|
ja, so gehts: an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert. wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ: .eml einstellen. dann bitte lesen: makrusg - trojaner-board.de und mir die soeben erstellte datei zukommen lassen. wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders. bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen. sie können dann dorthin solche verdächtigen mails senden. diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig. und danke |
Ok bekommst du morgen früh bin jetzt nur am iPhone . Die Mail ging an meine aol Adresse . |
Hallo selbes Problem mit den verschlüsselten Daten keine Endungen mehr nur noch irgendwelcher Buchstabensalat. alle decrypttools die hier angeboten werden funktioniern nicht. Weiß jemand schon was neues wie man die Daten wieder entschlüsseln kann? |
moonraker, wir haben die neue Version der Verschlüsselungspest, und zur zeit gibts noch kein decryptertool. Sieh zu dass du ein unbeschädigtes und ein verschlüsseltes file von deinem System bereithältst, falls mal ein tool kommen sollte (ich hofffe es) Danke an alle für den Tipp der Shadowexporter. Hab damit zumindest mal wieder die firefox und thunderbird lesezeichen und mails herstellen können, und direkt ein Mozbackup gezogen davon. grüße PS: falls die hacker hier vergleichsfiles vor und nach verschlüsselung brauchen, hab einige davon, mein ganzes system ist voll und per shadow kan ich ja genügend gute fiels rausziehen, die teile sind aufs byte genau gleich groß, aber .doc hinten dran hats bei mir nicht gebraucht;-( |
Hallo, danke für die Info, ich habe mir schon 2Datein bereitgestellt. Wäre echt superl wenn es klappen würde. Hab schon die o.g Tools für Verschlüsselungs Trojaner ausprobiert, jedoch ohne erfolg. |
@benton18 habe ne mail eingefangen und die geht morgen an die Profies hier ...hoffe die machen was draus und du bekommst deine Daten wieder ... schade, daß das mit dem shadowexplorer dir nicht so viel geholfen hat. Daumen hoch .... einer für alle ...alle für einen.. |
ebenso, is anscheinend ein neuer algrrytmus. hoffe das wird was, hab ca 500 jpgs, die ich entschlüsseln muss. @tcon, vielen dank, ich denke mal positiv, irgend ein kluger kopf hat j aauch die alten tools entwickelt, somit hoffe ich es wird auch diesesmal was. |
Es erscheint ein Licht am Horizont, freu. Für mich wichtig wären eingendlich mein Ordner wo ich die Bilder meiner Kids habe. Hab mir jetzt erstmal ne neu Externe FP dazugeholt für Backups, so ein mist möchte ich nicht nochmal haben. Wer macht sowas, und was hat er davon? Das einzigste was ich jetzt daraus erfahre ist, das man viele Nette Menschen kennenlernt, aber muss dazu erst sowas passieren???? |
naja, er verdient ne menge geld. |
markus, was denkst du wie viele leute geben da die prepaid guthabencodes ein? Und was passiert, wenn man den eingegeben hat? ich wette, die fiels sind trotzdem verschlüsselt. |
das Blöde an der ganzen sache ist ja, das ich so eine Mail von meinem Kumpel bekommen habe der sie einfach an mich weitergeleitete hat, damit ich nachsehen soll was das ist, weil ich Beruflich auch mit PC´s arbeitet,mich aber nicht vorgewarnt hat, weder in der Email sonst noch am Telefon. Ich hatte sonst nie Probleme mit sowas, das ist da das was ich am meisten Ärgert, das man dieses jetzt Verhindern hätte können. Naja, vieleicht bekomme ich meine Daten ja bald wieder.... Danke jetzt schon mal an die Helfer.. |
Nicht zahlen wen du zahlst ist dein Geld weg, und deine Dateien sind immer noch im eimer. Also nicht zahlen, und fertig. Und hoffen das es für das Problem eine passendes Tool gibt. THN |
So ein prepaid guthabencodes brauchte ich aber nirgendswo eingeben, es hat sich auch keine Maske hierzu aufgetan. Hab nur den Anhang von der Mail aufgemacht, und gemerkt das sich etwas am PC tut, und der nicht Reagiert. Da hab ich ihn ausgeschaltet vom Netz genommen und danach überprüft, und dabei festgestellt das sich die Bilder und AVI Datein nicht mehr öffnen lassen . Komischerweise aber nur die auf LW D: Vieleicht hilft das ja ein wenig weiter. |
Bin mittlerweile ziemlich sicher, das es etwas mit dem MFT zu tun hat.. Sind hier betroffene Systeme bekannt mit Fat32 ? |
Meine ist NTFS Format. Was ist MFT, sowas kenn ich von der Arbeit Multi Funktion Terminal |
Liste der Anhänge anzeigen (Anzahl: 1) @benton18 Die Programmierung von Malware lohnt sich auf jeden Fall. So z.B. im Fall der zig Varianten des BKA-Trojaners. Diese ganzen drive-by Trojaner werden über Bannernetzwerke, manipulierte Webseiten oder bewußt auf besucherstarken Webseiten verteilt. Die erste Schwemme dieser Trojaner kam bei uns auf, als es die Streaming-Seite mit kino im Namen noch gab. Diese hatte Schätzungen zufolge ca. 400.000 Unique Visitors am Tag. Wenn man nun davon ausgeht, dass 10-20 % der PCs anfällig ist und nur 1% der hilflosen Filmjunkies zahlen, dann sind das immer noch ca. 8000 € / Tag. Immerhin haben die Malware-Programmierer einen gewissen Humor, und senden grüße an Xylitol, der sich bei denen wie sicher markusg auch recht unbeliebt gemacht hat (siehe screenshot). Anhang 35057 |
hi zusammen, ich stelle nocheinmal die Frage, da mir darauf bisher noch niemand eine Antwort geben konnte: Wie kann ich feststellen, ob mein System noch infiziert ist? Es war kurzzeitig sicherlich infiziert, da die Funktion "Tast Manager starten" blockiert wurde, habe allerdings binnen 5 Minuten eine Systemwiederherstellungspunkt zurück gespielt, Rechner bootet, keine verschlüsselten Dateien, keine Viren durch AV Software (Trend Micro, Malwarebytes) gefunden, keine Zahlungsaufforderung. Auch stellt sich mir die Frage ob der Trojaner gefährlich fürs Netzwerk sein kann, oder dieser nicht Fortpflanzt. Es gab doch für den Gema/BKA Trojaner auch eine Anleitung. Gibt es sowas nicht für den aktuellen, oder ist das ganze dafür noch zu unerforscht? hxxp://blog.botfrei.de/2011/12/gema-trojaner-unter-windows-vista7-entfernen/ |
Ich habe auch diesen schrecklichen Trojaner und was hier geschrieben wird als Hilfe klingt ja super,ich weiß nur gar nicht wie ich das machen soll,da ich kein Computerfachmann bin und die ganzen Tips so nicht umsetzen kann.Kann mir jemand Schritt für Schritt sagen was ich machen kann? Ich kann ja keinen Scan durchführen, da nach dem starten gleich wieder das bezahl Fenster kommt.Ich habe echt keinen Dunst was ich machen soll.Ich würde ja jemanden bestellen der herkommt und mir das wieder richtet, weiß aber nicht wie man so jemand findet.Bitte um Hilfe!!! |
@was_ein_mist, @zAUBERWOLF: ich würde unter "plagegeister" einen ganz normalen Hilferuf starten und mir von einem Helfer dabei helfen lassen das System zu überprüfen Edit: evtl. mit dem abgesicherten Modus booten: http://www.trojaner-board.de/63335-w...s-starten.html http://www.trojaner-board.de/69886-a...-beachten.html |
entweder du machst es wie auf seite eins vorgeschlagen mit dem Image und der CD, oder du versuchst mal perabgesicherten modus anti malware software drüberlaufen zu lassen, und in der msconfig die betreffenden starteinträge rauszunehmen. wenn du dann wieder normal ins windoof kommst, system scannen und bereinigen, auch die starteinträge löschen mit zb ccleaner. |
Morgen zusammen, eine kleine Info an alle..... wir haben wie schon mehrfach Erwähnt 5 versch. Rechner hier bei uns, die alle mit diesem Virus verseucht sind............. bei 2 dieser Rechenr sind alle Dateinen (doc, xls, pdf, jpg, tiff gif, usw. ) und das Betriebssystem versaut ..... alle Dateien wurden wie alle so schön sagen "Verschlüsselt" und zwar sehen die so aus: - gdasjhdgahsd ........ im Orginal sollte es "Schulung_2012_04_06.pdf" sein bei den anderen 3 Rechner........ sind auch fast alle (doc, xls, pdf, jpg usw) betroffen...... aber es sind einige besonderheiten aufgefallen: folgende Dateien wurde "NICHT" Verseucht: AVI, VOB, PSD, MP3 und Dateien div. Software.. es sieht so aus all könne dieser Virus nur etwas mit den gängisten Dateienendungen etwas anfangen.... ebenso wurde der Dateiname (z.B. einschoenertag.jpg, oder werauchimmer.pdf usw.) "NICHT" verändert, aber alle Dateien sind unbrauchbar....... auch hier nur die bekanntesten Dateiendungen...Exoten sind alle ok was auch aufgefallen ist, das dieser Virus nicht alle Dateien versaut hat....er hat in einigen Ordner nur 2 Dateien versaut, die restlichen 100 hat er gelassen, dann hat wiederum ganze Ordner ausgelassen...usw. usw. für den/die betroffenen User, sieht/sah es in diesen Fällen immer so aus, als wären alle Dateien auf den ersten Bild vollkommen ok, was sich aber ganz schnell anders herausstellte...... das Problem, so sehen wir es im Moment noch....ist es heraus zu finden, was und wie dieser "Virus" in den Informationstables der einzelnen Dateien, gemacht hat........... - bei einigen Dateien reichte es aus nur die erste Zeile der Information auszutauschen (kann man sehr gut mit dem richtigen HEX-Editor einsehen und auch machen) ......bei anderen ist der ganze Inhalt der Information nicht mehr zu gebrauchen, weil in diesen Fällen evtl. wirklich eine Verschlüsselung oder eine Verschiebung der Information (um evtl. 1 oder 2 bit) oder eine Spiegelung (Anfang ist jetzt Ende ) stattgefunden hat...... mir ist aufgefallen, das zwar alle hier schreibenden von diesem Virus betroffen sind, aber alle auf eine andere Art....... darum ist es sehr schwer zu sagen...es hat mir "das hier geholfen" Versuch das einmal.....denn es wird in 90% aller Fälle nicht funktionieren darum ist es auch, so unsere Meinung, sehr, sehr schwierig für alle eine brauchbare Lösung zu finden Grüße an alle Didek |
Bei den von mir gefundenen verschlüsselten Dateien wurden nur die ersten 3KB verändert, der Rest der Dateien ist identisch. Also wieder eine andere Variante :confused: Gruß DevilTH |
scheint wohl so zu sein....... ich denke das all die, deren Dateien betroffen sind, sich mit dem Gedanken abfinden müssen...das diese nicht mehr zu retten sind.....einige ausnahmen mag es geben aber die mehrzahl der dateien dürften weg sein........ wir haben einen Bürorechner eines mittleren Betriebes, hier aus Leverkusen vor uns, auf dem alle Daten auf einer ext. USB-Festplatte lagen (fast 500GB) die genau zu dem Zeitpunkt in Betrieb war als die junge Frau ausgerechnet diese Mail öffnete........ das war es dann erstmal....... ich möchte nicht in ihrer Haut stecken.... Grüße Didek |
Hallo wieder ein neuer ? : seit gestern habe ich eine USB Platte von einem Kunden hier, bei der die Dateien nicht verändert sind ... gleicher Name, gleiche Grösse etc. Die komplette Platte ist verschlüsselt, der Trojaner ist vom 17.o5. Ich werde gleich mal ein Dateien-Paar an Kaspersky senden. Grüße Mike |
Wenn dieser Hacker also wirklich, so wie er beschrieben hat mit AES256bit Verschlüsselt haben sollte.....gibt es keine Chance das wieder auf die Reihe zu bekommen....... ein kleiner Auszug aus AES Encryption von BitZipper.... AES Verschlüsselung AES steht für Advanced Encryption Standard. AES ist eine symmetrische Verschlüsselungstechnik, welche die oft benutzte Data Encryption Standard (DES) Methode ersetzt. Dies war das Ergebnis einer weltweiten Aktion von Eingängen von Verschlüsselungsalgorithmen durch das US Government's National Institute of Standards and Technology (NIST) 1997 initiiert und 2000 vervollständigt. Der gewonnene Algorithmus, Rijndael, wurde durch die zwei belgischen Kryptologen, Vincent Rijmen and Joan Daemen, entwickelt. AES liefert starke Verschlüsselung und wurde von NIST als ein Federal Information Processing Standard im November 2001 eingeführt (FIPS-197), und im Juni 2003 vom U.S. Government NSA. Der AES Algorithmus nutzt einen der drei Schlüsselstärken: eine 128-, 192-, oder 256-bit Verschlüsselungsfolge (Passwort). Jede Verschlüsselungsfolgen-Größe verursacht eine gewisse Veränderung des Verhaltens des Algorithmus, so dass der unterschiedliche Schlüssel nicht unbedingt eine größere Verschlüsselung zur Folge hat, aber auch die Komplexität der Verschlüsselung erhöht. |
guten morgen, heute nacht erhielt ich folgende nachricht: Twitter believes that your account may have been compromised by a website or service not associated with Twitter. We've reset your password to prevent others from accessing your account. im spam habe ich dieselbe mail vom 17.05.2012 entdeckt, kann von dort etwas kommen? datenrettung habe ich inzwischen aufgegeben - neuanfang (übt gut :pfeiff:) liebe grüsse monika |
Hallo und guten Morgen zusammen, ich habe gerade eine wahrscheinlich wichtige Info von einen Systemadministrator bekommen. Er hat auch schon 5 Geräte gehabt und hätte den Schlüssel z.b in der readme.txt.xxxx gefunden. Diese hätte er dann mit einem Programm Names RANDOM mit der Orginal der readme.txt irgendwie ausgelesen und so die Dateien später mit zwei Programm *wollte er mir noch sagen* entschlüsselt. So nun seit ihr Spezialisten dran, ich habe dazu wenig Ahnung. Viel Glück bzw. ich bleibe bei meinem SysAdmin an Ball LG Loewe_68 |
@benton18 genug denke ich, das gescheft mit ransomware bring millionen, und bei verschlüsselung steigt der druck noch mehr. @was_ein_mist eröffne ein thema im passenden unterforum bitte @zAUBERWOLF für dich gilt das selbe, thema eröffnen, dann können wir uns den pc ansehen. @golldy die neue mal weiterleiten an mich @loewe_68 deine info ist nicht grad aussagekräftig, bitte noch mal wenn du alles zusammen hast posten |
Hello :) Einen meiner Kunden hat's ebenso erwischt. Alle Fotos haben nun einen cryptischen Namen (wie bei Version 1.140.1). Wenn ich allerdings auf eine Datei einen Rechtsklick mache, und "Öffnen" wähle, dann die "Windows-Fotoanzeige" wähle, lässt sich das Foto öffnen. Grüße wuschelchen |
kommst du an die infektionsquelle? sinds denn viele fotos, evtl. reicht hier ja schon das umbenennen per hand |
Zitat:
ich werde es versuchen aber wie bereits erwähnt ich bin nicht der Techniker. Was ich bis jetzt weiß man soll wenn man wieder auf Betriebssystem, auf dem betroffenden Rechner, kommt nach einer .txt Datei die am Anfang hyroglüfen hat dann .txt und am Ende nochmal Hyroglüfen hier mal ein Beispiel abc123hh.txt.w34n das soll wohl die Datei sein wo sich der Schlüssel zum entschlüsseln befindet. Dann gibt es also noch die Orginal Readme.txt und die müßen über ein sogenanntes Random Programm gejagt werden das der Schlüssel wohl ausgelesen werden kann. Den Rest macht er dann mit einem Entschlüsselungsprogramm *was er wenn er wieder vom Aussendienst zurück ist* noch nennen wollte. Nochmals ich bin hier leider kein Profi wie Ihr und kann es nur so mit meinen Erklärungen versuchen zu erklären. Die Profis wie ihr könnt doch da bestimmt was mit anfangen. Ich wollte nur schon Info geben. LG Loewe-68 |
hat denn hier schon wer erfolg gehabt bei der neuen variante (afasfasfasfjahslkfdLUHSDF) bilder umzubennenen? Also wenn ich hinten dran .jpg mache, kann ich das file nicht öffnen, nur bei einigen mp3s ging dass bisher, excel und word geht auch ned, da ist dann nur kryptisches zu lesen im Word oder Excel. Bez AES256, ich denke nicht dass es diese verschlüsselung ist, weil wie hätte der trojaner in so kurzer zeit derartviele Files verschlüsseln können, bei mir sind es seeehr seehr viele, und ich war ca 10 min afk, als ich das erste mal die zahlungsaufforderung gesehen habe. Weiters denke ich optimistisch in der Hinsicht, dass die fiels vor und nachher exakt gleich groß sind, hab nun schon einige Vergleiche gemacht. |
Ja, da komm ich ran. Schicke dir später alles zu. Es sind sehr viele Fotos; kann diese aber durch IrfanView jagen, der macht den Rest für mich :) Grüße wuschelchen |
hi @loewe_68 dann lass es dir von ihm erklären, es nützt uns ja nicht viel wenn du sagst, in irgendeiner datei ist ds zu finden, wie soll man solch eine info nachprüfen :-) |
Hi habe nun den Bösewicht als ZIP ... den neuesten ... ist bei Kaspersky zur Analyse und geht jetzt gleich an Dich Markus Grüße Mike |
Hallo, ich hatte auch den Verschlüsselungstrojaner. Er hat keine Dateien umbenannt sondern "in place" verschlüsselt es ist nur der Anfang der Datei verschlüsselt (genau gesagt bis zum offset 0x2FF). Danach ist alles ok. Hat es jemand schon geschafft die Daten wieder herzustellen? Bis jetzt haben alle hier diskutierten Tools nichts gebracht. Danke Reiner |
Servus Ich hab da auch noch nee Rechnung.zip aktuell hier liegen von einem Kunden. 252584_217787718246564_100000460136987_785540_1919832_n und alle so ähnlich wie: rfJeNavjfQsOTxqNv Ist auf dem Weg zu Dir :) gruß Stefan |
hab jetzt 2 mal ne malwarebytes quarantäne und 2 bilder, ist da was von euch beiden dabei @litzed und MikeStb hier die infos zum einsenden: makrusg - trojaner-board.de |
moin moin, ich schaffe es nicht, einen Rechner zu infizieren. Hintergrund sind Tests mit BackUps, vor Allem das Verhalten bei SecureZone Partitionen. Ich habe dazu extra ein System vorbereiten. IntelCore2Duo, 4GB RAM, 300GB HDD mit zwei Partitionen zu ja 100GB und 100GB nicht zugeordneten Platz, eingerichtet als Acronis Secure Zone. Es läuft ein durchschnittliches Win7 32bit mit Office, paar Tools. Ich habe hier eine Lieferschein.exe (54.784 Bytes), vermutlich eine der ersten Generation, eine SPS-Shipment_Information-Report.exe (108.544 Bytes), ein Anhang einer Sendungsmitteilung von DHL und als letzte eine World-Parcel-Express-Details.exe als Anhang einer UPS Mitteilung. Die World-Parcel-Express-Details.exe ist scheinbar beschädigt, sie lässt sich aus der ZIP nicht extrahieren. Die beiden anderen tun zwar so als ob, zeigen aber keinerlei Infektionssymptome. Möglicherweise sind da ein paar Trittbrettfahrer unterwegs unbd machen sich einen Spaß aus der ganzen Hektik. Ich brauchte also mal einen Bösewicht, der 100%ig böse ist. Die Variante ist egal. Vielleicht liest das markusg mit und kann mir einen brauchbaren Feind an die bekannte Mailaddi retour schicken. Gruß Volker |
inzwischen ist der trojaner v2 (verschlüssel+umbenennen ohne "locked.***) bei einem weiteren benutzer aufgetaucht. hab hier eine andere variante der rettung versucht. platte ausbauen und vorgängerversion wiederherstellen hat bis jetzt bei einzelnen ordnern funktioniert. werd das jetzt auf die ganze platte ausweiten und anschließend mit norton durchscannen norton ist lauf virustotal einer der virenscanner der den trojaner zumindest erkennt und löscht. ist das geschehen sicherheitskopie nr.:2 und im abgesicherten modus starten. mal schauen was passiert |
naja, norton erkennt bisher einen teil der malware, ob alles erkannt wurde kannst du erst wissen wenn du hier nen thema mit logfiles eröffnet hast. @Undertaker alte versionen nützen dir nichts, da deren server offline sind. die lieferschein.exe scheint das einzige zu sein was ransom ware ist. die andern teile klingen eher nach Bebloh hab dir mal n sample gesendet |
so hab nun auch mal im kaspersky Forum unruhe gestiftet mit dem teil hier (Ujdmasöldfjkasf) Je mehr leute da dran arbeiten, des to besser, die haben ja auch schon einen decrpter für die -locked variante gemacht. |
Ich lade gerade zwei frisch erstellte Videoanleitungen auf YouTube hoch zur Wiederherstellung von Dateien aus den Schattenkopien, eine zu Schattenkopien im Windows-Explorer und eine zum ShadowExplorer. Die Anleitung hier ist ja nur auf englisch: http://www.trojaner-board.de/115496-...erstellen.html Am sinnvollsten poste ich das dann in obigem Beitrag, oder? |
das mit shadow ist natürlich supa, damit hab ich auch schon einigs gerettet, aber blöderweise geht das bei mir nur mit laufwerk C und ich hab sehr viele Files als Bibliothek verlinkt auf ne große 2. Festplatte (Laufwerk H). Trotzdem nen Video wäre sicher mal super. |
Auf meinen Log&Analyse Thread Antwortet leider niemand, daher möchte ich hier nochmal meine Erfahrungen äußern. Bei mir in der Firma setzen wir Citrix Xenapp ein. Auf einem der 4 Xenapp Server (Windows 2008 kein R2) hat sich eben genau der Verschlüsselungstrojaner eingeschläußt wie hier besprochen. Aufgefallen ist es uns natürlich durch den Screen der alles blockierte. Server also neugestartet im abgesicherten Modus (war nicht blockiert) und die hier empfohlenen Scans durchgeführt, die aber alle nicht wirklich was finden konnten. Die Daten schienen nicht verschlüsselt gewesen zu sein, wobei auf den XenApp Servern auch nur die Programme ausgeführt werden. Die UserProfile und Daten liegen auf einem anderem Server. Der Online Virenscanner von ESET konnte letzendlich den Win32/Trustezeb.B 3x auf dem System finden. -0EC911D90613A2D42F73.exe im System32 Ordner -C:\Users\Administrator.domäne\AppData\Local\Temp\16\ewclgycnhm.pre -C:\Users\Administrator.domäne\AppData\Local\Temp\16\ocoeoclnrp.pre Auf hxxp://www.paulsen-it.de/news-details/artikel/trskelfa.html konnte ich dann herausfinden das der Virus Registry und Sicherheitseinstellungen verändert. In meinem Fall ist mir Aufgeallen das die Firewall so konfiguriert war, dass auch Programme die nicht in den Ausnahmen Definiert sind, nach außen kommunizieren dürfen. Es würde mich besonders interessieren ob hier noch mehr Infos bekannt sind, welche Einstellungen und Registry einträge getöätigt wurden. Wie der Virus auf das System kam, kann ich nicht sagen. Ich bin alle Mails durchgegangen und konnte nichts Auffälliges finden. Kann aber natürlich sein das ein Mitarbeiter seine Privaten Mails über eine Weboberfläche aufgerufen hat und dort den Virus eingeschläust hat. Komisch fand ich nur, dass bei uns nichts vershclüsselt wurde und auch der Abgesicherte Modus kein problem war. (Unser GlücK!!!) |
hi, warte bitte dann in deinem thread auf ne antwort, is ja nicht so, als hätten wir nichts zu tun hier :-) |
Sorry Markus, sollte nicht so rüberkommen, dass ich euch das übel nehme das mir noch niemand geantwortet hat. Sehe ja selbst das hier gerade der Bär los ist ;) Wollte hier lediglich meine Erfahrungen teilen, vielleicht hilft es ja bei der weiteren Analyse. |
hi hab das auch nicht so aufgefasst, meinte nur das wir fragen zu pcs nicht hier erörtern sollten, diskusionen sind hier aber natürlich erwünscht |
Markus ... Du hast jetzt 2 *.zi1 Files bekommen. Matsnu und Matsnu.gen!A sagt Microsoft dazu. Krieg die Dateien mit keinem der Programme entschlüsselt :) Gruß Stefan |
hab ich, danke hattest du shadow explorer versucht? |
Zitat:
Im Nachvollzug festgestellt das die Frau es geschafft hat das Teil 12x !!! aus dem AOL runter zu laden und der Avira hats dann aufgegeben. Gruß Stefan |
ja, du weist ja, wenn frauen was haben wollen ... |
Hallo, ich habe seid heute auch diese Problem. Wie bekomme ich den Trojana wieder weg .habe keinen 2Rechner nur ein iPad . Diese Mail habe ich bekommen. Vielen Dank für Ihre Mitliedschaft, Sie haben soeben bei der Dating-Agentur www.Flirten.at die Premiummitgliedschaft bestellt. Der Betrag in Höhe von 375,49 EUR wird in den nächsten Tagen von Ihrem Konto abgebucht. Der Kontoeinzug erfolgt durch Poryment GmbH. Sie sind jetzt für die nächsten 48 Monate Starklient und dürfen in vollen Umfang die Premiummöglichkeiten nutzen. Entziehen Sie die Rechnungen bitte dem Zusatzordner in der E-Mail, dort finden Sie auch die Vertragsdaten und Stardienstvorteile. Falls Sie die Elitemitgliedschaft nicht mehr möchten, mailen Sie die Kündigung, mit der in dem Zusatzordner in der E-Mail, beigelegten Kündigungserklärung. Das Serviceteam wünscht dir viel Glück! Mit freundlichen Grüßen Manfred Wallner Serviceteam Dortmund 22485 Deutschland Phone: +49-962-83421657 Geschäftsleiter: Gerhard Scholz Inhaltlich Verantwortlicher gemäss § 6 MDStV: Andreas Jung Datenschutzbeauftragter: Hans Schneider UST-Nr.: DE5833188230 Amtsgericht Hannover. :dankeschoen: |
dann mal die mail an mich: an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert. wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ: .eml einstellen. dann bitte lesen: makrusg - trojaner-board.de und mir die soeben erstellte datei zukommen lassen. wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders. bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen. sie können dann dorthin solche verdächtigen mails senden. diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig. wegen der malware entfernung, thema im bereich logfiles eröffnen |
Ich hab leider auch mit der neuen Version des Verschlüsselungstrojaners zu kämpfen und hatte gerade schon hier ScareUncrypt - Tool für verschlüsselte Dateien gepostet. Für Neuigkeiten bin ich dankbar und ich drücke Euch ganz fest die Daumen. Vielleicht hilft Euch die Info, dass die verschlüsselten Dateien auf dem Mac als ausführbare Unixdatei angezeigt werden?! :dankeschoen: |
kann mir bitte wer sagen, wie ich zb aus Hotmail den Trojaner dern ich dort noch immer im eingang habe runterladen kann hier für testzwecke, wenn hotmail sagt nun, dass es ein virus ist und ich nicht ohne weiters laden darf. bzw wie kann ich im Hotmail direkt emls erzeugen? im Thunderbird is es easy einfach aufn desktop ziehen. |
Zitat:
Gruß |
oder in hotmail öffnen und weiterleiten |
http://s14.directupload.net/images/120523/zby7wjs5.jpg ich kann nicht weiterleiten und downloaden, MS sec. essentials is aus, gibts im hotmail noch was zu deaktivieren? find nix |
dann lass es, dann wird sie bereits erkannt :-) neue mails mit verdächtigem anhang dann bitte zusenden |
is nur blöd, weil das is genau die mail die mein system geschrottet hat, aber sollte egal sein oder? (ich mein jetzt in hinsicht, meine verschl daten irgendwann wiederzubekommen) hab aber auch schon wieder ne neue bekommen die schick nun auch aus |
Hi Markus! Ich versuche gerade wie versprochen mein Exemplar an Euch zu mailen. Ich verwende dazu meine web.de Adresse, erhalte aber bei beiden versuchten Adressen die Nachricht dass meine Mails als Spam abgelehnt werden. Ich habe die Original zip Datei angehängt, vielleicht triggert der Name.. ich probiere es nochmal indem ich die Datei umbenenne... Ansonsten wären Tipps wie ich Euch das zustellen kann hilfreich.. oder soll ich einen Online Upload Dienst wählen ? Da die Samples passwortgeschützt sind ist die Gefahr dass sich jemand damit infiziert gering... Bei mir hat das Ding nix infiziert, ich habe nur gedacht dass Ihr das Tierchen vielleicht in Eure Sammlung aufnehmen wollt ... |
hi wenn sie mit passwort geschützt sind ists egal. @benton die neue an mich weiterleiten. ich denke variannten von gestern hab ich soweit alle :-) |
2 neue mailanhänge sidn an dich raus (per netload upgeloaded) |
danke dier |
host mail.variomedia.de[81.28.224.26] said: 550-This e-mail is considered spam. Therefore, the server rejects it. 550 => Netload... Ihr solltet mal mit Eurem Provider reden.. oder ein Schlüsselwort ausmachen das man in den Betreff schreiben kann so dass der Spamfilter die Nachricht durchlässt. |
frage mein shadowexplorer reich ca 7 tage zurück, werden die alten nach und nach gelöscht oder? |
hi wir können leider den spam filter nicht bearbeiten, und ausschalten geht auch nicht, da kamen dann spam mails rein.80000 |
So, ich hab die beiden Video-Anleitungen hochgeladen, ihr findet sie hier auf meiner Website: hxxp://www.pc-ab-50.de/vorgaengerversionen-von-dateien-aus-schattenkopien-wiederherstellen.html Ich habe eben versucht zu diesem Beitrag http://www.trojaner-board.de/115496-...erstellen.html einen Kommentar zu schreiben, der ist aber gesperrt. Kann einer der Admins meine beiden Videos dort verlinken, ist bestimmt für viele hilfreich, die der englischen Sprache nicht mächtig sind?! |
Ich hab mal über das Aktiv Datum der Encrypter geschaut. Da ist bis jetzt noch nix neues dabei :( Was gabs mit Kaspy ? Schon Feedback ? Gruß Stefan |
Wenn ich die vermutliche verschlüsselenden Bilder öffnen möchte, kommt bei Acdsee eine Meldung "Quellendatenformat kann nicht erkannt werden" und bei Paint "keine gültige Bitmapdatei, oder Format wird nicht unterstützt" Hat das was mit dem Injector zu tun? Bitte sagt ja, so das ich weiterhin auf ein Tool warten kann das meine Bilder wieder Rettet. |
du bist nicht der einzige der wartet, ich hab ausgesprochen dummerweise keine backups von meinen familienbildern, sondern nur die bilderbibliothek auf eine 2. Festplatte verlinkt, doppeltes Pech, da kommt der shadowexplorer nämlich auch ned hin. |
Aber heißt das ich diesen Trojaner habe, und mir etwas Hoffnung machen kann. Es reicht doch dann, wenn ein nicht befallendes Original zur Infizierten Datei habe,oder? |
ich hoffe du hast den Trojaner nun nicht mehr, sondern nur noch seine "Auscheidungen" in Form von verschlüsselten Dateien. Ein Original und ein verschlüsseltes file zu haben ist schon mal gut. schau mal, sind deine files gleich groß? Hast du auch befallene mp3? versuch mal eines davon .mp3 hinten dran zu hängen und abzuspielen. Schau mal bitte nach dem erstellungsdatem der files. |
Rechner hab ich neu Aufgespielt, files haben die gleiche Größe. Meine Tochter hatte noch ein paar Bilder auf ihrem Notebook, manchmal tun Kinder doch was gutes :-) MP3 datein sind nicht betroffen. Kann sein weil ich diese auf einem anderen LW gespeichert hatte. Bilder waren alle auf D |
da is er einfach nicht soweit gekommen oder so, keine ahnung, bei mir is C total zerfressen auch D und E teilweise. |
Sagen wir so, da mein Rechner auf einmal nicht mehr Reagierte, hatte ich ihn sofort ausgeschaltet. Es sind auch nicht komplett alle Bilder von dem LW Infiziert, sondern ungefähr 15 GB von meinem 38 gb. Aber unter diesen sind Hochzeitbilder und Goldene Hochz. von Eltern, und wie gesagt meinen Kids. |
Zitat:
Viele schöne erinnerungen ohne Backup, ich voll trottel. Lass uns hoffen und beten. |
Aaaaaaaaaaaah... wenn ich die Typen erwische die so n Scheiss machen *fluch* Folgende Herausforderung... Meine Angebetete hat sich gerade eben den Trojaner eingefangen.... Mein Problem ist... Ich und Sie, wir beiden kennen uns mit den ganzen Vorgehensweisen aus, wie mit Kuchen backen... Nämlich gar nicht... *grummel* Das zweite Problem ist.... Sie hat nur nen UMTS Stick und kommt seit vorhin auch nicht mehr ins Netz um sich n Update runterzuladen... So und nun frage ich mich... Wie bekommen wir den Müll wieder runter? Habt Ihr irgendwo ne Frauensichere Anleitung? Brauch ich hierzu dringend I-net??? Help me please... *snief* VG zonki |
Hi, ich fand die Anleitung von Avira zur Entfernung des Trojaners sehr hilfreich: hxxp://www.avira.com/de/support-for-home-knowledgebase-detail/kbid/896 |
hmmmmmm also irgendwie ist die Adresse falsch... Wahrscheinlich isses http, oder?!?!? Dennoch eine Frage eines Unwissenden wie mich... Brauch ich dazu nicht nen Internetanschluss??? Sie kommt ja net online...:dankeschoen: |
Naja, du brauchst zumindest Avira und ja es heißt http. Ich habe das Avira auch erst später bei meiner Frau installiert (die hatte sich den Trojaner auch eingefangen) und habe die Installationsdatei von meinen Laptop per USB Stick rüberkopiert. Dann installiert und über den Abgesicherten Modus nen neues Benutzerkonto angelegt, da meine Frau nur ein Konto auf ihrem Netbook hatte. |
hmmmm das klingt einleuchtend... Bringt das auch den erwünschten Effekt, dass dieser $%/($§%&/( Trojaner dann verschwunden ist??? Danke schonmal für Deine Geduld mit mir... ^^ |
Der Trojaner ist dann weg, leider sind die Dateien immer noch verschlüsselt. Dafür gibt es bisher noch keine Lösung die wieder zu entschlüsseln. Aber wenn Windows 7 drauf ist, kannst du über die Schattenkopie gehen, so habe ich das wieder hinbekommen. |
na super... WIN 7 ist drauf... YES... Schattenkopie??? Argh, ich hätte doch früher was richtiges lernen sollen *gggg* Ich merke das ich mich nullkommanull mit dem Krams auskenne *snief* |
Ich zitiere einfach den Beitrag der mir geholfen hat: Zitat:
|
Hallo Ich habe eine Bitte an Alle. Ich brauche Namen der Dateien (Originale und Verschlüsselte). Es handelt sich um den Trojaner die mit der Version 1.140.1 hier genannt wurde, und die Namen der Dateien verschlüsselt, z.B. TxoXdJptaEoQUvpsnED ABER !!! Der Name der Datei muß einfach sein z.B. aaaaaaaaaa.jpg oder 000000001.ppa oder abababababa.pdf. Je mehr sich ein Buchstabe in dem Namen der OriginalDatei wiederholt desto besser. Danke im voraus |
Ich versuche Euch den Namen zu liefern... Komme aber erst morgen an den PC ran... Nun wieder ne typische zonki-NERD Frage... Wie und Wo kann ich denn diesen Code finden? :wtf: |
Welchen Code? |
korrigiere.... :pfeiff: Ich meinte die Version... Wie komm ich denn nun an die Version ran? Eine Frage noch: Würde es etwas bringen, den PC komplett platt zu machen und dann Windows neu zu installieren????? |
Klar dann ist der Trojaner auch weg, aber halt auch alles anderes. :D |
Gibts was neues von Avira / Kaspy Entcrypter zur neuen Version ? oder was ist bei euch der neuste Stand ? |
Hier sind ein paar Dateinamen im Original und in kodierter Form. Ich hoffe es hilft. Madonna.png tTrDvTNtLdAtnrl 2011- 07-2110.17.25.jpg tsNNTvAgXuyqpnt jEGyN 2011-07-21 10.17.17.jpg XLsjEGyrTvOpus 1311234970416.jpg UExqXuDOXQqdnGqdQl 1311236229895.jpg fJsgavefEGjVoeOXJsV |
Hallo Ich habe mir vor ein paar Tagen auch diesen Trojaner eingefangen. Habe aber keine Ahnung von Computern so das ich schon an Eueren Beschreibungen scheitere was ich zu erst zu beachten habe wenn ich bei Euch Hilfe suche. Darum möchte ich erst nachfragen! Ich habemitlerweile zwei E-Mails mit Rechnungen erhalten und würde die einfach an Euch weiter leiten, kann ich das machen? Und was muss ich dann beachten? Für Eure Hilfe wäre ich Euch sehr dank bar Ich schreibe dies von einen zweiten Computer der sauber ist. |
Hallo erst einmal an alle Leidensgenossen und vor allen an diejenigen, die sich des Problems so sehr annehmen und nach einer Lösung suchen! Ich bin neu hier und habe nun über Tage die Problematik und Diskussionen mit großem Interesse verfolgt! Vorab: Von Computern verstehe ich genau soviel: Man benutzt sie! Gut, seit dem 17.05.12, denn an diesem Tage habe ich mir dieses verfluchte Ding eingefangen, weis ich nun, dank des Forums, wie man den Computer wieder zum laufen bringt! DANKE !!!!!!! Die Dateien sind natürlich wie bei allen hier, sozusagen im Eimer, also nicht mehr lesbar! Beispiel: Bilder: aDsOpQDrTvsOXuDNaJeO , Word: xyjfEGqdLtjfEG oder QONTJeOpQlNTJegpQlNT , Excel: AoLsqdoxAVntyUoxAVn , Web-Dateien: NuJTOeQpNDJageQpNDvag Also alles der selbe Mist! Was natürlich für mich am schlimmsten ist, an diesem Tage hatte meine Sekretärin die Patientendateien auf den neusten Stand gebracht, diese haben wir auf einer externen USB -Festplatte, die natürlich in diesem Moment in Betrieb war, als sie den Posteingang, mit dieser Dubiosen Rechnung über ca. 6.000€ öffnete. Was dann passiert ist brauche ich nicht mehr näher zu erläutern! Ist hinreichend bekannt! Als wir den Computer wieder zum laufen brachten, nach den hier im Forum beschriebenen Vorgaben, sahen wir das Debakel in seiner vollen Bracht! Nun passierte aber folgendes, nach ca. 1 Std. schaltete sich der Computer auf einmal selbst aus und nach einem Neustart kam die Meldung < boot usw. nicht möglich Datei fehlt > also haben wir ein R-Update von der XP/3 CD gemacht, nach 30 Minuten lief er wieder. Um es kurz zu machen: Diesen Vorgang mussten wir dann noch 5 mal wiederholen, immer das selbe Problem, obwohl alle Vieren - Scanns ohne Befund waren! Das Ende der Operation war, wir haben die Festplatten neu Formatiert und auch neue Partitionen erstellt, das System neu installiert und jetzt läuft er wieder einwandfrei! Hoffe nun inständig das ich die Dateien, die ja immer noch auf der USB – Festplatte vorhanden sind, irgendwann wieder herstellen kann! Nochmals, Danke an das Forum für seine moralische- und fachliche Hilfe! Übrigens, ich wohne in Spanien und habe eine spanische e-mail Adresse über die diese Rechnung kam! Dr. Peter |
Ich bin auch betroffen und hoffe das es bald eine Lösung hierfür gibt. Bin schon seid einer Woche ohne PC. |
Trojaner kennen keine grenzen. Ich werde heute abend auch mal ein paar dateunamenvergleiche machen, mit möglichst einfachen Buchstabenkombis. lg |
Ich könnte eine Liste anbieten von einem verseuchten Bilder Ordner /s als txt file :) |
Verschlüsselt der Trojaner eigentlich auch Daten über die Windows Netzwerkfreigaben, sodass z.B auch Daten auf anderen Rechnern im Netzwerk verschlüsselt werden können? |
einige versionen ja |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:30 Uhr. |
Copyright ©2000-2025, Trojaner-Board