|
das ist doch der thread für den Verschlüsselungstrojaner..... |
Zitat:
|
Hallo einmal wieder, die Untersuchung der HDD mit dem forensischen Programm war mehr oder weniger erfolgreich. Es wurden alle *.doc Dateien in ein Verzeichnis extrahiert. Ich habe dann mit einem Skript einen Grössenvergleich mit den originalen, verschlüsselten gemacht und die Kandidaten, die in Frage kommen in ein Unterverzeichnis des Ursprungsverzeichnisses kopiert. Ebenfalls habe ich ein grep auf Schlagwörter, wie Namen etc. gemacht, und diese dann ebefalls in ein Verzeichnis kopiert. Es sind definitv Dateien dabei, die verschlüsselt sind/waren. Also ich konnte nun einen Großteil der Daten wieder herstellen. Wie im anderen Beitrag erwähnt, habe ich es mit DOCs gemacht.:taenzer: EDIT: Die Dateien sehen nach der Wiederherstellung wie folgt aus: 16768530.doc Gruß Keks5 Zitat:
|
vor 2 tagenb hatte meine bekannte diesen virus draufgehabt hab windows 7cd rein gelegt und auf system wiederherstellung gegangen danach normal aufgefahren und anschliessend virenscan durch geführt trojana gefunden und vernichtet und alle undifinierbare code gelöscht wie uudddeemmssnn der rechner schnurt wieder wie ne 1 troj/isys.8501. heist der trojanar die daten stehen in appdatei ganz unten. Ps soll nicht heißen das es bei jeden so klappt |
Hola Gestern hats mich nun auch erwischt... Mail hab ich leider gelöscht, der Inhalt war aber halbwegs identisch wie bei allen anderen, bei mir handelte es sich um eine Bestellung auf trendshop.de bzw .com! Rechnung im Anhang geöffnet, nach ca 2 Minuten wurde der PC autom. runtergefahren. Nach dem Neustart erschien dann das Fenster wie auf Seite 1 Beschrieben. Selbst neu gestartet und im abgesicherten Modus hochgefahren, alle Datein die auf dem Desk neu waren gelöscht und nochmal neu gestartet. Schien alles in Ordnung, 2-3 Scanner drüber laufen lassen und bereinigt war der PC, hoffe ich jeden Falls :) Ein paar Verknüpfungen auf dem Desk wurden unbrauchbar, Alle Bilder,Dokumente,Videos UND installierte Spiele wurden verschlüsselt (3 Festplatten) Weder ein Backup noch die Shadogeschichte sind bei aktiviert, seit 10 Jahren PC Besitzer und noch nie gebraucht, Spams lass ich normalerweise auch immer geschlossen...naja einmal ist...^^ Ich hatte auf dem Handy noch ein Bild deren Quelle ich auf dem PC kannte, wenn ich das Bild auf dem PC nun umbennene, also wieder in den Orginalnamen, dann wird das Bild als Vorschau angezeigt, das wars aber auch schon, öffnen nicht möglich! Orginal: IMAG0313(jpg) Verschlüsselt: pNxuVUadTXTpjg Alle Programme die angeboten werden können mit diesem Schlüssel nix anfangen... Blöde Frage, statt nun für die verschiedenen Dateiarten entschlüsselungen zu schreiben, wäre es nicht einfacher den Virus umzuschreiben? :) Oder man hofft darauf das Matthias den DeCryptHelper auf die neue Verschlüsselung patchen kann :) (Schlüssel konnte nicht bestimmt werden) Ich belasse mein PC wie er ist, nur ein Spiel wird neu installiert, wenn ich was neues hab, sag ich bescheid, andernfalls freu ich mich von euch zu hören! |
@Uni87, ich würde weder was installieren noch deinstallieren und die Daten so lassen, wie sie sind. Neue HDD rein, und fertig. Es sei denn es sind unnütze Dokumente etc. Es werden sonst Bereiche im Filesystem überschrieben, wo evtl. nocht die Urdokumente vorhanden sind. Gruß Keks5 |
Hab ich mir auch eben gedacht ;) Ich werd einfach alles so lassen und hoffen, das man bald nen entsprechenden Decrypter dazu raushaut! Ne neue HDD rein weil? Also ich hab 3 (1. System, 2. Spiele, 3. Datein) Da das System ja soweit läuft wollt ich eigentlich nix neu aufsetzen, erst wenns ne Lösung zum entschlüsseln gibt, so dringend brauch ich die verschlüsselten Datein zum Glück nicht, alles wichtige landet eh auf CDs :) |
Zitat:
Das setzt natürlich voraus, dass man vor dem Post etwas liest, dann hättest Du Dir die Arbeit mit den Schlüsseln sparen können. Zitat:
Zum Rest folgende Fragen: Was weißt Du vom Virus und seiner Arbeitsweise? Was sind konkret Deine Ansatzpunkte? Oben stehtwas, fängt mit Diskussionsforum an. Volker Volker |
Zitat:
Daraufhin die angebotenen Programme ausprobiert, ohne Erfolg, was darauf schließen lässt, wie bei anderen auch, das es sich um eine neue Verschlüssellungvariante handelt... Zum Thema Virus selbst... Ich kenn mich nicht wirklich aus, aber erstellt werden diese Dinger auch nur von Menschen Hand... Ich kann mir gut vorstellen das es genügend Helle Köpfe gibt, die diesen Virus "lesen" können bzw so modifizieren können, das er genau das selbe tut, halt nur umgekehrt... Das wird doch tagtäglich so gemacht, User senden Viren an XY, diese lesen ihn aus und entwickeln nen Gegenvirus bzw wie in meinem Fall benötigt, DecrypterProgramme... Oder versteh ich deine Aussagen falsch? |
Zitat:
Wie sagt man so schön: Lesen bildet! (Allerdings auch nur dann, wenn man es auch wirklich tut, und nicht nur vorgibt, es getan zu haben.) |
Zitat:
das es sich bei meinem Virus um den neuen handelt??? Hätte doch noch genauso gut einer der alten Varianten sein können... Ich habe weder um Hilfe noch sonst was gebeten, wollte mein Geschehen einfach nur Teilen und da ich ein wohl Aktuelles Virenproblem geschildert habe, werden die neuen Leser/Betroffenen nun besser Bescheid wissen, hat doch auch was :zunge: |
Hallo zusammen, ich muß auch kurz was zum Thema beitragen... Ich habe gestern morgen auch diese dämliche Email von Flirt Fever bekommen und daraufhin unüberlegter Weise den Anhang entpackt. Nachdem ich dann hier gestern den ganzen Tag mit Beiträgen lesen verbracht habe, habe ich heute morgen im abgesicherten Modus den Malwarebytes Anti-Malware drüberlaufen lassen und zwei betroffene in die Quarantäne geschickt. Danach ebenfalls im abgesicherten Zustand Avira Anti Vir und Sybot Search and Destroy drüber und neu gestartet. Alles noch da, nix verschlüsselt.. ob das reicht? |
@ uni87 Du hast nichts Neues geschildert. Dieser Thread basiert seit über 3 Wochen auf dem Trojaner, der die Dateien in diesen wirren Buchstabensalat verwandelt und in diesem Thread steht mehrfach (auch verlinkt), dass es kein Tool gibt, um das rückgängig machen zu können und wahrscheinlich auch nie geben wird. Wenn du also auch diesen Buchstabensalat hast, dann kannst du davon ausgehen, dass dich ebenfalls diese Variante erwischt hat, dann liest man etwas weiter und stellt schnell fest, dass die vorhandenen Tools nichts bewirken können. Das hast du offensichtlich nicht getan, willst uns hier aber jetzt weismachen, du hättest etwas Aktuelles entdeckt (lol). |
Zitat:
Du schreibst selbst, wie Deine verhunzten dateien aussehen. Orginal: IMAG0313(jpg) Verschlüsselt: pNxuVUadTXTpjg Sieht das etwas so aus? locked-IMAGE0313.jpg.hzrf Es steht hier bis zum Erbrechen, dass die Tools nur bei locked. Dateien helfen. Für die neue Variante gibt bes Umwege, aber das steht hier auch bis zum Abwinken. |
Wo ist das Probelm??????????? Ich habe die Programme ausprobiert, festgestellt das sie nicht gehen und mir dann den Rest durchgelesen, festgestellt es ist einer der neuen... Damit sich keiner nochmal alle Seiten durchlesen muss, und die Mail nun mal aktuell war, hab ichs einfach nochmal geschildert... Jeder neue undbelesene wird sich drüber freuen |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:22 Uhr. |
Copyright ©2000-2025, Trojaner-Board