber der undertaker kann dir mehr dazu sagen.

moin moin Peter,

Und was hast Du dagegen unternommen?
Wenn der Rechner noch infiziert ist, gehe entsprechen Punkt 1 der Hinweise in der TopBox vor und starte ein individuelles Thema.

bei Windows 7 solltest Du zuerst nach Schattenkopien suchen.
Näheres findest Du unter Punkt 3 in der TopBox.

Volker

Ich warte erst mal das Ende des Scans ab, jetzt hat er schon 10 infizierte Objekte gefunden. Ich denke mal das sicherste ist die Kiste neu aufzusetzen.
Das ist nicht schlimm, aber wie komme ich wieder an meide Daten, ich habe es schon mir dem DecryptHelper 0.5.3 versucht aber leider ohne Erfolg, er konnte mir kein Schlüssel erstellen.Liegt vielleicht daran das ich nicht die "locked-<DATEINAME>.<ENDUNG>.wxyz" Version der Verschlüsselung sondern die "psaDlppaDDXeelpaX" Version habe.Wie schon gesagt das System ist schnell wieder aufgesetzt, aber wie bekomme ich meine Daten wieder.

Gruß

Peter

Mit Sicherheit liegt das daran.
Während die locked-Verschlüsselung 3kB betrifft, ist die psaDlppaDDXeelpaX-Verschlüsselung viermal länger.

Experimentiere nicht zuviel, schaue nach Schattenkopien.

Volker

Leider gibt es keine Schattenkopien, habe mit dem Shadow-Explore geschaut.
Die Daten liegen auf einen externen Festplatte und die Systemwiederherstellung war auf diesem Laufwerk ausgeschaltet.

sonst noch eine Idee

Gruß

Peter

kuck doch erstmal das du die infizierte weg bekommst bevor du sorgen machst um die daten sonst haut dir der Virus wieder kauderwälsch drauf sorry undertaker musste jetzt sein.

@stitch_1967
eröffne bitte hier ein thema im plagegeister bereich.
es reicht nicht zu gucken das "die malware irgendwie weg geht" bitte auf solche kommentare verzichten, die helfen niemandem.

@Undertaker hat schon recht, mit den schattenkopieen

Hallo,

ich auch den Verschlüsselungs-Trojaner;

ich habe wie in der anleitung eine boot cd erstellt und die otl.txt datei
ausgelesen (anhang)

kann mir jemand sagen was ich jetzt fix eingeben muss?

mfg reuter

Ich würde Dir empfehlen lieber einen eigenen Thread zu erstellen.
Siehe InfoBox oben.

Kleine Anmerkung:
gestern - nach exakt einem Monat - erhielt ich die zweite Lieferung des Trojaners.

Schön und jetzt?
Willst du da eine kausale Beziehung jetzt herbeireden? :wtf:

:lach:
FIinde ich gut, dass du mittlerweile zum Sarkasmus übergegangen bist. Jetzt noch ernsthaft auf sowas zu reagieren, nach all deinen Hinweisen, wäre auch mehr als unangebracht.

Made my day!

Seit heute morgen bin ich auch Mitglied im Club. Erst die Rechnungsmail welche ich in geistiger Umnachtung geöffnet habe - selbstverständlich hatte ich sie vorher mit Kasperski überprüft :-(. Na ja dann der BKA hinweis und nun wie bekannt alles jpg. mp3, corel draw dateien, und auch sämliche Fonts im sdgdhshdwfiiw Format. So eine Scheiße. Zum Glück habe ich von den Bildern und Musik dateien Sicherungen. Allerdings sind ein paar PDF's und exel Dateien hops was besonders bei der EXEL datei doof ist. Zum einen kann ich Sie nicht mehr identifizieren und zu andern weiß ich nicht wie ich sie entschlüsseln soll. Ich schließe allerdings nicht aus das ich hier was überlesen habe :-). Vielleicht hat jemand ne Idee wie ich die Coreldateien wiederbeleben kann. Hat einer ne Ahnung was mit den Schriften ist?

LG

Arnd

"Ich schließe allerdings nicht aus das ich hier was überlesen habe :-) "

Wie wäre es den mal mit dem Text, der über dem Thread steht ?
Vorallem der Bereich
Daten retten nach Verschlüsselungstrojaner
??

moin moin Arnd,
sind das selbst kreierte Fonts?
Wenn nicht, was hindert Dich daran die wieder neu zu installieren?
Für den Rest hat Dir @seeadler ja schon den Wink mit dem Holzhammer gegeben.

Und!
Schicke den Virus an marcusg!
Der Link zur Adresse steht gleich in meiner Signatur.

Volker

war mal so frei ein bild von GVU zu posten http://i49.tinypic.com/2aaab6g.jpg

@Bombenjaeger, nun höre endlich auf von Neue Verschlüsselungs-Trojaner Variante im Umlauf zu faseln.

Das ist alles schon bekannt, schau und poste hier.

Langsam geht es mir auf den Keks, dass Du die Foren zumüllst ohne einen essentiellen Beitrag zu den Diskussionen zu leisten.

Volker

@ Undertaker...
Da wäre jetzt aber doch eine Sache, die mich an dem Post von Bombe jetzt doch interessieren würde...
Ist das schon wieder SEIN PC ? Der, der schon gereinigt wurde, und ja doch so sicher ist, dass er sich das immer wieder einfängt ? :D

Sorry, ist OFFTOPIC, konnte ich mir jetzt aber nicht verkneifen.. :D

@ undertaker :

kann man mit jpg recovery auch alles ausser jpg format was bilder angehen wieder retten oder gibt es dafür eine andere software ? woran merke ich wenn ich mit einer hexe editor eine datei auslese ob es sich um : tif,gif, etc an weiteren bild daten handelt ? verstehst du was ich meine ???

so wie ich es sehe kann jpg recovery nur jpg s retten aber was ist mit anderen bild formaten ????

danke :)

Hallo bobby,
JPEG-Recovery kann außer JPG-Dateien noch einige RAW-Formate verschiedener Kamerahersteller restaurieren.
Zumindest soll es das können, getestet habe ich das noch nicht.
Formate wie *.bmp, *.tif oder '.gif verarbeitet das Tool nicht.

Eine JPG-Datei weist typische Marker auf, nach denen man mit einem Hexeditor suchen kann.
Diese Marker beginnen mit FFh.
Wenn also in mehr oder weniger regelmäßigen Abständen die Zeichenfolge FFxxh auftaucht, liegt die Vermutung nahe, dass es ein JPEG ist.
Sicher ist das aber nicht, da der typische Dateibeginn einer JPG-Datei,
FF D8 ---> Start Of Image,
FF DB ---> Definition der Quantisierungstabellen
vom Trojaner überschrieben wird.

Siehe auch meinen Beitrag hier: http://www.trojaner-board.de/115183-...tml#post853212

Volker

ok....gibt es denn sowas wie jpg recovery für andere bildformate also tool mäßig ?

in deinem beitrag steht aber nur wie man jpg mit hexe editor auslesen kann aber nicht wie man es bei anderen formaten anwendet ? zb mp3 oder mpg woher man dann weiß dass es sich um eine mp3 handelt oder mpg etc....?

dann wollte ich noch was wissen....sagen wir mal ich habe eine musik datei weiß aber nicht ob es sich um eine mp3 oder mpg handelt und auch wenn ich jetzt die endung ändere geht es nicht wie kann ich anhand hexe editor herausfinden welche URSPRÜNGLICHE ENDUNG das mal hatte ?????????

UND sagen wir verzichten wir mal auf die musik datei sei es mp3 oder video clip....im aller schlimmsten falle kann ich ja durch den datei NAMEN das ja wieder besorgen......jetzt die frage : kann ich mit hexe auch URSPRÜNGLICHE DATEI NAMEN herauslesen oder was für möglichkeiten gibt es ?????

ich habe keine schatten kopien etc also ich will einfach nur wissen wie ich von einer verschüsselten datei einfach nur den URSPRÜNGLICHEN dateinamen herausfinden kann und von mir aus ist die datei zerschossen....ich will einfach den datei namen der musik datei wissen : zb. jahsghfghasHHGJGhjagjd ist die verschlüsselte datei und ich will ursprungs dateinamen von der datei herausfinden zb. billiejean_MJ.mp3 oder dr.alba_its_my_life.mp3 ( das sind nur beispiele )

:lach::lach::lach:

Danke Volker ;)

Das ist nach Aussagen der Delphi-Coder nur mit der *.$03 Datei möglich, die der Virus während der Verschlüsselung schreibt.
Hier ein Zitat aus dem Delphi-Forum:

Es gibt dazu auch ein Delphi-Script um die Daten auszulesen.
Allerdings habe ich bisher noch keine Info über eine erfolgreiche Rekonstruktion gelesen.
Ich bin da skeptisch, da ich nichtmal jemanden kenne, der diese $03 erfolgreich aus dem Temp-Verzeichnis retten konnte.

Meines Erachtens tendiert die Erfolgsaussicht, den verschlüsselten Dateinamen die Originalnamen zuzuordnen, real gegen Null.

Volker

Moin
.mpg, .avi etc. funktioniert doch sowieso nicht und bei .mp3 hört man ja, um was es sich handelt und muss dann halt jede einzelne Datei manuell umbenennen. Oder noch einfacher: Man legt halt die Original-CD, die man natürlich im Regal stehen hat (;)), ins Laufwerk und hat mit ein bisschen Aufwand seine Musiksammlung wieder auf dem Rechner.

bombi, schönes Bild. Du wirst noch berühmt, ich glaube ganz fest daran. Irgendwann entdeckst du eine Weltneuheit, da bin ich mir sicher, und dann kommst du ganz groß raus.:daumenhoc

danke...wo finde ich genau dieses temp verzeichnis ?

@ Undertaker :

weisst du echt nicht ob es tools dafür gibt , die man wie jpg s recovery wieder gewinnen kann ? also zb. gif recovery etc. ??? :D :D

danke

Hallo

Ich habe auch diesen Trojaner gehabt. Nun ist alles wieder gut,aber ich kann keine Bilder oder Dokumente mehr öffnen.Die Endungen sind da wie zum Beispiel jpeg, aber weder ind der miniaturansicht im ordner noch durch irgendein programm wie windows bildanzeige kann ich das bild sehen bzw öffnen.ist sehr wichtig,sind emotionale bilder und dokumente die ich unbedingt haben muss. bitte um hilfe!!!!

Tobi

moin moin Tobi,
Du hast den Trojaner gehabt, wie ist das , ist er gegangen oder hast Du ihn entfernt?
Wenn, wie hast Du ihn entfernt?
Welches Betriebssystem hast Du?
Du schreibst , dass die Endungen da sind, was ist mit den Dateinamen?
Was hast Du bisher unternommen um die Dateien zu reaktivieren?
Was sagst Du zu den, hier im Board, bereits angebotenen Möglichkeiten der Datenwiederherstellung?
Womit kommst Du dabei nicht klar?
Hast Du Dir vor Deinem ersten Beitrag die Regeln des Boards durchgelesen?

Meinst Du nicht auch, dass der Inhalt Deines ersten Beitrages ist bisschen dürftig für eine konkrete Hilfestellung ist.

Volker

hallo leute, vorallem an all die helfer und experten:

ich bin seit 31.05., seit eigenem befall hier, verfolge den thread wort für wort seit dem - jeden tag. ich muss immer wieder den kopf schütteln und mich fragen, wie viele leute so blöd und dummdreist sind, euch immer wieder mit der gleichen leier auf den senkel zu gehen.
Mein respekt, dass ihr meistens immer noch so kulant antwortet!!! aber ich unterstütze auch undertakers noch zu selten gezeigten sarkasmus wie: "per post, per mail oder besuch zu hause" da habe ich echt abgefeiert.

jungs und mädels, ihr seit einsame spitze!!! Danke

Hey Leute ich hab ein fast gleiches Problem

http://www.trojaner-board.de/120249-...tml#post872413

nur aufm TerminalServer gibt es keine Standardbilder.... :glaskugel2:

@thestriker89,

und was ist Dein Ansatzpunkt für eine Diskussion?
Die Verschlüsselung erkennt man anhand des Dateinamens der betroffenen Dateien.
Es gibt nur eine 3k- oder 6k-Verschlüsselung bei locked-Dateien, alle anderen sind 12k verschlüsselt, da braucht es kein Erkennungsprogramm.
Standardbilder helfen Dir da nicht.
Steht aber alles unter den Links im Punkt 3 der TopBox.

Also, bei locked-, entschlüsseln und wiederherstellen, ansonsten nix mit entschlüsseln, da heißt die Devise "retten was geht".

guten tag gibt es den bald ein programm für die 12k verschlüsselt datein zu entschlüsseln

moin moin,
informiere uns unbedingt, falls Du ein's geschrieben hast oder eins findest.

Volker

Auf den gesamten 110 seiten ist das der einzig wichtige satz:

Also, bei locked-, entschlüsseln und wiederherstellen, ansonsten nix mit entschlüsseln, da heißt die Devise "retten was geht".

Bist Du da nicht etwas ungerecht?
Das wäre ja schlimm, wenn dem so wäre.

Volker

Zum Glück definiert supreme ja nicht, was wichtig ist und was nicht ;)

also heist das nix geht ausser löschen und schuaen die daten neu zu bekommen oder wie

Nö, das bedeutet es ganz und gar nicht, nur hängt die Anzahl der rettungsfähigen Dateien stark von deren Format, der Version des Betriebssystems und der Konfiguration des Systems ab.

Es ist hinreichend beschrieben was wann geht und was nicht.

Volker

Psst, sag das nicht so laut, sonst könnte in diesem Strang noch mal tatsächlich Ruhe einkehren :lach:

Da fällt mir nur folgender Spruch zu ein..
"Lesen ist eine Bildung, Bildung ist aber nicht jedem gegönnt :D "

Aber ist schon lustig, wie oft der obere Text einfach ignoriert wird..Ist ja auch echt nicht zu sehen :D

Vorgestern hat es mich auch erwischt!
 

hallo leute,

es hat mich jetzt auch erwischt ... gefeiert, gesoffen und noch e-mails checken wollen, war ein riesen fehler!

also ich hab einen anhang geöffnet und da war er dann der bka trojaner - aber die miese version!!!

hatte gerade noch genug hirn meine mobile festplatte abzuhängen, hat sehr viele daten gerettet, leider aber nicht die beiden anderen festplatten.

also erst mal den pc ausgeschaltet und den rausch ausgeschlafen - am nächsten morgen habe ich folgedes gemacht:

pc im abgesicherten modus gestartet und cc-ceaner drüber laufen lassen. hat wohl funktioniert - aber die daten auf D und E waren alle schon verschlüsselt. das habe ich dann im abgesicherten modus gesehen und habe dann von einer "datensicherung" abgesehen (bin mir jetzt aber nicht sicher ob das ein fehler war!!!)

C (system) formatiert und windows neu aufgesetzt
in www ein bisschen die foren durchsucht (unter anderem dieses hier - und es ist das beste, welches ich bisher entdeckt habe, also dickes kompliment dafür!!!) und decodierungssoftware ausprobiert (4 verschiedene - kaspari, antivir, das von markus und noch eines auf englisch) hat aber leider nichts gebracht ...

mein system ist folgendes:

win 7 x86 home premium
c: system
d: hd - daten verschlüsselt
e: hd - daten verschlüsselt
f: hd - stecker gezogen in sehr kurzer zeit sicherlich 15GB verschlüsselt, die anderen 300GB unbeschädigt



meine dateien sehen jetzt folgendermaßen aus:

codierte datei:

xQuOvrQOvNQgJrQOvN --> 5,5mb

originale datei:

George R. R. Martin - Das Lied von Eis und Feuer 11 - 02 --> 5,5mb


ich habe die dateien wie bereits geschrieben mit dem encoder von antivir (und den anderen 3) versucht zu decodieren, folgenden ist passiert:

beide dateien geladen, fehlermeldung "keine passenden paare" --> habe dann die codierte datei umbenannt in "locked-*...*" wieder die selbe fehlermeldung --> habe die codierte datei umbenannt "wie die originaldatei" wieder die selbe fehlermeldung

habe ich dabei etwas falsch gemacht oder sind die programme für die "locked-*.*" variante des BKA-Trojaner geschrieben worden und daher für meinen trojaner wirkungslos?

mein plan ist jetzt folgender:

- NICHT mehr besoffen emais lesen!
- regelmäßig nach updates der decodierungssoftware schauen
- alle daten auf eine externe festplatte sichern und in den schrank legen!!!!!!!!!

hat jemand vielleicht noch einen "geheimtip" den ich versuchen könnte?

die meissten sachen sind nicht nochmal gesichert weil ich sie ja auf einer anderen festplatte als das system hatte (c-system, d,e,f, videos, bewerbung und zeugnisse, hörbücher, spiel usw)- war ein großer fehler ... ich habe einige videos drauf (keine sauereien *ggg* ne videos als ich auf einem kreuzfahrtschiff gearbeitet habe) wäre wirklich scheiße wenn die für immer verloren wären.

bitte tips!!!