Hi, einen Bekannten hat es auch erwischt. Auf die schnelle konnte ich folgende Datei in einem Sicherungsordner wiederfinden
aus 100_4498.jpg
wurde yGEVAGofjtLrDQpOe

Ich lese gerade im Nachbar-Thread dass es wichtig ist , den Trojaner ansich (in dem Falle eine **********.exe) noch zu haben, um irgendwie noch Hoffnung auf die Daten zu haben, ist das Richtig?

Nun den Trojaner ansich hab ich nicht mehr, der war in der autostart und antimalwarebytes hat dass alles gekillt.

@benton18: Das ist ein Scherz, oder?! In welchem Thread hast Du das gelesen?!

4 Rechner habe ich jetzt Back holen können mit shadow Explorer 8 welche die neusten *.pif / rechnung.zip hatten. 3 xp Gurken hab ich noch hier stehen und warte ... und warte :)

die malware an sich könnte evtl. nötig sein, um infos über die verschlüsselung etc zu erhalten

Haste doch bekommen per email und ingame hier als link zi1 / rar in txt Form

Get Data Back for NTFS meldet->

MFT entry found@sector 97xxxxx63: '$MFT'
MFT entry found@sector 97xxxxx65: '$MFTMirr'
MFT entry found@sector 97xxxxx67: '$LogFile'
MFT entry found@sector 97xxxxx69: '$Volume'

...GDBNT läuft bei mir schon zwei Tage auf n'er externen 1TB Platte.
...wird wohl noch zwei Tage dauern,,,

Werd's melden wenn's funzt...

Dem ist nicht so, Die Verschlüsselung beginnt unmittelbar nach Ausführung der Datei.
Getestet mit einer Registrierung.pif, einer Variante der 12k-Verschlüsselung.

Gruß Volker

@micadig

Ich bin ziemich sicher, dass das nichts bringen wird. Wir haben hier auch schon einen Versuch mit einer 100 GB-Partition. Das Ding ist so schnell, weil es in jede Datei nur 3kb schreibt und er zusätzlich nach Dateitypen filtert. Das bedeutet, dass er bei z.B. angenommenen 30.000 Dateien gerade mal knapp 90 Megabyte (!) schreiben muss. Dass das schnell geht ist klar.

ich hab grad im shadows explorer vom tag des infects eine .pif gefunden. sol ich die extrahieren und aufheben?
Müsste der Verursacher gewesen sein oder?

ms essentians schlätg alarm und gibt in quarantäne, toll JETZT ist zu späääät;-)

Wenn's in der Quarantäne ist, dann ist es nicht zu spät. Da kannst du die Datei jederzeit wieder rausholen. Wie das genau bei den MSSE geht, weiß ich allerdings nicht.

Moin,

nur mal so als Tipp. Bin beim Malewarebytes-Run darüber gestolpert, dass er unter c:\$recycle.bin in berwegweise unterordnern rumwühlte. Dort sind dann ein paar verschachtelte versteckte mülleimer, wo die dateien dann unverschlüsselt drin lagen....

Gruß aus dem norden....

ne ich mein der MSSE hätte gleich zu begonn alarm schlagen collen, vor der ganzen sch***e;-)

ich trau mich das pif-file nicht mal ankopieren, kann nix passieren oder? hab die hosen gestrichen voll hier.

Vorsichsthalber würde ich falls vorhanden die 2te FP abklemmen, falls da Daten drauf sind. Ansonsten zuerst ein Backup machen, bevor was passiert.

Echtzeitschutz ausschalten und geht... Aber es dürfte auch nur dei Rechnung.zip mit Pif raus kommen :)

Du kannst doch die passwortgeschützte ursprüngliche .zip Datei nehmen und an Markus schicken... die .pif Datei würde ich auch nicht anfassen: ausversehen doppelklick und der "Spaß" geht von vorne los.. das würde ich auch nicht riskieren.

haha, bei mir is schon alles versaut.

Wäre aber mal lustig zu sehen, wass passiert, wenn die verschlüsselung da nochmal drüberrattert, vielleicht sind meine Files dann wieder entschlüsselt.
:daumenhoc :rofl:

Schön das wir den Humor noch behalten :-) Daumen hoch, lach
Trozdem würd ich gern mal mit so einem Typen der sowas anstellt gern mal ein paar Takte reden, aber die verstecken sich lieber hinterm PC

Guten Morgen zusammen,

Hatte den Schädling jetzt auch schon auf mehreren PCs, bei allen Geräten sind alle Dokumententypen JPG, PNG, PDF und die Office-Palette verschlüsselt. Gemeinsam ist, dass im Auslieferungszustand des Systems enthaltene Dokumente (z.B. die Beispielbilder) nicht verschlüsselt wurden. Wohl kein Zufall.

ich weiß nicht, obs auf den 32 Seiten davor schon jemand geschrieben hat, aber bei dem pc den ich hier stehen hab siehts so aus:

300 gig Festplatte partitioniert mit C (Winxp) und D (Daten).
Die meisten Dateien schauen so ähnlich aus: DLLvJyxDljAgOdUaT
Einige Files haben aber noch die Originalnamen, zb IMG_1234.jpg

Gestern hab ich stichprobenartig auf der C Partition die kryptischen Dateinamen mit einer Endung versehen (wenn ich aufgrund des Ordners Rückschlüsse auf den Inhalt hatte). zB DLLvJyxDljAgOdUaT => DLLvJyxDljAgOdUaT.jpg Ich konnte auf diese Weise Files verschiedener Dateitypen (mp3 jpg html...) öffnen und somit den Inhalt von Eigene Dateien (Eigene Bilder, Eigene Musik) wiederherstellen. Die Dateinamen bleiben aber kryptisch.

Leider funktioniert das ganze NICHT auf der D Partition. Hier scheint am MFT was nicht zu stimmen, da kenne ich mich aber zu wenig aus und hoffe auf die Experten hier im Forum.

bg Hubert

PS:
Den Trojaner hab ich übrigens mit der Kaspersky Rescue Disc 10 und dem darauf enthaltenen WindowsUnlocker runterbekommen.

Hallo Leute,
ein Kunde von mir hat sich die neue Verschlüsselungsvariante eingefangen.
Aufvorderungsbild zum Zahlen ist immer noch gleich, nur die Verschlüsselungsart hat sich geädert.
Die Dateien werden nicht mit locked-xxxxx.xxx umbenannt, sondern in einen wirren Buchstabensalat wie xOTVJEsrjUQnxOyX und bei dem Datum wird die Uhrzeit um eine Stunde nach hinten verschoben, Größe bleibt unverändert.
Ich lade mal ein Pärchen Original-Verschlüsselt hoch und hoffe es findet bald jemand den Schlüssel.
Gruß
H.-Jörn Schneckenburger

@DerC88
du meinst windows beispiel bilder? dann kann ich deine beobachtung nicht bestätigen
@daHubert
woher willst du wissen das du alle trojaner runter bekommen hast.
richtig ist:
du hast die teile des trojaners runterbekommen, die kaspersky findet.
für alle weiteren aussagen ist eine genaue analyse des pcs nötig.
@hansjoern
darüber sprechen wir doch bereits seit einigen seiten, man sollte das was die vorredner schreiben auch lesen :-)
kommst du noch an den auslöser?
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
makrusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

Hi!

Ich lese diesen Thread schon paar Tage lang und muss, obwohl ich nicht infiziert bin, doch mal was fragen!

(Hoffe es stört euch nicht)

Der Virus kommt per Email...also per Anhang, den man dann öffnet! OK!

Würde Avira Free den Anhang erkennen?
Natürlich würde ich nie Anhänge öffnen, wo ich nicht weiss, von wem die sind und bestellen tu ich nur über Amazon.

Und dann möchte ich noch fragen, ob es wohl eine Infizierungsart per Drive by Download geben könnte oder gibt? Halt per Java, wie der Bundestrojaner.

Da hätte ich schon etwas paranoia davor, weil sowas hat man sich ja schnell eingefangen!

Danke euch und bleibt am Ball!

Hallo,

bitte Freunde,Bekannte von euch Warnen das sie Emails mit Verdächtigen Anhängen nicht öffnen sollen, dieses auch bei Facebook Stayfriends usw. Posten. Falls ihr noch solche Mail haben solltet, dann bitte an markusg@trojaner-board.de als eml. weiterleiten.

News: AOL hat mir die letzten 24h rechnung.zip z.B. erkannt. Heute auf einem Kunden rechner ein neuer Eingang der von AOL nicht erkannt wurde und ein Weiterleiten an markus war möglich.

Hinweise.zip

Rechnung: 701816-786213453220904

Hallo Christiane,

Ihr Konto ist überfällig. Bitte begleichen Sie Ihre ausstehende Rechnung
vollständig, da wir sonst Ihre Möglichkeiten bei eBay einkaufen und verkaufen zu
können, einschränken müssen.

Ihre eBay-Rechnung für den Zeitraum vom 27. April 2012 bis zum 19. Mai 2012 ist
jetzt im Anhang zu sehen.

Fälliger Betrag: €117,67

Zahlung ist jetzt fällig. Bitte beachten Sie, dass bei einer
Zahlungsverzögerung, Ihnen Mahngebühren angerechnet werden können.
Ihre Bestellauflistung und Stornierung Möglichkeiten finden Sie auch im
Zusatzordner in der E-Mail.


Hinweis: eBay fragt niemals per E-Mail nach vertraulichen oder persönlichen
Daten (z.B. Passwort, Kreditkarte, Kontonummer).

Vielen Dank, dass Sie eBay nutzen.

Mit freundlichen Grüßen,
eBay

eBay hat diese Nachricht an Christiane gesendet.
Ihr Name in dieser Nachricht ist ein Hinweis darauf, dass die Nachricht
tatsächlich von eBay stammt.
Mehr zum Thema: eBay: Redirect

Dies ist eine automatisch generierte E-Mail. Bitte antworten Sie nicht darauf.

Hallo an alle!
Ich bin neu hier und hoffe jetzt mal alles richtig zu machen. Auf dem PC meiner Schwaegerin hat sich nach oeffnen eines Anhanges einer E-Mail der
schon beschrieben UKash Virus breitgemacht. Es erscheint der Bildschirm 100 Euro fuer die Entsperrung zu bezahlen.
Ich kann den PC nur noch mittels reatogo xp pe hochfahren. Die Daten auf Partition D sind noch alle vorhanden und lesbar. PC ist von HP. Betriebssystem Windows XP SP3. Ich habe mir OTLPE herunter geladen und konnte es auch auf diesem PC installieren. Wenn ich das Programm laufen lasse erstellt es kein Logfile. Koenntet ihr mir vielleicht weiterhelfen!
:dankeschoen:
Gruss Klaus

Leute,
ich gehöre auch zu denen deren Daten so kryptisch verschlüsselt sind.
Heute ist mir was aufgefallen und zwar bei meinen verschlüsselten Bildern.
Bei ALLEN Bildern ist das Erstellungsdatum der 13.Februar 1601 um 09:28:18
Wie kann das sein?
Und auch wenn ich jpg als Endung hinzufüge kann ich die Bilder nicht öffnen :schmoll:

Ich will meine Bilder und meine Musik zurück :koch::koch::koch:

@BIOTEC
es gibt kein programm mit 100 %iger erkennungsrate.
wegen den driveby downloads.
wer ne sandbox nutzt, (sandboxie) und programme wie file hippo zum updaten und noch einige andere, hier im forum stehende tipps beachtet, braucht kaum angst vor drive by downloads zu haben.
meines wissens nach wird das teil nicht so verbreitet, aber kann kommen :-)

@litzedv
leite die mail an mich weiter:
makrusg - trojaner-board.de
@KlausR
bitte thema im logfile bereich erstellen.

Hey Markus,
mein Dad hat letztens auch auf so n tollen Anhang geklickt.

Habe die Viren runterbekommen, allerdings sind jetzt alle Daten verschlüsselt (im Stile von "DLLvJyxDljAgOdUaT"), außer Windows und z.b. auch Firefox, welchen ich grade hier benutze.

Die e-mail sah folgendermaßen aus

Der Anhang heißt Abmelden.zip

Es ist absolut wichtig für meinen Dad irgendwie noch an die Datwen (vor allem die Bilder) zu kommen.
Gerne schicke ich dir auch die *.eml, wenn du mir sagst, wie man diese mit web.de erstellt.

Über Hilfe würde ich mich freuen.

MFG

Huhu Janine, du hebst aber auch wirklich jeden alten Mist auf :rofl:

Spass bei Seite, ich würde Dir empfehlen, einfach noch ein bisschen zu
warten, ob der zündende Funke bezüglich der Verschlüsselung noch kommt.

Ansonnten gibt es in diesem Thread schon eine Möglichkeit für JPGs:
http://www.trojaner-board.de/115551-...e-version.html

Denk aber daran, dass du die Originale bitte aufhebst, falls es möglich ist
die Files sauber zu entschlüsseln, dieses sollte erstmal nur eine Notlösung sein,
da der verschlüsselte Bereich ja in jedem Falle flöten geht.

Darüber hinaus einmal die Frage an alle Entschlüsselungsspezialisten,
gibt es von Eurer Seite schon ein paar neue Erkenntnisse ?
Es ist in den letzten 24 Stunden sehr ruhig, die fruchtbare Suche ist ohne
Erfolg, die Anzahl an Seuchenvögeln nimmt zu und mein Ideenfundus
ist vollständig geleert.

Aktuell sieht dass Verfahren bei mir vor einen sektorbasierten Clone der
Festplatten in die Ecke zu legen und den Rechner neu aufzusetzen.
In der Hoffnung in den nächsten Tagen einen Rückruf tätigen zu können.

So far... fdy

@sebi3110
mich interesiert eig nicht der text, sondern die gesammte mail, wie beschrieben.

@alle

Wir haben einige Samples an Xylitol weitergereicht (da er ja auch direkt angesprochen wurde *g*), und ihn gebeten, sich das auch mal anzuschauen. Das sollte ja in unser Aller Interesse liegen. Haben gerade ein positives feedback erhalten.

Okay, wie kann ich die E-mail in web.de zu einer .eml Datei machen,um dir die E-mail zukommen lassen zu können?

LG :)

öffnen und weiterleiten.
@pcnberlin
hatte ich schon vor längerer zeit getan, aber vllt hast du ja mehr glück

Beim Delphi-board: (hxxp://www.delphipraxis.net/168380-verschluesselungs-trojaner-hilfe-benoetigt-5.html) scheinen die Member dem Virus schon recht weit auf der Spur zu sein. Es gibt vorsichtige Hoffnung. Wichtig: Virus in Quarantäne nicht löschen, da möglicherweise individuell dort jeweils ein verschiedener Schlüssel hinterlegt ist, der zum Entschlüsseln benötigt wird.

du meinst damit die .pif datei?
Aber es sollte die mail auch genügen, in dem die zip drinnen ist oder?

Hallo, bin neu und ebenfalls betroffen. Mich hat es am Dienstag erwischt und die Daten sind nach dem neuen Muster (Klein und Großbuchstaben) verschlüsselt.
@markusg
Ich bin zwar kein Experte habe aber einmal meine Festplatte unter die Lupe genommen.
Vielleicht ist das für Eure Arbeit ggf. wichtig:
Die Verschlüsselung ist ausschließlich in den Ordnern die mit den Buchstaben A-D anfangen. Alle Verzeichnisse von E-Z hat er (Gott sei dank) in Ruhe gelassen.
Das Ganze ist sowohl in den "Eigenen Datein" als auch auf dem Laufwerk C: + K: geschehen.
Alle Bild-, Musik- u. Videodateien sind nicht verändert worden.
Den E-Mailanhang hatte ich morgens geöffnet und bin danach unterwegs gewesen und habe den Rechner angelassen. Der Virus hatte also eigentlich ca. 4 Stunden Zeit sich auszubreiten.
Ich habe ihn mit Avira Rescue beseitigt und komme damit wieder in mein System, allerdings kommt jetzt mindestens 20-mal am Tag automatisch ein Versuch ein "GPBaseService2" zu installieren, was ich immer abbreche. Meistens aber wenn ich scannen will. Könnte das immer noch der Virus sein oder hat er mir nur eine datei zerschossen? Drucken und Scannen kann ich.

hi, eröffne ein neues thema im bereich logfiles und poste dort deine scan ergebnisse

Hallo,
ich arbeite an einem Fall mit 100% Datenverlust. Noch dazu war die Sicherungs-Festplatte per USB angesteckt, daher auch da 100% der Daten verschlüsselt.
Ich habe hier Dateien, die umbenannt sind und auch solche, die nicht umbenannt sind. Es scheint so zu sein, dass bei jedem Start des verseuchten Systems evtl. eine neue Version des Trojaners downgeloadet wird.
Daher: INTERNET trennen !!

Der Benutzer hat sicher keine Mail-Anhänge bewußt geöffnet. Allerdings verwendet er Outlook Express. Dieser Mail-Client öffnet meines Wissens auch Anhänge, wenn man Nachrichten bloß markiert, um sie zu löschen. Bitte um eine Bestätigung dieser meiner Annahme. Danke.

Ich habe aus dem verseuchten System Paare zusammengestellt aus den verschlüsselten Beispielbildern von XP und jene aus einem sauberen System. Ich brauche da dringend Hilfe, denn der Betroffene ist eine kleine Firma und der hat derzeit KEINERLEI Daten mehr !!!

Ich werde versuchen, die vorliegenden Paare hier hochzuladen und hoffe auf schnelle Hilfe. Danke.

Ich wüßte zu gerne, ob irgend jemand diese fiesen Erpresser schon bezahlt und seine Daten zurück bekommen hat. Falls ja, wissen wir wenigstens dass prinzipiell eine Datenrettung möglich ist.

Kenne nur einen Fall bei dem Geld überwiesen wurde, aber da waren die Daten anschließend weiterhin verschlüsselt.
(Edit, war nicht ganz korrekt formuliert)

So viel zum Mythos Ganovenehre!

bitte nochmal genauer, du hast dateien wie zb: HHHGZGZsgdZTZT ohne Endung, und welche art hast du dann noch am selben System?

es stellt sich die grundlegende Frage, ob die Dateien überhaupt verschlüsselt sind, könnte es nicht sein dass die ersten 12KB einfach ein zufälliges Bitmuster sind?

Bei den veränderten Dateinamen ist mir z.B. aufgefallen, dass eine Datei mit einem 73 Byte langen Namen nach dem Virusbefall eine nur 19 Zeichen lange Bezeichnung hatte.

hallo

Ich habe leider am 25.5 einen fehlklick gemacht und mir ebenfalls einen verschlüsselungstrojaner eingefangen

leider konnte ich die email nicht retten, da mein thunderbird account verändert wurde und ich nicht mehr auf die bereits angekommenen emails zugreifen kann.

derzeit sieht meine festplatte so aus
QrvvguNJOuNrvgurJOuQ
xtfxGUsVGUsVfxdtfxU
ect.

ordner sind jedoch nicht verändert worden nur dateien

Ich habe aber die Zip wieder finden können, wo die datei drin ist.

falls markusg die datei haben möchte schick ich ihm sie gerne - ich kann auch noch ein paar datein welche verschlüsselt wurden und die originale mitschicken.

vielleicht ist es dann leichter den logarithmus zu isolieren.

lg
daniel

Möglich ist es und wenn dem so wäre, dann sind die dateien nicht zu retten.
Das wäre aber nicht logisch.
Das spricht sich rum und es zahlen dann weniger, was nicht im Sinne des Geldempfängers wäre.
Im Trojaner gibt es Zeichenketten, die durchaus die Vermutung erwecken, Schlüssel bzw. Teil eines Schlüssels zu sein.

Vielleicht hast Du aber auch Recht und die ganzen Anstrengungen sind für die Katz.

Gruß Volker

hallo zusammen.
hatte auch diesen trojaner.da ich aber nicht mehr weiter wusste, habe ich windows neu aufgespielt.
aber jetzt habe ich ein großes problem.
und zwar sind alle bilder die ich auf einer anderen (intern) festplatte habe nicht mehr zu öffnen.unter dem bild steht dann sowas: DseafseGfgvLQgAEaoq

keine ahnung was da los ist.
wie bekomme ich die bilder wieder????

@belzebub70,
was da los ist?
Das ist das Werk des Trojaners.
Der wütet nicht nur auf C:\
Am Versuch der Wiederherstellung arbeiten einige Experten.

Gruß Volker

na dann hoffe ich mal, das ich die bilder wieder bekomme.
dann wünsche ich den spezialisten viel glück, das sie ein prog hin bekommen womit man bilder etc. wieder herstellen kann

Nun, ich habe mehrere Versionen der selben Datei im Download Ordner. Jede weist ein anderes Muster auf bis 2FFF, danach folgt der Originalinhalt. Könnte also sein. Kann aber auch ein guter/normaler Crypto-Algo sein, damit die Decrypt-Methode mit Hilfe der Originaldatei nicht mehr zieht.

Bei mir hat nämlich keiner der Decrypter geholfen, trotz Originaldatei und mehrerer "verschlüsselten" Versionen davon. Hoffnung habe ich dennoch...

surject

Hallo,
ich habe mir diesen Virus auch eingefangen und kann auf meinem Laptop nicht mehr auf das Desktop zugreifen auch nicht ins Internet oder irgendwelche Programme und das schlimmste mein Virenprogramm hat nicht gewarnt.
Da ich keine Ahnung habe wie ich mein Laptop wieder hinbekomme da ich weder normal noch im abgesicherten Modus starten kann wollte ich mal fragen ob mir jemand eine verständliche Erklärung mitteilen kann.
Ich werde ehrlich gesagt aus den hier angebotenen Lösungen nicht so ganz schlau.
Vielen Dank

hallöchen an alle ich habe dieses problem seit gestern abend mein eigener pc ist damit befallen,ich bin online mit denn pc meines sohnes ich habe mein emali konto gecheckt und habe eine mahnung bekommen das ich die bezahlen soll (war im spamordner drin) ich habe diese mail geöffnet und habe denn zip war keine ahnung wie das jetzt heis versucht zu lesen habe es ging nicht habe denn dann zurück geschrieben das sie mir die per post zuschicken lassen sollen am abend hatte ich versönlich keine lust am pc und habe mein kleien sohn minecraft spielen lassen und aufeinmal kann diese warung

ich war entsetzt als ich lass das durchdangebliche ponografische und infiziert seiten mein windos gesperrrt worden ist dann tankstellen und kiosk kann mann diesen schlüssel kaufen ,also rief ich meinen netten bruder an ob er nicht mal schell mir 100 eruo von der bank abheben kann und die ukash card holt

er meinte bist du besche... sofort wlan steker ziehen und finger davon

ich komme nicht mal an windos rann sobalt ich die kiste starte komm diese warung sofort


her diese emali die ich geöffnet habe




Von:
vicky.hardwick@cocolime.co.uk
ins Adressbuch
An: sbelke@gmx.de
Betreff: Letzte Zahlungsaufforderung nach Vertragsbruch 24.05.2012
Datum: Sat, 26. May 2012 19:45:22

GMX Virenschutz: In dieser E-Mail wurden keine Viren gefunden.
GMX Spamschutz Briefkopf-Analyzer: Der Header dieser E-Mail weist für
Spam-Mails typische Merkmale auf.

Volldarstellung



Antworten


Allen antworten


Weiterleiten


Umleiten


Löschen


kein SPAM

Sehr geehrte Kundin sehr geehrter Kunde,

in Bezug auf unsere Rechnung Nr.: 51635522 und unsere 1. sowie auch unsere 2. Mahnung mussten wir heute feststellen, dass Ihre Zahlung bei uns noch immer nicht ausgeglichen ist. Dies bedeutet einen einseitigen Vertragsbruch Ihrerseits. Nach geltendem Recht könnten wir die offene Forderung bereits jetzt bei Gericht anmelden. Wir geben Ihnen jedoch trotzdem noch eine letzte Möglichkeit, Ihre vertragliche Verpflichtung zu erfüllen, indem Sie unverzüglich die ausstehende Summe in Höhe von 815.00 EURO an uns zur Zahlung bringen.

Die Rechnung und die Bestelleinzelheiten finden Sie im Zusatzordner

Nach geltendem Recht sind wir befugt, die anfallenden Kosten geltend zu machen. Alle bereits angefallenen und noch entstehenden Kosten (Mahnkosten, Rechtsanwalts- und Gerichtskosten) gehen zu Ihren Lasten.

Vermeiden Sie unnötigen Ärger und weitere Kosten und erfüllen Sie den mit uns abgeschlossenen Vertrag!



Noofi-Technik Aktiengesellschaft mit Sitz in Hannover

Vorstand: Karin Fuchs, Helga Maier
Aufsichtsratsvorsitzender: Jürgen Schneider
Amtsgericht: Essen 02776
Dateianhänge zur E-Mail
Öffnen Speichern MediaCenter
Mahnung.zip

@smhh und @igel: ihr seid hier im falschen Thread. Ihr solltet unter Beachtung von http://www.trojaner-board.de/69886-a...-beachten.html unter "Plagegeister aller Art und deren Bekämpfung" je einen Thread aufmachen und warten bis jemand vom Helfer Team sich direkt mit eurem Problem beschäftigt.

Ich nutze ebenfalls Outlook und habe aber mit dem Öffnen des Anhangs den Trojaner ausgelöst. Bislang habe ich keine Erfahrungen damit gemacht, dass Anhänge automatisch geöffnet werden.

Bei mir ist die Verschlüsselung nicht bis zu den Programmdateien gekommen, sondern hat bei den Ordnern mit den Anfangsbuchstaben A-D aufgehört.
Allerdings habe ich ebenfalls eine Datei (ein .pdf) welche als Einzige im Ordner "Ablage" (wo alle anderen Dateien verschlüsselt waren) nicht verschlüsselt wurde. Die Datei war allerdings auch die Größte von allen, mit ca. 33 MB.

Vielleicht ist dies ja hilfreich, wäre auch an einer schnellen Lösung interessiert.

Achtung !! Ich rede nicht von Outlook, sondern von Outlook EXPRESS !!

Dieser Mail-Client ist Bestandteil von Windows XP und wurde seit Vista/W7 von Windows Mail und Windows Live Mail abeglöst.

Bisher ist mir kein Fall bekannt aus meinem Kundenkreis, wo bei der Verwendung von Outlook der Trojaner allein durch das Markieren der Nachricht aktiv wurde.

Genau das passiert aber meiner Meinung nach bei Outlook EXPRESS. u.U. gibt es eine Einstellung in den Optionen, die das Verhalten verhindert.

Wer kann diese Annahme bestätigen?

Hallo,

ich habe folgendes Problem....ich habe mich vor ein Paar Tagen mit dem neuen Trojaner infiziert und habe meinen Pc soweit wieder clean und der Trojaner ist auch weg....jetzt würde ich gerne meinen Pc wieder neu herstellen aber dazu vorher meine Dateien die alle durch den Trojaner verschlüsselt wurden,wieder herstellen...

Ich habe alle Tolls die dazu hier angeboen werden genutzt aber nichts geht irgendwie....

Was kann ich machen?

Hallo Markus,

bin seit einigen Tagen auch von diesen aktuellen Trojaner-Varianten befallen und habe die gleichen Mails bekommen, nachdem ich unvorsichtigerweise den Anhang einer Mail mit einer unsinnigen Geldforderung wegen einer angeblichen Premium-Mitgliedschaft geöffnet hatte.
Habe mit den Tipps Eures Forums den PC einigermaßen ordentlich gesäubert und jetzt ist das Problem der Entschlüsselung übrig.
Meine Dateien sind auch teilweise mit den eben genannten Namen (z.B. AnOrUflejyvuxtXTnEN) versehen worden bzw. haben noch den alten Namen, sind nur nicht mehr lesbar.
Kannst Du mir auch durch zusenden von bekannten/verschlüsselten Dateien helfen, zu einem Entschlüsselungs-Programm zu kommen ?

Viele Grüße
Jagger55

Dazu kommt noch das ich keinerlei Orginaldateien habe....

Hallo Luete!
Zeur Zeit gibt es noch keine Entschlüsselungslösung für die neue Variante (Buchstaben-Salat) Es arbeiten aberschon die besten Köpfe daran, was rauszufinden. Löscht eure Dateien noch nicht!! Behaltet auch die Mail, die euch das Desaster verursacht hat, ev ist darin die Lösung versteckt.

HALLO LEUTE !! Ich bin neu hier , folgendes Problem meine bekannte hat 30gb bilder alles locked dateien wie soll ich die entsperren ?? ich hab kein pärchen und ich versteh das nicht ! Wenn ich ein Pärchen hätte würde ich drauf scheissen dann hab ich die daten ! wäre nett wenn ihr mir helfen könnt danke ! am besten mit anleitung und download links oder video :-) oder beides :D :applaus:

Ich habe diese E-Mail nicht mehr....habe sie gelöscht....ich hoffe auch das es bald eine Lösung gibt....

Hallo alle zusammen, ich habe festhestellt, dass jeder Datei und jedem Ordner Dateien mit 9 und 3KB hinzugefügt wurden. Kann es sein, dass daran der Schlüssel liegt ?

kann ich nicht bestätigen.
wie meinst du das genau?

lg

@wenxx87,
vielleicht hilft ein Gang auf die Toilette oder etwas Lesen der vielen nützlichen Postings der Leute hier.
Dann wüsstest Du, dass ein passendes Dateipaar duchaus mehrer tausend Dateien rekonstruieren kann.
Dann wüsstest Du auch, wie man eventuell zu Originaldateien kommt.

Eventuell wäre Dir dann auch dieser Thred aufgedallen:

http://www.trojaner-board.de/115551-...e-version.html

Klar kannst Du Hilfe bekommen.
Frage konkret was Du nicht verstehst, etwas Eigeninitiative muß schon sein.
Was hast Du unternommen um an Originaldateien zu kommen?
Hast Du es schon mit den Beispielbildern probiert?

Links stehen ganz oben und Anleitungen gibt es bei den jeweiligen Tools.
Videos findest Du bei YouTube und Hausbesuche gibt es nicht.

Gruß Volker

Antwort auf mein Posting vom 25.5.2012
@benton18
Verschlüsselte Dateien sind
- umbenannt ohne Endung und ohne erkennbare Struktur, keine doppelten Buchstaben und unterschiedlich lang, mindestens 14 Zeichen
- nicht umbenannt (nur 14 Dateien .jpg)

Ich habe noch die verseuchte Original-Festplatte und eine 1:1 Kopie davon. Ich weiß, dass da der Übeltäter noch drauf ist. Ein Test ergab, dass ESET diesen findet und "behandeln" kann.

Ich habe auf der Sicherung einen Ordner "Programme" und darin die Struktur der Fakturierung. Hier scheint alles ok zu sein.

Ich habe im Webmail noch so ein Biest (noch nicht abgerufen, kann es weiterleiten)
Absender: y_hayato555@yahoo.co.jp
Betreff: Dritte Zahlungsaufforderung 23.05.2012
Anhang: Mahnung.zip 62K

Guten Morgen,

in Bezug auf unsere Rechnung Nr.: 46472838 und unsere 1. sowie auch unsere 2. Mahnung mussten wir heute feststellen, dass Ihre Zahlung bei uns noch immer nicht eingegangen ist. Dies bedeutet einen einseitigen Vertragsbruch Ihrerseits. Nach geltendem Recht könnten wir die offene Forderung bereits jetzt bei Gericht anmelden. Wir geben Ihnen jedoch trotzdem noch eine letzte Möglichkeit, Ihre vertragliche Verpflichtung zu erfüllen, indem Sie unverzüglich die ausstehende Summe in Höhe von 627.00 EURO an uns zur Zahlung bringen.

Die Rechnung und die Bestelleinzelheiten finden Sie in beigefügter Datei

Nach geltendem Recht sind wir befugt, die anfallenden Kosten geltend zu machen. Alle bereits angefallenen und noch entstehenden Kosten (Mahnkosten, Rechtsanwalts- und Gerichtskosten) gehen zu Ihren Lasten.

Vermeiden Sie unnötigen Ärger und weitere Kosten und erfüllen Sie den mit uns abgeschlossenen Vertrag!



Maolo-Elektro Aktiengesellschaft mit Sitz in Hamburg

Vorstand: Heinz Müller, Josef Moser
Aufsichtsratsvorsitzender: Thomas Lehner
Gesellschaftssitz: Essen 16210

Wenn es Spezialisten gibt, die damit was anfangen können für die Allgemeinheit, bitte melden. Danke für euren Einsatz !!!

Hallo,

ich habe vor 15 Minuten ebenfalls die 3. Zahlungsaufforderung erhalten! :D

Ich habe das ganze an die Virenprofis hier gemailt in der Hoffnung das allen Betroffenen geholfen werden kann.

Danke schon mal für Erure ganze Arbeit! :daumenhoc

Hallo zusammen,
da ich, wie auch viele Leute hier, eine Hilfe brauche, wollte ich die verschlüsselten und originellen Dateien zukommen lassen. In der Quarantäne vom Malwarebytes-Programm befindet sich der Trojan-Agent (stub.exe).
Meine Frage ist wie kann ich dann ihn von dort wieder rausholen um ihn auch zu zusenden. Die entsprechende Mail hatte ich leider entfernt.
Vielen Dank für den Tipp!
Juri

Hallo benton18,

meine musikdateien ahbe ich im Original vorliegen. Beim Vergleich der Originaldatei mit der verschlüsselten stelle ich fest, dass zur Originaldatei eine mit 3KB und eine mit 9KB hinzugefügt wurde. Alle 3 sind verschlüsselt.

Hallo benton18,

meine musikdateien ahbe ich im Original vorliegen. Beim Vergleich der Originaldatei mit der verschlüsselten stelle ich fest, dass zur Originaldatei eine mit 3KB und eine mit 9KB hinzugefügt wurde. Alle 3 sind verschlüsselt.
Plagi ist gerade online Beitrag melden Beitrag bearbeiten/löschen

@alle

Ich habe mir bereits die ein oder andere Nacht um die Ohren geschlagen, um dem Geheimnis des Trojaners auf die Schliche zu kommen. Meine bisherigen Ergebnisse trage ich hier nun unter Verweis auf weitere Erkenntnisse von anderer Seite zusammen und stelle zur Diskussion, dass es sich bei der neuen Variante um ein public-private Key Verfahren handelt, dass auf absehbare Zeit nicht zu knacken sein wird:

Analyse des Windows-Verschluesselungstrojaner-neue-Version

Ich möchte in der Hoffnung mit meiner Vermutung unrecht zu haben mit diesem Post dazu aufrufen, mehr Informationen zu diesem Trojaner zu veröffentlichen, den bisher erreichten Wissensstand offener als bisher zu kommunizieren und hoffe, dass sich so noch mehr Leute finden, die Willens und in der Lage sind, diesen Virus zu analysieren. Dieser Virus ist in meinen Augen einfach zu gefährlich, als dass man sich über seinen Wissensstand ausschweigen könnte: Wer also Kenntnisse, Ergänzungen und Anregungen hat, der möge diese bitte öffentlich machen.

Hi PCNBerlin.

Kann ich dirch irgendwie mit Trojanischen Files versorgen? oder hast du schon alles, um damit zu arbeiten? Hab mich nun etwas in die Materie eingelesen, hier und auf DeplhiPraxis, und hab von einem nach wie vor verseuchten PC die entsprechenden files gezogen:
die Rechnung.pif
die die Sicherheitskopie aus der appdata/Roaming (tatsächlich exakt gleich groß)
sowie die angesprochenen Files aus dem Temp-folder, von denen die kleinere ebenfalls gleich groß ist, wie jene bei DelphiPraxis gepostet.
Die größere Temp-datei ist etwas großer, schätze auch das hängt damit zusammen, wie viele fiels verschüsselt werden konnten, bis dem Spuck ein Ende gesetzt wurde. (ca 5Mb bei mir)

ich werde diese Feiles mitsamt der verschlüsselten erstmal verwahren. Die Hoffnung stirbt immer noch zuletzt;-) Danke nochmals für deine tolle Arbeit und auch den anderen Leuten hier.

Auch bei uns hat der Trojaner einige Daten verschlüsselt. (Jedoch nicht alles)
Ich habe aber sehr vieles Davon noch Original (Unverschlüsselt) vorliegen.
Wird hier sowas eventuell benötigt um die Verschlüsselung zu analysieren?
Also Originaldateien & Infiziert.

PS: Was mich wundert, die Dateien sind exakt gleich groß. Ich probier mal, sie einfach umzubenennen.

Edit: Okay, hat nichts gebracht. Wirklich dran geglaubt habe ich aber nicht ;)

...................

Der von madddy im Thread >>Entschlüsseln von Dateien die nicht "locked" im Namen haben<< angesprochene Trojaner ist genau der hier behandelte.
Ich habe die Mail im Papierkorb wiedergefunden und könnte sie (samt verseuchtem Anhang) zur Verfügung stellen, wenn mir jemand sagt, wie ich das bei browser-zugänglicher Mail (aol) mit dem Download hinkriege.

Tipp an alle, löscht noch keine Daten, und setzt ev auch euer system noch nicht neu auf, bzw erstellt ein 1:1 Spiegelung der C:\ Platte, die Hinweise verdichten sich, dass eine Entschlüsselung nur mit den trojanerdaten auf dem jeweiligensystem gelingen können.

Obs wirklich was wird, steht noch nicht fest, ich lese ledigich quer durchs netz die infos mit und gebe die hier weiter.

Hallo ich habe mich gestern mit einem Windows-Verschlüsselungs-Trojaner infizirt, nun sind meine dokumente, bilder, videos und Musik datein verschlüsselt sie wurden umbenannt und es steht kein dateityp hinter, habe nun leider keine originaldateien davon, kann mir jemand helfen???
Lasse gerade einen scan durchführen mit malwarebytes..
Malewarebytes

Ich hab heute einen Rechner mit Verschlüsselungs-Trojaner mit Comodo Premium 5.8 gescannt.

Die Dateinamen sind noch vorhanden wie bei den beiden Beispielen zu erkennen ist. Allerdings ist mir nicht klar woher Comodo die Original-Dateinamen hat.

Ich habe eine entsprechende Frage im Comodo-Forum gestellt.

Das sieht mir mehr aus wie die Trojaner-Datei, von der aus der Rechner infiziert wurde!?

Da hast Du schon Recht, das sind die Trojaner-Dateien.
Das sind ja auch die einzigen die Comodo anzeigt.
Allerdings sind diese aktuell auf der System verschlüsselt abgelegt.
In der Log-Datei sind allerdings die Original-Dateinamen zu sehen, welche Comodo ja irgendwoher haben muss. Es geht ja eher darum eine Methode zu entwickeln um die Dateien wieder in Ihren Original-Zustand versetzen zu können.

gibt es wirklich noch nichts um die daten zu entschlüsseln??
lg Ice

Ist der Spuk mit neuen Opfern vorbei ?

Bezüglich des Posts von pcnberlin mit Verweis auf seinen Blogpost
"Analyse des Windows-Verschluesselungstrojaner-neue-Version"
auf Seite 37 dieses Topics, ist mir gerade aufgefallen, dass der benannte Server:
hxxp://ogutors-free.com/
nicht mehr erreichbar ist.

Leider kam der Gedanke die a.php per wget zu sichern zu spät.
Zumindest ist der Siliziumkrüppel aktuell offline;
welches neue verschlüsselte Patienten bis zu einer neuen Variante
temporär ausschließt, wenn ihr mit den Onlinekeys recht behaltet.

Frage ist, ob es eine neue Version gibt, bevor die alte Ihre
Geheimnisse Preis gegeben hat.

PS: An dieser Stelle nocheinmal ein persönlichen Gruß an den Author: :lmaa: :lmaa: :lmaa: :lmaa: :lmaa:

Hallo

Ich bin auch reingefallen!! Habe eine Mail bekommen, die lässt sich aber jetzt leider nicht mehr offnen! Habe dann den Anhang geöffnet. Ich weiß ich hätte eine zweite Kopie meiner Daten machen müssen aber jetzt is es nunmal zu spät!
Meine Bilder, Documente und Musik ist verschlüsselt der Dateiname besteht aus unwillkürlichen Ziffern zb:wsfirhejfiuerhgtokdk :confused:
Doc die MBs sind noch da. Habe schon verswucht den Dateiname einfach zu ändern mit .jpg das lässt sich zwar dann öffnen doch die Datei kann nich gelesen werden! Brauche unbedingt diese Bilder das sind Bilder meiner Töchter der letzten 5 Monate! Und meine Tochter ihre Ausbildungdokumente die sie braucht.
Bitte dringend um hilfe:heulen::heulen:

Achtung , schon wieder neue Email Variante unterwegs !!!

Titel in der mail " Letzte Mahnung 094125058 Inkassobüro " mit ner schicken zip Datei im Anhang.........

auf keinen Fall öffnen !!!

Ich habe dann jetzt mal eine Nachricht an meinen Lieblingssender 1Live (www.einslive.de) verfasst und auf die Delphi-Praxis bzw. das Trojaner-Board verwiesen, sie mögen mal eine Warnung an die Hörerschaft rausbringen.
Mal schauen.

Michael

Huhu Mitchi,

ich kann Dich nur auf
http://www.trojaner-board.de/115551-...version-2.html

verweisen, bezüglich des pst / jpg rettens,
zudem wäre da noch der Tipp mit den Schattenkopien,
siehe Video auf der zweiten Seite.

Da ich leider heute Abend keinen PC mit Verseuchung am Start habe,
stellt sich mir die Frage ob von Euch schon jemand Erfahrung mit Raw Recoverys gemacht hat ?
D.h. Photorec etc. von der Theorie her dürften alle Dateien die zuletzt
auf dem Dateisystem waren ja folglich verschlüsselt sein, solche die aber
vorher gelöscht worden sind / ältere Revisionen / etc.
ja auch diesem Wege durchaus noch dem einen oder anderen von Nutzen sein.

PS: @ Mitchi wie spät hast du denn heute die Mail geöffnet,
bin nur neugierig wegen des nicht erreichbaren Servers.

So far fdy

Das war vorige Woche Diennstag! Un da hab ich nach ner Lösung für die Bilder gesucht aber keine gefunden!

Bei mir sind weder mit DecryptHelper oder den anderen Programmen mittels Dateipaare auch nur eine Datei zu entschlüsseln. Ich hoffe es gibt bald eine Lösung. Es sind hauptsächlich Fotos, auch einige Dokumente.

Photorec wäre ein Versuch wert: je mehr Platz auf der Platte frei ist, desto wahrscheinlicher dass nichts überschrieben wurde.

Wichtig wäre keine Schreibzugriffe auf die befallene Platte durchzuführen!

Also: externe große Platte per USB anschließen, Photorec starten , als Zielverzeichnis sicherstellen dass die USB Platte genannt ist und "rödeln lassen".

Ergebnis: alle intakten "gelöschten" Dateien werden wiederhergestellt sofern sie Dateiformaten entsprechen die Photorec kennt (und das sind viele. MS Dokumente, Jpg, diverse Filmformate ...)

Resultat : einwandfrei wenn kein Schreibzugriff stattfand, wenn Teile der Dateien durch neue überschrieben wurden sind diese verloren.

Nachteil: durch die Methode die ohne File Tables auskommt kann Photorec den Namen nicht wiederherstellen. Man erhält also Dateien mit kryptischen Namen aber der korrekten Endung, muss alle einzeln öffnen und anhand des Inhaltes feststellen welche Datei das war.. danach kann man sie von Hand umbenennen.

Einschätzung: ein Versuch ist es wert, bei SSD Platten die nicht sehr voll waren würde ich erwarten dass viele Dateien wiederhergestellt werden, bei herkömmlichen Magnetplatten befürchte ich dass nur die als letzte verschlüsselten Dateien wiederherstellbar sein werden.

Link: PhotoRec - CGSecurity

Hi Dackel,
das verstehe ich nicht ganz, Photorec ist doch ein Programm zur Wiederherstellung von Dateien und nicht zur Entschlüsselung.
Beim Verschlüsseln wird der zugehörige Record des Dateisystems ja nicht geändert, die Datei ist ja noch da.
Falscher Post zum richtigen Thema oder richtiger Post zum falschen Thema, oder peil ich was nicht ?

Grüße
Arris

Hallo Arris,

zum Gedankengang:

Dass Schreibprogramm speichert während des Arbeitens mit einem Dokument eine gesperrte Kopie für den Falle eine Absturzes, dass Original ist selbstverständlich verschlüsselt, die Kopie aus dem Tempfiles ist gelöscht und daher nicht involviert.

Beispiel 2:
Mustermännchen bestellt sich ein Fotobuch oder brennt eine selektierte Zusammelstellung
seiner Urlaubsbilder, erstellt dafür einen neuen Ordner, kopiert die Wunschbilder dort
rein, löscht nach getaner Ausführung den Kopieordner.
Schwupps haben wir wieder gelöschte Bilder auf Platte.

Beispiel 3:
Persönchen 3 überträgt die Bilder von seiner Digitalkamera auf Platte,
verschiebt die Daten auf seine externe Festplatte, da die Orginale beim
verschieben gelöscht werden, sind auch hier wieder Optionen vorhanden.

Beispiel 4:
Anhänge kommen per E-Mail rein, Anhänge werden auf Platte gespeichert - später verschlüsselt, sind aber irgendwo noch in der Mailboxdatei noch gespeichert.
Da nur der Header verschlüsselt wird, müssten auch hier weiter hinten
aus der Datei Rohdaten extrahiert werden können.

Ich hoffe, es ist so etwas besser verständlich.

*wink* fdy

Und zu guter letzt wurden ja die Originaldateien zuerst verändert, dann unter neuem Namen gespeichert und dann erst gelöscht :D
Aber jede neu gespeicherte Datei kann schon wieder die gelöschte vorherige Originaldatei überschrieben haben :(
Gruß DevilTH

Huhu Devil,

davon würde ich nicht ausgehen, wenn du dass im Bezug auf den Virus meinst,
wenn er jede Datei erst lesen, ändern, schreiben würde, käme er nicht
auf diese affige Performance beim verschlüsseln.

Da können wir ganz stumpf davon ausgehen, dass er tatsächlich die Datei von
Platte nimmt, die ersten Bytes stumpf überschreibt und den
Rest unangetastet lässt. Quasi dass, was du mit einem Hex-Editor auch
machen würdest.

In diesem Punkt also kein Pluspünktchen für
unsere Daten.

Klingt logisch, könnte sein... hoffen wir für die Opfer das es nicht so ist:pfeiff:
Gruß DevilTH

Hallo an Alle

leider hat mich der neue Trojaner auch erwischt. Welche Version ich mir eingefangen haben kenne ich nicht. Das Booten in allen 3 Varianten im Abgesichertem Modus geht nicht.

Die Mail habe ich noch auf dem iPod und könnte sie jemandem hier zukommen lassen, bei Bedarf

mit freundlichen Grüßen

Gabriel

Hi leute bin wieder da und habe mal mit den machern von escan gesprochen die nehmen sich der sache mal an und versuchen eine lösung zu finden

Ich kann eine vm mit teamviewer stellen die verseucht ist und zum test misbraucht werden kann
ich habe leider wenig zeit
wenn intresse besteht kurz melden

gruss tommy

:party:

@markusg & alle die an dem Trojaner arbeiten:

Habt Ihr VM-Sicherungsstände, bei denen der Trojaner gerade noch am verschlüsseln ist? Da die C&C-Server seit gestern nicht mehr zu erreichen sind, sind solche Zwischenstände jetzt wohl recht wichtig. Oder hat jmd eine neue Variante, die andere URLs nutzt?

Hallo Leute, ich sitze grade das 2. mal an einem Windows XP SP3 PC mit ähnlichen Problem.

User meldet sich an und prompt kam weißes Bild mit Zahlungsaufforderungen.

Beim ersten PC wurde schon angefangen eine Menge auf C: zu verschlüsseln, beim 2. PC(WLAN) ist noch nichts passiert und nerviges Programm einen dran hindert irgendwas zu tun konnte ich auch beseitigen.

Aufmerksam wurde der Besitzer des PCs dass er statt seinem normalen Desktop nur noch ein Windows Explorer Fenster beim anmelden bekam.

in der Registry war unter "Windows NT\Winlogon\Shell" - "explorer_new.exe" zu finden, was ich rasch ändern konnte im agesicherten Modus.

TLDR: warum ich eigentlich schreibe; Ich habe unter "Dokumente und Einstellungen\All Users\Anwendungsdaten" den übeltäter ausfindig machen können und alles was mMn dazugehörte in den Anhang gepackt in der Hoffnung es hilft weiter.

lg
Norbert

Huhu norbt,

kleine Info an Dich, bei Deinem Package handelt es sich nicht um den kleinen Freund selber,
sondern um die Website, die dass Programm anzeigt, die ausführbare Datei wird sich noch
irgendwo im System tummeln.

Dass müsste also der Teil des Packages sein, welcher vom Webserver
im cab Package an den PC gesendet wird, soweit ich es von hier aus beurteilen kann.

@pcnberlin ist Dir bekannt ob die Server von der Version 1.140.1 und der Version Version 1.150.1
identisch sind ?

So far... fdy

Ja, bin da ziemlich sicher, eine Liste der Domains findet man auch in meinen Blogpost und mit jetzigem Stand sind die Domains nicht mehr aufzulösen.

@ pcnberlin: Ich danke Dir, herzlich.

Na dann werde ich mich jetzt erstmal eine Runde ärgern,
dass ich mir heute ein Testsystem hochinstalliert habe (keine VM),
um den Vogel drauf loszulassen.

eine interessante Beobachtung zu den Dateinamen:
beim "Buchstabensalat" für die Dateinamen werden bei mir nicht alle Groß- und Kleinbuchstaben verwendet, sondern nur die folgenden:

A..DE.G..J.L.NO.Q..TUV.X..
a..defg..j.l.no.qrstuv.xy.

bei mir kommen also genau 31 verschiedene Zeichen zum Einsatz.