@sebi3110
mich interesiert eig nicht der text, sondern die gesammte mail, wie beschrieben.

@alle

Wir haben einige Samples an Xylitol weitergereicht (da er ja auch direkt angesprochen wurde *g*), und ihn gebeten, sich das auch mal anzuschauen. Das sollte ja in unser Aller Interesse liegen. Haben gerade ein positives feedback erhalten.

Okay, wie kann ich die E-mail in web.de zu einer .eml Datei machen,um dir die E-mail zukommen lassen zu können?

LG :)

öffnen und weiterleiten.
@pcnberlin
hatte ich schon vor längerer zeit getan, aber vllt hast du ja mehr glück

Beim Delphi-board: (hxxp://www.delphipraxis.net/168380-verschluesselungs-trojaner-hilfe-benoetigt-5.html) scheinen die Member dem Virus schon recht weit auf der Spur zu sein. Es gibt vorsichtige Hoffnung. Wichtig: Virus in Quarantäne nicht löschen, da möglicherweise individuell dort jeweils ein verschiedener Schlüssel hinterlegt ist, der zum Entschlüsseln benötigt wird.

du meinst damit die .pif datei?
Aber es sollte die mail auch genügen, in dem die zip drinnen ist oder?

Hallo, bin neu und ebenfalls betroffen. Mich hat es am Dienstag erwischt und die Daten sind nach dem neuen Muster (Klein und Großbuchstaben) verschlüsselt.
@markusg
Ich bin zwar kein Experte habe aber einmal meine Festplatte unter die Lupe genommen.
Vielleicht ist das für Eure Arbeit ggf. wichtig:
Die Verschlüsselung ist ausschließlich in den Ordnern die mit den Buchstaben A-D anfangen. Alle Verzeichnisse von E-Z hat er (Gott sei dank) in Ruhe gelassen.
Das Ganze ist sowohl in den "Eigenen Datein" als auch auf dem Laufwerk C: + K: geschehen.
Alle Bild-, Musik- u. Videodateien sind nicht verändert worden.
Den E-Mailanhang hatte ich morgens geöffnet und bin danach unterwegs gewesen und habe den Rechner angelassen. Der Virus hatte also eigentlich ca. 4 Stunden Zeit sich auszubreiten.
Ich habe ihn mit Avira Rescue beseitigt und komme damit wieder in mein System, allerdings kommt jetzt mindestens 20-mal am Tag automatisch ein Versuch ein "GPBaseService2" zu installieren, was ich immer abbreche. Meistens aber wenn ich scannen will. Könnte das immer noch der Virus sein oder hat er mir nur eine datei zerschossen? Drucken und Scannen kann ich.

hi, eröffne ein neues thema im bereich logfiles und poste dort deine scan ergebnisse

Hallo,
ich arbeite an einem Fall mit 100% Datenverlust. Noch dazu war die Sicherungs-Festplatte per USB angesteckt, daher auch da 100% der Daten verschlüsselt.
Ich habe hier Dateien, die umbenannt sind und auch solche, die nicht umbenannt sind. Es scheint so zu sein, dass bei jedem Start des verseuchten Systems evtl. eine neue Version des Trojaners downgeloadet wird.
Daher: INTERNET trennen !!

Der Benutzer hat sicher keine Mail-Anhänge bewußt geöffnet. Allerdings verwendet er Outlook Express. Dieser Mail-Client öffnet meines Wissens auch Anhänge, wenn man Nachrichten bloß markiert, um sie zu löschen. Bitte um eine Bestätigung dieser meiner Annahme. Danke.

Ich habe aus dem verseuchten System Paare zusammengestellt aus den verschlüsselten Beispielbildern von XP und jene aus einem sauberen System. Ich brauche da dringend Hilfe, denn der Betroffene ist eine kleine Firma und der hat derzeit KEINERLEI Daten mehr !!!

Ich werde versuchen, die vorliegenden Paare hier hochzuladen und hoffe auf schnelle Hilfe. Danke.

Ich wüßte zu gerne, ob irgend jemand diese fiesen Erpresser schon bezahlt und seine Daten zurück bekommen hat. Falls ja, wissen wir wenigstens dass prinzipiell eine Datenrettung möglich ist.

Kenne nur einen Fall bei dem Geld überwiesen wurde, aber da waren die Daten anschließend weiterhin verschlüsselt.
(Edit, war nicht ganz korrekt formuliert)

So viel zum Mythos Ganovenehre!

bitte nochmal genauer, du hast dateien wie zb: HHHGZGZsgdZTZT ohne Endung, und welche art hast du dann noch am selben System?

es stellt sich die grundlegende Frage, ob die Dateien überhaupt verschlüsselt sind, könnte es nicht sein dass die ersten 12KB einfach ein zufälliges Bitmuster sind?

Bei den veränderten Dateinamen ist mir z.B. aufgefallen, dass eine Datei mit einem 73 Byte langen Namen nach dem Virusbefall eine nur 19 Zeichen lange Bezeichnung hatte.

hallo

Ich habe leider am 25.5 einen fehlklick gemacht und mir ebenfalls einen verschlüsselungstrojaner eingefangen

leider konnte ich die email nicht retten, da mein thunderbird account verändert wurde und ich nicht mehr auf die bereits angekommenen emails zugreifen kann.

derzeit sieht meine festplatte so aus
QrvvguNJOuNrvgurJOuQ
xtfxGUsVGUsVfxdtfxU
ect.

ordner sind jedoch nicht verändert worden nur dateien

Ich habe aber die Zip wieder finden können, wo die datei drin ist.

falls markusg die datei haben möchte schick ich ihm sie gerne - ich kann auch noch ein paar datein welche verschlüsselt wurden und die originale mitschicken.

vielleicht ist es dann leichter den logarithmus zu isolieren.

lg
daniel