Hallo!

Ich bin ganz neu hier. Habe mir leider auch diese neue Version vom Verschlüsselungstrojaner eingefangen und hoffe nun auch Hilfe von Euch! Ich habe bereits alle Entschlüsselungstools ausprobiert. Keiner hat bisher den Schlüssel generieren können :(

Wird es da bald ein Tool für geben oder das ist das eher aussichtslos?

Vielen Dank

Hallo!

Wieder mal der Verschlüsselungstrojaner. Hab den Anhang nicht geöffnet.
Eine Mahnung und dann noch per Mail, da stimmt doch was nicht. Habe das schon mal bei einer Bekannten gehabt. Mit dem Tool hier hat es geklappt aber auch lange gedauert. Link: http://www.trojaner-board.de/114115-...tml#post820437


Infos zur Mail:

E-Mail Header:

Return-Path: <13342562573@189.cn>
Delivered-To: GMX delivery to *****@gmx.net
Received: (qmail invoked by alias); 26 May 2012 18:55:57 -0000
Received: from mta.189.cn (EHLO 189.cn) [121.14.53.137]
by mx0.gmx.net (mx020) with SMTP; 26 May 2012 20:55:57 +0200
Received: from Server1 (as7.inner-189.cn [10.62.8.17])
by 189.cn (HERMES) with ESMTP id 7F3B915C0BC
for <*****@gmx.net>; Sun, 27 May 2012 02:55:47 +0800 (CST)
Received: from Server1 ([10.62.6.20])
by 189CN(Yuwen filter gate 10.62.8.17) with ESMTP id 1338058545.10436 for *****@gmx.net
;
Sun May 27 02:55:55 2012
X-FILTER-SCORE: to=<944f958296848986939561888e994f8f8695>, score=<1338058555oooooSooYooxoSYx5ykqM1YYYYYNYYCYYhYNChYNChYN>
MIME-Version: 1.0
Date: Sat, 26 May 2012 20:55:51 +0200
X-Priority: 3 (Normal)
X-Mailer: Sylpheed version 0.7.6 (GTK+ 1.2.10;
i686-pc-tommie-gnu)
Subject: Dritte Mahnung 22.05.2012 029138273
From: 13342562573@189.cn
To: *****@gmx.net
Content-Type: multipart/mixed;
boundary="-----_chilkat_000_0000_00000000.00000000_.MIX"
Message-ID: <CHILKAT-MID-00000024-0054-0045-0041-004d00002400@Server1>
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (eXpurgate);
Detail=5D7Q89H36p6Db+1Gr2i0FsOUkUVirUO4L/dtLTEuSZD5KghEe2JRMCLhT4q/3HJYj+aOt
gwG3s+0ljXZ4hWH0Ez35Q5DjrZyx3o/rQu0jRtqUj9YZlpg4cEoQeQSWS34tG7vz8D08YlXerp85
YvdVJe+qTMjf0j3WOGBiigaUUo2guRUL8dKadc1FiMMfa3FVRBkOvwg5lk=V1;
X-GMX-UID: bm1iVNYyGHE3dc5Y+zYx/LgoL5mDVIjR
X-Flags: 1411

Betreff: Dritte Mahnung 22.05.2012 02913827

Nachricht:

Sehr geehrte Damen und Herren,

in Bezug auf unsere Rechnung Nr.: 70557203 und unsere 1. sowie auch unsere 2. Mahnung mussten wir heute feststellen, dass Ihre Zahlung bei uns noch immer nicht eingegangen ist. Dies bedeutet einen einseitigen Vertragsbruch Ihrerseits. Nach geltendem Recht könnten wir die offene Forderung bereits jetzt bei Gericht anmelden. Wir geben Ihnen jedoch trotzdem noch eine letzte Möglichkeit, Ihre vertragliche Verpflichtung zu erfüllen, indem Sie unverzüglich die ausstehende Summe in Höhe von 856.00 EURO an uns zur Zahlung bringen.

Die Rechnung und die Bestelleinzelheiten finden Sie im Zusatzordner

Nach geltendem Recht sind wir befugt, die anfallenden Kosten geltend zu machen. Alle bereits angefallenen und noch entstehenden Kosten (Mahnkosten, Rechtsanwalts- und Gerichtskosten) gehen zu Ihren Lasten.

Vermeiden Sie unnötigen Ärger und weitere Kosten und erfüllen Sie den mit uns abgeschlossenen Vertrag!



Maeki Elektro Online-Handel mit Sitz in Berlin

Vorstand: Manfred Bauer, Maria Scholz
Aufsichtsratsvorsitzender: Ursula Maier
Gesellschaftssitz: Berlin 85004



Anhang: Mahnung.zip Nicht öffnen oder ausführen!!!

Fazit:

- Die Firma gibt es nicht keine genauen Ergebnisse bei Google
- Mahnungen kommen eigentlich immer per Post
- Anhang als zip und nicht als Dokument (pdf, doc,docx, xls, xlsx usw.)

hallo, mails bitte hierhin:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

@fdy:
Danke fürs anschauen und die Informationen.
Jedes kleine Bisschen Hilft weiter.

Hallo,

ich habe den kompletten Quelltext der Trojaner-Email nach Befall eines lokalen PC vermittels Webmailer mit einem anderen PC geholt und als Textdatei gespeichert. Kann ich den ebenso zippen und einsenden?

Ansonsten ist auffällig, dass der befallene PC eine neue Datei unter
"\dokumente und einstellungen\all users\anwendungsdaten\microsoft\crypto\rsa\s-1-5-18\"
hat (also nicht nur die übliche d42cc...), welche den Zeitstempel des Befalls trägt. Möglicherweise ist das einer der Schlüssel, die zum Verschlüsseln der Dateien oder Dateinamen benutzt worden sind.

MfG. Andreas

Hallo, ich habe mir auch einen Trojaner der neuesten Version eingefangen. :headbang:
Den Rechner hab ich, nachdem ich meine Verschlüsselten Daten gesichert habe, komplett neu gemacht.

Heute hat mir eine Freundin berichtet, dass sie eine Mail mit dem Betreff: "Einladung zum Sommerfest" bekommen hat. Das neue an der Mail ist, dass die Datei nicht als Anhang mitgeschickt hat, sondern, dass man sich die Datei selber runterlasen soll.

Ich denke mal, dass es sich auch diese mal um einen Trojaner Handel könnte.

Kann ich die Mail irgend wohin weiterleiten, damit sich das jemand mal ansehen kann?

Grüße

Wie ich ja schon geschrieben habe bin ich leider auch ein Opfer....

Ich habe jetzt meine Festplatte gesichert und den PC Neu aufgesetzt....

@Markus

Ich habe in meinem Spam Ordner von GMX noch so ein Bastard, wenn du mir sagst wie ich den dir zukommen lassen kann, dann sende ich dir den gerne...

@all

Ich habe nicht so viel Ahnung von PC´s usw. aber was mich wundert ist, das ich meine Musikdateien wieder bekommen habe,indem ich der Datei die Endung .mp3 gab und dann wurde sie auch abgespielt. Ich dachte dann, dann probierste das auch mal mit den Textdokumenten und den Bilder,mit der entsprechenden Endung, aber da ging das net. Er hat mir zwar angezeigt das er es in Office öffnen kann aber wenn ich drauf klicke bekomme ich nur Hyroglyphen..

Was ich auch versucht habe ist mit einem Tool von hier, konnte ich einen Schlüssel erstellen und konnte dann auch sagen entschlüssle mir die Datei...das Ergebnis war, das er mir in einem Ordner eine Datei Namens "Schlüssel eines Kunden" angelegt hat aber das ganze in einer BIN Datei war.....


Das sind bisher meine Erfahrungen zu diesen schei... Trojaner. Bin echt froh wenn der Spuk vorbei ist und eine Lösung gefunden ist aber ich denke wenn eine Lösung da ist, dann ist bestimmt schon wieder ein anderer unterwegs....

Lieber Gruß

Kleene

hallo!

eine bekannte von mir hat sich auch den trojaner eingefangen, den konnte ich mittels rescue-cd von kaspersky unschädlich machen, jedoch sind die verschlüsselten dateien geblieben und lassen sich auch mit den bis jetzt veröffentlichten entschlüsselungsprogrammen nicht wiederherstellen

in diesem fall versuchen die es über eine einkaufsbestätigung

die email habe ich abgespeichert und an virus@trojaner-board.de gesendet

lg
dejan

untenstehend die mail (header und text):

Received: from fmmailgate02.web.de ([217.72.192.227])
by sue.xoc.tele2net.at with esmtp (Exim 4.77)
(envelope-from <seif333@web.de>)
id 1SUrbL-0003pP-7a
for xxxxx.xxxxx@utanet.at; Thu, 17 May 2012 05:42:08 +0200
Received: from moweb001.kundenserver.de (moweb001.kundenserver.de [172.19.20.114])
by fmmailgate02.web.de (Postfix) with ESMTP id 136E51C4B3234
for <xxxxxx.xxxxx@utanet.at>; Thu, 17 May 2012 05:42:06 +0200 (CEST)
Received: from pc-server.PacificConcrete.local ([75.30.241.238]) by
smtp.web.de (mrweb002) with ESMTPA (Nemesis) id 0MQf77-1Sewly2Nfp-00U6aH;
Thu, 17 May 2012 05:42:06 +0200
Received: from sue.xoc.tele2net.at ([213.90.36.10])
by mary.xoc.tele2net.at with esmtp (Exim 4.77)
(envelope-from <seif333@web.de>)
id 1SUrbM-0007UA-8O
for xxxx.xxxxx@utanet.at; Thu, 17 May 2012 05:42:08 +0200
Return-Path: <seif333@web.de>
From: <seif333@web.de>
To: <xxxxx.xxxxxx@utanet.at>
Subject: Message has been disinfected : Mitgliedskonto 06610364468
Date: Thu, 17 May 2012 05:42:01 +0200
Message-ID: <CHILKAT-MID-e21f8baf-faae-793c-3d7c-236e8cb99d1b@pc-server.PacificConcrete.local>
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0000_01CD3EAD.E4181420"
X-Mailer: Microsoft Outlook Express 6.00.2800.1158
Thread-Index: Ac0z3wiun1jAfsMhT92itvPg2VZbIQ==
x-tele2-spam-relay-countries: DE ** US
x-spam-report: * -0.0 RCVD_IN_DNSWL_NONE RBL: Sender listed at hxxp://www.dnswl.org/, no * trust * [217.72.192.227 listed in list.dnswl.org] * 0.0 FREEMAIL_FROM Sender email is commonly abused enduser mail provider * (seif333[at]web.de) * -0.0 T_RP_MATCHES_RCVD Envelope sender domain matches handover relay * domain * 0.2 FREEMAIL_ENVFROM_END_DIGIT Envelope-from freemail username ends in * digit (seif333[at]web.de) * 0.0 LOTS_OF_MONEY Huge... sums of money * 0.0 TO_NO_BRKTS_MSFT To: misformatted and supposed Microsoft tool * 2.8 FORGED_MUA_OUTLOOK Forged mail pretending to be from MS Outlook
x-spam-status: No, score=3.0 required=8.0 tests=FORGED_MUA_OUTLOOK, FREEMAIL_ENVFROM_END_DIGIT,FREEMAIL_FROM,LOTS_OF_MONEY,RCVD_IN_DNSWL_NONE, TO_NO_BRKTS_MSFT,T_RP_MATCHES_RCVD
x-spam-checker: Spamassassin 3.3.2 on sue.xoc.tele2net.at
x-spam-level: xxx
x-spam-score-int: 30
x-virus-scanned: Yes, on sue.xoc.tele2net.at
x-tele2-dkim-check: header.i=@web.de adsp:unknown result:none
x-dcc-uta-metrics: sue.xoc.tele2net.at 32731; Body=1 Fuz1=1
x-provags-id: V02:K0:FAtE0G87+wAjxfEcdFTvgrgr1KKW5GCBIwGEUBY2d+K AMhG4K7TrNB89eA8rRz0k13BQZegcT8MAP9caTVcfkmtrzhgXw +NxQn2uVJZ7mdP9AXb74nhBlXvVPJFPnhuu4BKjMqJHkkYeMiD eUakdyZ0vlmbpZYlwvbUMtxx1VS1wbPU+K78KHOQJ4rMmPCn91 iduL30N8dn61+UJap1/UQ==

Dies ist eine mehrteilige Nachricht im MIME-Format.

------=_NextPart_000_0000_01CD3EAD.E4181420
Content-Type: multipart/alternative;
boundary="----=_NextPart_001_0001_01CD3EAD.E4181420"


------=_NextPart_001_0001_01CD3EAD.E4181420
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable




Sehr geehrte/r Kunde/Kundin,

Danke f=FCr Ihren Vertrag mit PelikanOnlineStore, nachfolgend finden Sie =
Ihre
Einkaufsbest=E4tigung.

Ihre Bezahlnummer: 236768401703=20
Artikel: Toshiba 1963006212 9669,01 Euro
Rechnungsname: Wie in Rechnungsdaten dargestellt


Zahlungsmethode: Lastschrift=09

Versandadresse und detaillierte Vertragsdaten finden Sie zwecks
Vorsichtsgr=FCnden im zugef=FCgten Ordner.

Die =DCberweisung wurde autorisiert und wird innerhalb 3 Tage =
abgeschrieben.=20
Kaufeinzelheiten und Widerruf Mitteilung finden Sie in beigef=FCgtem =
Anhang.


Ihr E-Mail-Support

Heinrich GmbH
Horner Stieg 75=20
73870 Potsdam

Telefon: (+49) 327 1507881
(Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr)
Gesellschaftssitz ist Altena
Umsatzsteuer-ID: DE955917598
Gesch=E4ftsfuehrer: Niko M=FCller

------=_NextPart_001_0001_01CD3EAD.E4181420
Content-Type: text/html;
boundary="-----_chilkat_c0e_c6d2_5e32ec8f.8a897bc7_.MIX";
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV=3D"Content-Type" CONTENT=3D"text/html; =
charset=3Diso-8859-1">
<META NAME=3D"Generator" CONTENT=3D"MS Exchange Server version =
08.00.0681.000">
<TITLE>Message has been disinfected : Mitgliedskonto 06610364468</TITLE>
</HEAD>
<BODY>
<!-- Converted from text/plain format -->

<P><FONT SIZE=3D2>Sehr geehrte/r Kunde/Kundin,</FONT>
</P>

<P><FONT SIZE=3D2>Danke f=FCr Ihren Vertrag mit PelikanOnlineStore, =
nachfolgend finden Sie Ihre Einkaufsbest=E4tigung.</FONT>
</P>

<P><FONT SIZE=3D2>Ihre Bezahlnummer: 236768401703 </FONT>

<BR><FONT SIZE=3D2>Artikel: Toshiba 1963006212&nbsp;&nbsp; 9669,01 =
Euro</FONT>

<BR><FONT SIZE=3D2>Rechnungsname: Wie in Rechnungsdaten =
dargestellt</FONT>
</P>
<BR>

<P><FONT SIZE=3D2>Zahlungsmethode: Lastschrift&nbsp;&nbsp;&nbsp; </FONT>
</P>

<P><FONT SIZE=3D2>Versandadresse und detaillierte Vertragsdaten finden =
Sie zwecks Vorsichtsgr=FCnden&nbsp; im zugef=FCgten Ordner.</FONT>
</P>

<P><FONT SIZE=3D2>Die =DCberweisung wurde autorisiert und wird innerhalb =
3 Tage abgeschrieben. </FONT>

<BR><FONT SIZE=3D2>Kaufeinzelheiten und Widerruf Mitteilung finden Sie =
in beigef=FCgtem Anhang.</FONT>
</P>
<BR>

<P><FONT SIZE=3D2>Ihr E-Mail-Support</FONT>
</P>

<P><FONT SIZE=3D2>Heinrich GmbH</FONT>

<BR><FONT SIZE=3D2>Horner Stieg 75 </FONT>

<BR><FONT SIZE=3D2>73870 Potsdam</FONT>
</P>

<P><FONT SIZE=3D2>Telefon: (+49) 327 1507881</FONT>

<BR><FONT SIZE=3D2>(Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 =
Uhr)</FONT>

<BR><FONT SIZE=3D2>Gesellschaftssitz ist Altena</FONT>

<BR><FONT SIZE=3D2>Umsatzsteuer-ID: DE955917598</FONT>

<BR><FONT SIZE=3D2>Gesch=E4ftsfuehrer: Niko M=FCller</FONT>
</P>

</BODY>
</HTML>
------=_NextPart_001_0001_01CD3EAD.E4181420--

------=_NextPart_000_0000_01CD3EAD.E4181420
Content-Type: application/zip;
name="Anhang.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="Anhang.zip"

UEsFBgAAAAAAAAAAAAAAAAAAAAAAAA==

------=_NextPart_000_0000_01CD3EAD.E4181420--




Sehr geehrte/r Kunde/Kundin,

Danke für Ihren Vertrag mit PelikanOnlineStore, nachfolgend finden Sie Ihre
Einkaufsbestätigung.

Ihre Bezahlnummer: 236768401703
Artikel: Toshiba 1963006212 9669,01 Euro
Rechnungsname: Wie in Rechnungsdaten dargestellt


Zahlungsmethode: Lastschrift

Versandadresse und detaillierte Vertragsdaten finden Sie zwecks
Vorsichtsgründen im zugefügten Ordner.

Die Überweisung wurde autorisiert und wird innerhalb 3 Tage abgeschrieben.
Kaufeinzelheiten und Widerruf Mitteilung finden Sie in beigefügtem Anhang.


Ihr E-Mail-Support

Heinrich GmbH
Horner Stieg 75
73870 Potsdam

Telefon: (+49) 327 1507881
(Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr) Gesellschaftssitz ist
Altena
Umsatzsteuer-ID: DE955917598
Geschäftsfuehrer: Niko Müller

@admins

WICHTIG!!!

Bitte den Anhang von norbt entfernen, da ist ein Trojaner drin!!!
Der wurde von meinem Kaspersky NICHT entdeckt!


@norbert

Keine Anhänge ohne Kennwort!


http://www.trojaner-board.de/attachm...1&d=1338410222

Danke für den Hinweis, bitte nächstes mal den Beitrag melden http://www.trojaner-board.de/images/buttons/report.gif
Danke. ;)

Hallo leahciM,

ich sitze gerade mit großen Augen vor Deinem Post :eek:
bezüglich des Anhangs von Norbert,
wo findest du in dem Paket einen Virus ?

Ich habe extrahiert:

btn-green.png
corners-btn.png
corners1.png
corners2.png
corners3.png
corners4.png
de-flag.png
de-image.png
ie6-7.css
jquery.main.js
main.html
McAfee.png
pays-de.png
style.css
Thumbs.db
ukash.png

damit wir über dass gleiche Paket sprechen.
dort ist keine ausführbare Datei enthalten (exe / pif / scr und Konsorten).

Ein kurzer Überflug hat mir den Anschein vermittelt, dass es sich dabei
um die HTML Seite handelt, die der Virus einblendet, wenn der Rechner
infiziert ist, jedoch nicht um den Schadcode selber oder irgendeine
Infektions / Crypt-Routine.

Ich würde um ein kurzes Feedback von Dir bitten, was du auf der VM
gemacht hast, damit es zu einer vermeindlichen Infektion gekommen ist.

Btw. die ältere Variante wird von Kaspersky garantiert erkannt,
ich konnte heute eine E-Mail mit der bekannten Rechnung.pif von
einem PC extrahieren und Kaspys-Alarmglocken haben sofort geläutet.
Daher gehe ich erstmal davon aus, dass du die main.html
im Browser geöffnet hast oder wir nicht vom gleichen Paket sprechen.

Vielen Dank fdy

Hier noch eine Erscheinungsform der neuen Trojaner-Variante:
Ergebnis: Verschlüsselte Dateien und die allseits bekannten verwurschtelten Dateinamen ohne "Locked"-Bezeichnung.
Beispiel/Vergleichsdateien der Verschlüsseldung siehe Thread "Dateien, die kein Locked im Namen haben" in der Rubrik "Plagegeister..." von madddy


Absender: mrloc

Als Betreff: Deine Dating-Agentur-Rechnung Nummer 138713487

Als Anhang: Eine Datei mit Namen "Abmelden.zip"

Besten Dank für Ihre Zahlung,

Sie haben gerade bei der Dating-Agentur Partnervermittlung für die Partnersuche mit Niveau: ElitePartner.ch die
Starmitgliedschaft bestellt. Die Summe in Höhe von 397,69 EUR wird in den
kommenden Tagen von Ihrem Konto abgetragen. Die Abrechnung erfolgt durch
Mepyment Ltd.


Sie sind jetzt für die kommenden 6 Monate Elitemember und können in voller
Grösse die Premiumleistungen nutzen.
Entnehmen Sie die Zahlungsaufforderung bitte dem Zusatzordner in der E-Mail,
dort finden Sie auch die Rechnungsdaten und Elitedienstvorteile. Falls Sie die
Starmitgliedschaft nicht mehr wollen, mailen Sie die Kündigung, mit der in der
beigefügter Datei, beigelegten Kündigungserklärung.

Wir wünschen dir viel Glück!

Mit freundlichen Grüßen Monika Haas
Kundendienst


Augsburg 68768 Deutschland
TEL: +49-119-93348212

Geschäftsleiter: Michael Maier
Inhaltlich Verantwortlicher gemäss § 6 MDStV: Wolfgang Peters
Datenschutzbeauftragter: Dieter Leitner
UST-Nr.: DE7732466231
Amtsgericht Stuttgart

Hallo fdy.

Geh bitte in die tro.zip. Dort ist ein Ordner "gkfouvtggpaaedq" und "tro" vorhanden. Im Ordner "tro" ist eine weitere ZIP-Datei "mafzvzmxsdmfqne.zip" vorhanden. Schau da mal rein -> "vhjgorkblydpuyqzgfcf.exe"

Achja, Datei in die VM. Ausgeführt. Passierte nix. Neustart --> siehe Bild. Ich habe keine html gestartet.


Michael

Hallo,

Mich hat der Virus PWS:Win32/Zbot.gen!Y auch befallen. Es geht garnichts mehr. Der PC fährt hoch aber sonst nichts. Ich habe den PC Aauch schon einige male im Abgeschotteten Moudus gestartet. Ich habe den PC Auch vom Netz genommen. Denn wenn ich ihn wieder anschließe geht ein Fenster auf vom Bundesamt und der Guva
Ich soll illegale Daten auf meinem Rechner haben....
Wie bekomme ich meinen PC wieder ans laufen???

Hallo Liebe Leute ,

ich habe hier nun auch ein Notebook wo verschlüsselte Dateien drauf sind durch den Virus. Mit scareuncrypt kann ich zwar eine schlüssel Datei erstellen aber er entschlüsselt mir keine Daten. Mit DecryptHelper kann ich kein Schlüssel erzeugen , da kommt immer die Fehlermeldung "Der Schlüssel konnte nicht bestimmt werden!" Wenn ich den erstellten Schlüssel von scareuncrypt nehme und einen Scan starte , stellt er mir auch ebefnalls 0 Dateien wieder her.
Hatte jemand zufällig genau das gleiche Problem und konnte es lösen??? Bei den Schattenkopien kann ich leider nur festellen das sein letzter Wiederherstellungspunkt ebenfalls schon von dem Virus betroffen:headbang::headbang: war. Hillllllfffeeeeee

PS: ich bin neu hier,versteh ich das richtig das man den admins auch die verschlüsselten dateien zu senden kann?

moin moin Betty371,
Du brauchst individuelle Hilfe.
Hier ist das Diskussionsforum, Dein Hilferuf geht hier schnell in der Vielzahl der Posts unter.

Eröffne ein eigenes Thema, individuell für Dich.
Ganz ober steht Hinweise:
Darunter auch folgender Link: Thema starten
Ein Teammitglied wird sich Deiner annehmen.
Denke aber bitte daran, dass hier Menschen Hilfe leisten, die auch ihrer geregelten Arbeit nachgehen müssen und ihre Freizeit opfern.
Nur für den Fall, dass sich nicht sofort jemend meldet.

Gruß Volker

erst mal an alle die zusenden wollen
wenn sie direkt über den browser das erleigen, mail öffnen, weiterleiten. ansonsten:
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.

bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

hallo!

noch ein posting von mir zu meinen ersten beitrag mit dem report im anhang, welcher vom virenscanner erstellt wurde

der trojaner hat alle persönlichen dateien (doc, xls, jpg, mp3, usw.) verschlüsselt und unbenannt in unzusammenhängende buchstabenkombinationen, zb: dNnspxujarsjXxUeEeV
ohne besondere endung

bis jetzt konnte ich die dateien mit keinem der veröffentlichten entschlüsselungsprogramme wieder herstellen

lg
dejan

Hallo,,,ich habe mir den auch dummerweise eingefangen.Habe das hier schon einige zeit verfolgt.heute habe ich mich registriert,,,,,Konnte aber endlich heute wenigstens die fotos und dokumente auf C: wiederherstellen.Viele Fotos von meiner ,vor 2 Jahren verstorbenen Mama.....Mit dem Programm Shadow explorer....Diesen Trojaner habe ich ( hoffentlich) mit kaspersky entfernt.Eigentlich seit ihr hier die einzigen die sich mit diesem Thema befasst und versucht den Leuten zu helfen.Hochachtung von mir.Macht weiter so.Echt cool....

Hallo an Alle

Bin so ziemlich neu hier und habe seid heute auch diesen Verschlüsselungstrojaner (über eine Mail von flirt fever) auf meinem Netbook.

Um mein Netbook wenigstens erstmal wieder zum laufen zu bekommen, habe ich im abgesicherten Modus eine Systemwiederherstellung gemacht.

Als weiteres hab ich mir das Programm Anti-Malware runter geladen und vollständig meinen MiniLappi überprüfen lassen.

Dabei kam dieses hier raus:

Trojaner C:Users\manjas\AppData\Local\Temp\glagpueepu.pre
Trojaner C:User\manjas\AppData\Local\Temp\lsnblhzzhh.pre

So. Nun habe ich zwar diese beiden Trojaner, kann aber damit nichts anfangen.
Sollen diese gelöscht werden oder in Quarantäne?

Als nächsten Schritt habe ich gelesen sollte man sich das Programm Decrypthelper runter laden. Hab ich auch gemacht. Version 0.5.3

Und jetzt kommt glaub ich das eigentliche Problem. Ich weiss absolut nicht, was ich da machen soll. Kann mir das jemand Step by Step hier schreiben?

Mfg
blueeyes

Ich hab 6 oder 7 Stück davon im Spamverdachtsordner auf GMX, geöffnet hab ich die Anhänge natürlich nicht, sollte also nichts passiert sein. Allerdings wüßte ich jetzt nicht, wie ich euch die Dinger zukommen lassen kann, sofern noch Bedarf besteht. Können plötzlich auftretende fehlgeschlagene Login-Versuche auf GMX etwas damit zu tun haben? Ich kann nämlich ausschließen, dass ich das war.

So nach dem ich fast 2 Wochen diesen Threat beobachtete, und ich dann gestern selbst eine Mail mit mit einem Link bekommen hatte, dachte ich mir, öffest Du mal den Link, und schaust was passiert.
Also der Firefox öffnete sich und zeigte eine Seite mit dem Hinweis, das nun Windows Security Client oder so ähnlich den Rechner nach Malware Scannen würde. Ca. nach einer Sekunde war der Spuk dann vorbei und Avast blockierte den Angriff.
Ich wette das ist die 2. Stufe des Rollup Tests um den Fiesling via Drive by zu verbreiten. Ich veröffentliche nun mal den Link dorthin.
Also bitte das Ding nur öffen wenn Ihr wisst was Ihr tut!!!
hxxp://rescuetrojansservant.in/9555d1a2792be496/11/
Wessen Rechner nicht meinen Schutzlevel hat, liest bestimmt die Scanmeldung während der Trojaner im Hintergrund Daten verschlüsselt.
Marckusg schau es dir an!

Hallo allerseits!
Mich hat es vor ein paar Stunden auch erwischt. Habe exakt das Bild was auf der ersten Seite des Threads zu sehen ist (das ich was bezahlen soll). die Mail kam angeblich von einer mir bekannten Seite, deshalb hab ich nicht gleich Verdacht geschöpft (war in der Adresse nur ein Letter anders). Ich habe mich nur gewundert, daß ich 6,5GB RAM-auslastung hatte und das System ausgeschalten, doch beim Neustart kam dann besagtes Startbild. Jetzt habe ich das Problem, daß schon einige Ordner den Zugriff verweigern auf C (u.a. Programme, mein User-Ordner). Leider komme ich mit dem Decrypthelper nicht weiter, da ich die Ordner ja nicht öffnen kann zum schlüssel erzeugen.
Da ich 2 Userkonten angelegt habe, komme ich noch in den Rechner rein, abgesicherter Modus geht auch noch.
Ich hatte mein System wegen CPU- und Boardwechsel erst vor 14Tagen neu aufgesetzt und eigentlich nicht schon wieder Lust, alles neu zu machen.
Werde gerne nach dem Schlafen mehr dazu posten - würde mich dann über Lösungsvorschläge sehr freuen.
Erst einmal gute Nacht, auch im Urlaub muss man mal schlafen.

moin moin blueeyes,
Du brauchst individuelle Hilfe.
Hier ist das Diskussionsforum, Dein Hilferuf geht hier schnell in der Vielzahl der Posts unter.

Eröffne ein eigenes Thema, individuell für Dich.
Ganz ober steht Hinweise:
Darunter auch folgender Link: Thema starten
Ein Teammitglied wird sich Deiner annehmen.
Denke aber bitte daran, dass hier Menschen Hilfe leisten, die auch ihrer geregelten Arbeit nachgehen müssen und ihre Freizeit opfern.
Nur für den Fall, dass sich nicht sofort jemend meldet.

Gruß Volker

moin moin,
oben unter Hinweise steht ein Link Sendet uns die Viren!

Gruß Volker

Hallo Zusammen, bin neu hier und habe auch Probleme mit dem Trojaner. Allerdings weiss ich nicht wie er komplett heisst, um mehr über ihn zu erfahren. Wisst Ihr wie der Trojaner eigentlich komplett heisst? "Neuer Verschlüsselungs-Trojaner Variante" kann doch nicht alles sein.

MFG

hi
@mails im spamordner oder mit link etc.
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du die mail über den browser abrufst, erst mal nur weiterleiten. mail öffnen da gibts dann ne schaltfläche
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

logs gehören ins forum.
der trojaner heißt
matsnu
oder trustezeb

Ich habe mittlerweile auf drei Trojaner Zugriff - allerdings diesmal nicht geöffnet :rofl:. Ich wollte diese Dinger an virus@trojaner-board.de sende bekomme aber: Permanente Error etc. vom Server zurück. :confused::heulen:

Ich habe mir doch nochmals meine Dateiordner angeschaut:

Der Trojaner hat mit aller größter Wahrscheinlichkeit zur Originaldatei erst einmal eine verschlüsselte Datei angelegt und dann die Original Datei gelöscht.

Auch hat das Ding unter Eigene Dateien bzw. Dokumente, Bilder, Musik, Video jede Datei angefasst, egal was, auch .exe!

Ich habe nun .exe Dateien und die verschlüsselte Datei dazu.

Im Download Ordner hat das Ding sich auch Microsoft Installationsdateien genommen - auch hier habe ich Paare.

Überhaupt habe ich einige interessante bzw. ungewöhnliche Dateien, als Paar von wenigen Byte bis zu 7000Kb!

Ich konnte auch noch Dateien finden (Word 2003) die er nicht angefasst hat - da war ich wohl nur schneller?

Mittlerweile glaube ich, dass er jede Datei auf der HD, aber erst einmal die Benutzerdateien / Eigene Dateien sich greift - heißt unter Windows 7/64bit sowieso alles anders?
Es sei denn, dass Ding kann die Benutzer Verzeichnis, Download etc. unterscheiden. Dann frage ich mich aber wieso greift es meine Backup HD mit "nicht typischen" Verzeichnissen-Namen an?

Na, ja ist mir alles zu hoch? :headbang:

Grüessli
Wolfgang

moin moin Wolfgang,

der Bösewicht hat überall dort Zugriff, wo es die Rechte zulassen.
Bei der Installation des Betriebssystems bzw. bei der Personalisierung vorinstallierter Systeme erhält der eingerichtete Benutzer automatisch administrative Rechte.
Auf 99% der PCs bleibt das auch so.
Vielfach, bei mir auch :) , wird die Benutzerkontensteuerung so modifiziert, dass diese lästigen PopUps mit der Bestätigung des Administrators unterbunden werden.
Wenn Du als Benutzer nun so eine Schadsoftware ausführst, dann kann sie ohne Warnhinweis als Administrator arbeiten.
Der Zugriff scheitert nur dort, wo er exklusiv dem Benutzer SYSTEM vorbehalten ist, da SYSTEM in der Hirarchi über dem Administrator steht.

Der Virus kann also alle Dateien dort manipulieren, wo es der Administrator auch kann.

Natürlich kann man über Hintertürchen bei einem Benutzerwechsel auch als Benutzer SYSTEM agieren, das ist aber eine andere Sache.

Gruß Volker

GMX läßt mich das verseuchte Ding aber nicht weiterleiten und sagt folgendes:

Ok Vielen Dank schonmal dann werd ich das mal machen

Liebe Grüße

Hallo Forum,
mich hat es auch erwischt. Gestern hatte ich eine Nachricht in meinem Outlook bezüglich einer Rechnung. Die Einzelheiten zu dem Rechnungsbetrag von etwa 400 EURO sowie dem zu belastenden Konto stünden im angeblich im Dateianhang (zip.Datei). Ich hatte es eilig und habe mich zum öffnen der Datei überrumpeln lassen. Da die Datei aber nicht entpackt werden konnte, habe ich die Mail gelöscht. Soweit war dann auch alles in Ordnung, ich konnte ohne Beeinträchtigung weiterarbeiten.

Heute Morgen habe ich das Laptop wieder eingeschaltet und bekam dieses Verschlüsselungsbild (Willkommen bei Windows Update) und nichts ging mehr. Ich habe mit einem alten Rechner dann nach Lösungen im Netz gesucht und es wurde mir empfohlen, zunächst über die Miccrosoftseite den die neueste Defenderdefinition (10 Tage Version) zu laden. Nach mehrmaligem Systemstart an dem infizierten Rechner habe ich dann als erstes das System zu einem früheren Zeitpunkt wiederhergestellt und dann diesen neuen Virenscan laufen lassen. Ergebnis: 4 Funde. Dann habe ich nach den Dateien geschaut und festgestellt, dass offensichtlich alle Dateien in verschiedene Buchstaben/Zahlen-Kombinationen umbenannt sind. Ich kann die Dateien nicht öffnen, auch wenn ich weiß, mit welchem Programm das eigentlich gehen müsste (in manchen Ordner sind nur .doc, in anderen Bilder, usw.). Ich versuche nun die Schritte wie hier im Forum angegeben, zur Zeit läuft ein Malwarebytes-Scan der auch schon ein infiziertes Objekt gefunden hat.
Im Papierkorb befinden sich Dateien die ich mal gelöscht habe (Verknüpfungen, exe.Dateien die mir bekannt sind und da hingehören und eben auch einige kryptische Dateibezeichnungen). Eine der kryptischen Dateien ist 100 MB groß, dass könnte die Ursprungsdatei sein, weiß ich aber nicht.

Ich bin ziemlich unerfahren in solchen Dingen und freue mich, wenn ich hier schnelle Hilfe bekomme.

Gruß
RasKi

Hallo Leute,
Ich habe auf meinem Laptop genau diesen Trojaner und kann auf nichts mehr zugreifen. Leider kenne ich mich gar nicht aus mit sowas. Bitte helft mir!!! Ich habe ein Acer Notebook mit win7, 32 Bit glaube ich.
Hilfe!!!

@salka,

siehe oben unter Hinweise, beginnend mit Punkt 1.
Dann wird Dir auch geholfen.
Schau auch mal was darunter steht, unter Diskussionsforum:

ich habe nun versucht, einen großen Teil der verschlüsselten Dateien zu kopieren um dann anschließend mit shadowexplorer daran arbeiten zu können. Dabei konnte eine Datei (mit wirrer Buchstabenbezeichnung als Dateiname) nicht mit Dateieigenschaften kopiert werden Meldung:

Eigenschaftsverlust

Die Datei xnjxnlvplvjxnA verfügt über Eigenschaften, die nicht an den neuen Ort kopiert werden können.

Typ: Datei
Größe: 504kb
Änderungsdatum: 15.11.2011

Das Datum liegt definitiv vor dem Befall. Der angegebene Dateiname ist 1:1 abgetippt. Hilft das (vielleicht eine Routine?)?

@RasKi,

Buchstaben/Zahlen-Kombinationen ?

Das ist neu, bisher bestanden die Namen ausschließlich aus alphanumerischen Zeichen, also Groß- und Kleinbuchstaben.

Kommst Du noch irgendwie an die Infektionsquelle, sprich Mail?
Schicke sie an @markusg, folge dem Link von oben Sendet und die Viren!.

Gruß Volker

Ok das tut mir leid, habe das nicht gesehen. Ich komme nur per Smartphone ins Internet und überblicke da nicht alles.sorry.
Wie kann ich denn diese Software runterladen wenn ich gar nicht ins Internet komme mit dem Laptop? Auch der abgesicherte Modus funktioniert nur ohne Netzwerk.
Grüße

@salka,
hast Du auf dem Notebook Dateien, bei deren Verlust Du an Selbstmord denken würdest? (kleiner Scherz)
Ich meine Dateien, die für Dich sehr sehr wichtig sind?

Wenn nicht, kannst Du das Notebook mit F10 in den Auslieferzustand versetzen.
Dann ist es sauber, allerdings auch gereinigt von allen Dateien, die Du auf c:\ gespeichert hattest.

Ansonsten kann Dir eventuell ein/e Freund/in mit Netzzugang behilflich sein.

Gruß Volker

@Volker
Ja ich habe sehr wichtige Daten drauf, die sind aber alle auf d: gespeichert und jetzt verschlüsselt... Bleiben mir diese erhalten, wenn ich den Laptop in den Auslieferungszustand versetze?
Entschuldige die dummen Fragen, ich kenn mich nicht gut aus;)
Gruß, Salka

Ja, die Dateien bleiben bei einer Formatierung von c: erhalten.

Ich bin im Übrigen ebenfalls von der neuen Version gebeutet, die die Dateien mit Gross- und Kleinbuchstaben (keine Zahlen) verschlüsselt.

Bisher konnten weder Avira-RansomFileUnlocker-1.0.1, scareuncrypt, rannohdecryptor.exe noch DecryptHelper-0.5.3.exe etwas entschlüsseln, geschweigedenn einen Schlüssel generieren.

Die Datei habe ich leider nicht mehr, da ich die Mail nach dem Herunterladen der $§%§$!-Datei direkt in Outlook gelöscht und c: formatiert habe.

Windows wollte eh mal wieder neu aufgesetzt werden und Urlaub hab ich auch ab heute, aber das hilft mir wenig, wenn ich die Dateien nicht entschlüsseln kann.

@salka,
woher weißt Du, dass deine Daten auf D: verschlüsselt sind?
Bisher haben hier zwei Leute berichtet, dass die Daten zwar umbenannt aber nicht verschlüsselt wurden.
Vielleicht hast Du ja Glück.

@RoDoDo,

Hast Du schonmal hier gelesen?
Vielleicht kommst Du damit weiter.

Gruß Volker

hallo

ich habe 3 mails dieser art bekommen und blöderweise das letzt im anhang geöffnet.
ich kann mein windows nicht mehr starten, weil der verschlüsselungs trojaner sich öffnet.
ich habe bei euch einige beiträge gelesen und verschiedenes davon versucht - aber vergeblich.
ich kann weder im abgesicherten modus (F6 taste) noch von einer cd starten - bei mir geht gar nichts und ich kenn mich leider zu wenig aus.
bitte helft mir
:heulen:

hi, dann ist die datei in der mail jetzt bekannt, bitte aber für neuen spam vor merken

@isabella 38
leite die mails mal an mich weiter.
für alles andere, im bereich logfiles nen thema eröffnen bitte

@ Undertaker

Ich habe auch so ein Buchstaben Wirwar ein Beispiel ist "AnUygfsLdupOeJTrD" oder "EUdUDNJjJfJJAAJj" oder "lXgevtDQXOsJar"

Leider habe ich noch keine Möglichkeit diese wieder lesbar zu machen....meine Musik konnte ich aber wieder bekommen, indem ich einfach die Endung mp3 dazu gemacht habe, was aber bei Textdateien und Bildern nicht geht....

Wenn es euch hilft, bin ich gerne dazu bereit euch mal eine Liste mit den Buchstaben Wirwar zu machen...

kann leider die mails nicht öffnen, weil ich gar nichts hochfahren kann - ich schreibe von einem anderen computer
werde es im logfiles probieren - danke

@Undertaker: Ja, habe ich, aber leider ohne Erfolg. JPEGsnoop mag nicht funktionieren und Schattenkopien sind deaktiviert.

So wie es aussieht, muss ich wohl ohne die Dateien auskommen bis einer von den Grossen die vorhandenen Tools aktualisiert.

So, ich habe es nun dank Systemwiederherstellung wieder am Laptop ins Internet geschafft.
Ich sehe dass alle Dateien verschlüsselt sind, da ich keine mehr öffnen kann und alle wild mit Groß- und Kleinbuchstaben umbenannt sind. Vorher war das auch schon im abgesicherten Modus erkennbar;)
Gibt es eine Möglichkeit, diese Daten zu retten? Mit den oben genannten tools bekom ich das nicht hin:(

@Kleene,

Das mit den MP3s wurde hier ja bereits oft erwähnt.
Dem MP3-Decoder machen die defekten 12kB eben nichts aus.

Für TXT und JPG oder andere Dateiformate gibt es noch keine Standardlösung.

Der Einzige Weg führt dezeit über Schattenkopien.
Lies mal hier nach.

Wie und wo sende ich meine OTL-Berichte? (Ich durchschaue das Forum noch nicht so ganz)
Ich habe das jetzt mal scannen lassen.

@salka,

Klicke oben auf den Link Thema starten, eröffne Dein Thema und füge die Scanfiles ein.
Es wird sich jemand um Dich kümmern.

Die o. g. acht Tools helfen nur bei verschlüsselten Dateien mit dem Präfix locked-, sonst nicht.
Ansonsten gilt das gleiche, wie oben für die Kleene.

Gruß Volker

@all
erst mal hallo an alle.Ich bin neu hier und hoffe das Ihr mir helfen koennt.Ich habe mir heute den Trojaner eingefangen und brauche 2 Dateien um den Schluessel zu extrahieren.

C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\Blue hills.jpg
C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\TxoXdJptaEoQUvpsnED

Mein System:Win7 Premium Deutsch

Wenn mir die jemand zu verfuegung stellen koennte waehre ich sehr dankbar.

Viele Gruesse

Joerg

bitte einfach mal lesen bevor man schreibt, solche dateien können wir nicht entschlüsseln im moment.
du kannst bei bild und mp3 dateien aber mal die endung hinzufügen, dann sollten diese zumindest zu öffnen sein.
außerdem die infektionsquelle senden.
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

Hallo ich bins nochmal,

also das mit der Schattenkopie hat irgendwie nicht funktioniert....er zeigt mir die Dateien die Betroffen sind nicht an...entweder bin ich zu blöd dafür oder es geht wirklich nicht....

Das es für Textdateien noch keine Lösung gibt das weiss ich....


@ Markus

Kann ich die infizierte Mail nicht einfach an dich weiterleiten, dann müsstest du die doch auch bekommen oder?

weil wenn ich die mail markiere, kann ich nicht speichern....


Ich hab grad gesehen das ich in meinem anderen E-Mail Acount auch wieder so eine habe...also ich kann jetzt zwei anbieten...einmal bei gmx und einmal bei web

Servus zusammen,
gestern war der Laptop tran.
Denn Trojaner glaube ich gefunden zu haben.

hab in an virus@trojaner-board.de gesand in einer, wie gewünscht als ZIP DATEI.
(D8CBDBD3025879E42DCB-Trojaner-2012-05-31.zip)

Hoffe ihr könnt damit was anfangen.
Es handelt sich bei diesem Trojaner um die Variante, die Daten umcodiert alphabetisch ohne Dateiendung

z.B.:

DtEAsqrAgdsVXdjDUg


Als Tip für alle, mit dem Shadowexplorer konnten wir die Daten wieder herstellen.
ShadowExplorer.com - About

@Kleene,

hast Du Dir die Videos von @pcab50 angesehen?

http://www.trojaner-board.de/115551-...tml#post835551

Dann kannst Du nachvollziehen ob Du unwissend bist oder ob Schattenkopien bei Dir vorhanden sind.
Hast Du Dir den ShaowExplorer runter gekaden?

Hallo an alle Experten und Betroffenen,

nachdem ich hier nun seit gestern fleissig mitgelesen habe, wollte ich doch auch endlich mal meinen Senf dazuabgeben. ;)

Es erwischte mich dummerweise gestern Abend, konnte das Fenster mit der Zahlungsaufforderung im abgesicherten Modus mit Netzwerk umgehen und habe mir dann Malewarebytes heruntergeladen, laufenlassen und nach dem Fund, war es zumindest erstmal wieder möglich den Laptop normal zu starten.

Blieb also noch das grosse Problem mit den verschlüsselten Daten!!! Denn auch ich hatte leider nie eine Sicherung gemacht!:headbang:
Meine Verschlüsselungen waren rein wirre Buchstabenkombis ohne Endungen ( vorher mp3,mp4,odt,txt,jpg usw.) und kein Tool konnte da irgendwas lösen.
Die Funktion Schattenkopien war leider ausgeschaltet....und bevor ich es endgültig aufgeben wollte, versuchte ich den Shadow Explorer und siehe da:
Ich konnte doch glatt meine Daten ( Fotos, Songs, Texte, Firefoxlesezeichen usw.) wiederholen!!! War zwar etwas Zeitaufwand, aber es hat sich für mich gelohnt. Also versucht es bitte mal damit! Vielen Dank möchte ich hiermit pcab50 aussprechen, dass er das so toll im Videoformat erklärt hat!:daumenhoc

Mir ist übrigens ausgefallen, dass sich diese Buchstaben überall mit hereingeschlichen haben....habe mal hier und mal da was gesehen und auch mit Shadow Explorer ausgetauscht. Letzlich zeigt mir weder AntiVir, noch Malewarebytes etwas Schlechtes an, ich bin mir aber irgendwie nicht sicher, ob dieser Virus nun von mir gegangen ist oder nicht!?:rolleyes:

Gibt es eine Möglichkeit zu sehen, ob ich nun clean bin??? Möchte mir natürlich gerne das Neuaufspielen usw. gerne sparen.

Vielen herzlichen Dank für eine Antwort und haltet weiterhin tapfer durch und ärgert euch nicht zu sehr!

Liebe Grüsse, LadySa

Sorry Volker..... mein Fehler:stirn:!
Die Dateien sind nur in wirren Groß- und Kleinbuchstaben kompiliert worden. Ich habe inzwischen mit dem shadow-explorer ganz gute Ergebnisse erreicht. Aber manches Foto scheint weg zu sein. Aber die wirklich wichtigen Dinge sind wieder hergestellt (office-Dateien):Boogie:. Ich arbeite mit Windows 7 home / dell und benutze für den Email-Verkehr MS-Outlook. Über die Suche habe ich auch schon die zip.Datei (Leistungen.zip) gefunden. Nun muss ich MS-Outlook wieder herstellen und dann versuche ich die Email an Marcus zu schicken. Ebenso habe ich schon eine otl.txt, eine extras.txt und eine mbam-log-***.txt erstellt. Soll ich die gleich mitschicken oder dazu ein neues Thema eröffnen?

Gruß
RasKi

Ich kann die .pst von outlook nicht mit dem Shadow-Explorer wieder herstellen. Irgendwie stimmt der Pfad der im SE angezeigt wird nicht mit dem des Explorers überein.
Folglich kann ich auch den Ursprungsanhang nicht senden. Er ist aber noch da... weiß jemand Rat?

Dann ist mir auch aufgefallen dass die umbenannten Dateien alle in den Eigenschaften das Erstellungsdatum 13. Februar 1601, 09:28:18 aufweisen. Damals hab´ ich meine Daten aber noch in Stein gemeißelt. Es hat also etwas mit dem Trojaner zu tun. JanineM hat das auch schonmal gepostet.........

Ich denke schön langsam können wir uns damit befassen, welche möglichkeiten es noch gibt, seine daten zu retten, bevor man die kiste platt macht.
Hat schon wer verschiedene jpeg repair tools versucht?

an anderer stelle habe ich etwas von einer RAW-RECOVERY-Variante der Ganzen Platte gehört.

Hat dazu wer infos?

grüße und gute ncht.

hallo. habe auch die neueste version 1.170.1 ist aber wohl schon entfernt durch antivir und systemwiederherstellung,aber dateien sind verschlüsselt.es ist nix mehr sichtbar(beispiel (erJ0QreLstaPt)also kombi aus großen und kleinen buchstaben.bin echt verzweifelt.die tools hab ich probiert,aber klappt bei mir nicht.bin kein profi:-(danke für eure hilfe

@ Undertaker

Also ich habe mir das Video angeschaut und habe alles Step by Step gemacht wie es beschrieben wurde.

Solangsam habe ich mich damit abgefunden das es im Moment keine Lösung für das Problem gibt.


Ich bin nur voll genervt von den Mails....die wo ich jetzt noch habe, habe ich an Markus gesendet...

Ich habe noch eine in meinem Web.de Konto aber da komme ich im Moment nicht rein, weil er mir dann sagt das mein Browser ein Befehl sendet was nicht verstanden wird.

Lieber Gruß

Kleene

ich habe jetzt noch den ESET Online-Scanner durchlaufen lassen und der sagt folgendes ( Ich hoffe ich nerve nicht,sondern helfe euch)


C:\$Recycle.Bin\S-1-5-21-4059222336-2335840329-65277441-1004\$RMDNEEL.zip probably a variant of Win32/Agent.LMXRIUT trojan
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarApp.dll a variant of Win32/Toolbar.Babylon application
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarEng.dll Win32/Toolbar.Babylon application
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarsrv.exe probably a variant of Win32/Toolbar.Babylon application
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll Win32/Toolbar.Babylon application
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll Win32/Toolbar.Babylon application
C:\Program Files (x86)\FoxTabMusicConverter\AudioConverter.exe a variant of Win32/InstallCore.A application
C:\Users\Marie\AppData\Local\Temp\4ECE4740-BAB0-7891-A477-E28AFEFBFCAE\MyBabylonTB.exe Win32/Toolbar.Babylon application
C:\Users\Marie\AppData\Local\Temp\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbar4ie.exe Win32/Toolbar.Babylon application
C:\Users\Marie\AppData\Local\Temp\is1438683437\MyBabylonTB.exe Win32/Toolbar.Babylon application

Hi,

habe den Computer im Abgesicherten Modus (F8) hochgefahren dann eine Widerherstellung gemacht.Dann habe ich laut Anleitung von PCAB50 (Vielen Dank PCAB50) die Dateien mittels Schatenkopie wiederhergestellt.Werde jetzt das System neu Installieren.

Hier die Anleitung von PCAB50

http://www.trojaner-board.de/115551-...tml#post835551

Viele Dank an alle

Joerg

@Shorty86
@all
das unter forum ist nicht für logs, poste die bitte da, wo sie hingehören
steht ja deutlich diskusionsforum nicht logfiles drann.
@Kleene86
ja kannst du
@all die noch gepostet haben.
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

Also, so wie es aussieht, scheinen viele, die diese Buchstabenverschlüsselung haben, ganz gut zu fahren mit Shadow Explorer! :)

Soll ich denn nun ein neues Thema eröffnen, oder kann mir so jemand sagen, wie ich nun noch schauen kann, ob da noch etwas ist oder nicht? Die Virenprogramme sagen alle, dass da nichts mehr ist.

Dankeeeee schööööön!!

P.S. Die böse Mail ging gestern an Markus raus...

Hallo,

ich habe eben bei einem "Kunden" etwas interessantes diesbezüglich bemerkt, was mir vorher noch nicht aufgefallen war/ist.

MalwareBytes fand folgendes:
C:\Users\"Benutzername"\Downloads\sUgsyxAtQGJsuo (Adware.Bundler)

MalwarBytes war also in der Lage eine zuvor (vor dem Angriff/Übergriff) nicht verschlüsselte Datei (vermutlich eine .EXE) als etwas "schädliches" zu identifizieren.
Eventuell hilft dies auch einen Schritt weiter.
Ich habe nun auch schon pro Tag bis zu 5 Anfragen die sich auf diese Verschlüselten Dateien beziehen.

Bin gespannt wann es eine Lösung gibt, ob es eine gibt und ob/wie man evtl. noch helfen kann (Mir und Euch).^^


Grüße,
Simon

Nachdem ich gestern drauf reingefallen bin, habe ich heute erneut eine Mail mit diesmal sogar zwei Anhängen bekommen und diese entsprechend an die angegebene Mailadresse von weitergeleitet.

Keiserslautern?

Servus zusammen,
meine Freundin ist dummerweise auch auf der Trojaner reingefallen.

Hab alles auf einen nackten Rechner nachsimuliert und schicke euch die komplette Geschichte per E-Mail !

Die Datei die ich euch schicke heißt "Trojanerhilfe.7z"

Dort enthalten ist sind folgene Files:
Orginal Zip Datei "Bescheid.zip" mit dem Inhalt "bescheid.com"
die Datei die erstellt wird wenn die com Datei ausgeführt wird "Trojaner nach installation als Zip Datei.zip"
den CMD promt als Jpg bei der Ausführung
sowie eine txt Datei mit jeglichen Informationen die ich sammeln konnte.

Des Weiteren schaltet der Trojaner die Firewall aus ! diese geht dann nur über den Gruppenrichtlinieneditor wieder an !

Hoffe ich konnte euch helfen und ihr könnt meiner Freundin helfen.

Desweiteren hänge ich hier diese Info an.

VORSICHT IN MEINEM ANHANG IST DER TROJANER ALS ORGINAL UND ALS EXE !!!

Lieben Gruß

Kup

Anhang entfernt....

cad

Hallo markus!

Sorry,aber ich weiß weder was ein Logfile ist noch das andere was du meintest...da es hier um den Trojaner geht dacte ich,ich wäre richtig.
Ich bin Krankenschwester,aber habe wenig Ahnung von Laptops.Wollte nur helfen...

Naja.. dafür kennst du dich mit Infektionen aus ...

(SCNR = sorry, could not resist .. ) (grins)

Hi Markus,

hab dir eine pdf Datei aus Backup und das verschlüsselte Pendant per Mail zugeschickt.

Saß heute 8Std vor dem Rechner meines Kumpels (windows 7 Prof 32Bit), da bin ich echt froh das ich einen Mac habe...
Den Trojaner habe ich mit NOC wegbekommen, hab die Festplatte ausgebaut und an einem anderen Rechner bereinigt.

Jetzt ist nur noch das Problem mit den verschlüsselten Dateien zu lösen, werde morgen nochmal hinfahren und ShadowExplorer ausprobieren, die Beispieldatei hilft hoffentlich dabei die Verschlüsselungsmethode herauszufinden.

Gute N8 an alle "Geiseln".

MfG, Babak

Ich habe auch die neueste Variante von diesem Mistding.
System (XP Pro SP3 ist bereits neu installiert - auf neuer Platte) und ich tüftle nun an der Rettung der Daten.

Das "infizierte" System habe ich noch - ich habe die Platte ausgebaut und eine neue für die Installation verwendet.

Was mir eben aufgefallen ist:
Ich habe mit RECUVA einfach mal ganz platt versucht, ob ich vielleicht eine gelöschte Datei von der alten Platte bekomme, mit einem Datenstand von vor dem Trojanerbefall um zu sehen ob ich so vielleicht erstmal teilweise was brauchbares wiederherstellen kann.

Ich habe eine Datei mit dem Muster "[Dateiname].xls.[Nummer].tmp" gefunden, also ein Sicherungskopie einer Excel-Datei die wohl gelöscht wurde - 1 Woche vor dem Trojaner.

Nach dem Wiederherstellen dieser Datei hab ich sie geöffnet:
Alles genauso kryptische Zeichen wie im "verschlüsselten" Original!

Das spricht doch eigentlich für die MFT-Theorie - also daß der Trojaner nicht auf die Dateien, sondern zentral und tiefer am System herumgepfuscht hat, oder?

@TFO1974,

nö, allein aus der verhunzten TMP läßt sich nicht kausal auf das Wirken des Schädlings schließen, schon garnicht darauf, dass er an den FileTables dreht.

Volker

Schattenkopien - funktioniert!
 

Hallo,
habe mir den aktuellen Verschlüsselungstrojaner eingefangen, konnte alle Viren beseitigen und jetzt sogar Anhand der Schattenkopien alle Dateien wiederherstellen!:party:
Also mein Tipp - nach den Schattenkopien suchen. Ist hier im Forum schon beschrieben.

Gruß, André

Hey Andre,

gute Idee dafür muss diese Option aktiviert gewesen sein und wenn dies nicht war dann gibt es keine Schattenkopien der befallenen Dateien !!!

Ich habe nicht viel Ahnung von PCs aber so wie ich das jetzt verstanden habe, habe ich keine Schattemkopien und kann somit auch keine Verschlüsselungen entschlüsseln....

Ich hoffe das es bald eine Lösung gibt....

Auch wollte ich mal bei allen bedanken, die Ihre Freizeit opfern um solchen Dingern den gar auszumachen....

Eine andere Frage habe ich noch, wo kann ich sehen ob ich diese Option aktiviert habe?

Liebe Grüße

Kleene

Du liest etwas darüber, dann weiß du, dass es das offensichtlich für dein OS nicht gibt.
Du hast noch kein eigenes Thema eröffnet, weiß eigentlich jmd welches BETRIEBSSYSTEM Du verwendest? :rolleyes:
Man kann sehr viel Smalltalk hier machen, v.a. wenn alle persönlichen Dateien verschlüsselt sind stellt sich aber die Frage was du besprechen möchtest, willst du nur small talken oder vernünftig Computerprobleme schildern - wenn letzteres sollte man zumindest mal seine Windows-Version nennen :pfeiff:

Ich habe alles was mir hier angeboten wurde und was andere gesagt haben selbs versucht....

Ich habe Windows 7 Starter 32 Bit....

Ich habe mir auch angebotene Hilfevideos angeschaut, wo alles erklärt wird....

Ich wollte keinen unnötigen ärger verbreiten und bin nur daran intressiert meine Daten wieder zu bekommen....

Also wenn ich ärger verbreitet habe, dann tut mir das leid....

Ich wusste nicht das es eine Rolle spielt welches BS man hat, wie gesagt so fit bin ich auch wieder nicht.....

Sry ich hab das nicht gelesen deine Info über Windows...
Wo hast du das noch gepostet? Nur um zu sehen, was ich übersehen habe

Hi, nein du hast nichts überlesen....ich hatte es noch nicht gepostet weil ich nicht wusste das es so eine große Rolle spielt....

Ich werde mir jetzt noch mal die Rubrik "Wie man Fragen richtig stellt" durchlesen,damit es nicht wieder zu Problemen kommt....

Sollte ich lieber ein neues Thema aufmachen?

Hey servus kleine um deine Frage zu beantworten.

Die Schattenkopien bringen deine Daten nicht wieder und können die VErschlüsselung auch nicht entschlüsseln.

Die Schattenkopie ist eine Art von Backup eine Datensicherung für einzelne Dateien bzw Ordner die eine alte Datei wiederherstellen kann. Ein Beispiel

Gestern hieß eine Datei "Servus.txt" und wurde heute durch einen Trojaner in "huasiodfasdhsadiz" verschlüsselt

Dann kannste mit der schattenkopie die Datei auf das gestrige Datum zurücksetzen. Der Inhalt wäre dann der alte obwohl die diese vielleicht sogar heute bearbeitet hättest.

Ich weiß auch nicht ob Windows 7 starter diese Option überhaupt hat, denke eher nicht. Kannst trotzdem mal nachgucken.

Die Optzion findest du folgendermaßen:

Klicke unten Links auf Start dann gehste mit der Maus auf "Computer" und drückst die rechte Maustaste. Dann "Eigenschaften", dann klickst du mit einem Linksklick auf erweiterte Systemeinstellungen. Es erscheint ein neues Fenster. Dort klickst du oben in den reitern auf Computerschutz.
Etwa in der mitte siehst du unter "Schutzeinstellungen" welche Festplatten diese Option aktiviert hat. und kannst diese option für die Zukunft auch dort unter "Konfigurieren" aktivieren. Musst vorher nur die jeweilige Festplatte auswählen.

Wenn du auf konfigurieren klickst erscheint wieder nen Fenster. Um wir klich für jede Datei eine Schattenkopie zu erstellen musste die option "Systemeinstellungen und vorige Dateiversionen wiederheratellen" aktivieren.

Nun klickste überall auf okay und auf dem Zeitpunkt haste erst die Schattenkopien. Also mache es in Zukunft kurz nach der neuinstallation des Systems.

Grüße

Kup

Servus,

gehöre jetz auch zu den Zwangsverschlüsselten. :rolleyes:

Hab gesehen, dass bisher nur Teile auf meinen verschiedenen Laufwerken verschlüsselt sind, der Rechner wohl Stück für Stück verschlüsselt wird.

Jetzt zwei Fragen dazu, in der Hoffnung das das nicht auf den 48 Seiten vorher schon erklärt wurde.

Die erste Frage wäre, ob nur verschlüsselt wird wenn ich das infizierte System starte oder auch bspw.die betroffene Platte als externe Festplatte anschließe?

Einige Daten konnte ich auf einen USB-Stick kurzfristig noch überspielen und habe dann den Rechner heruntergefahren, kann ich die nun auf einem anderen Recher öffnen oder können die Dateien infiziert sein / die Verschlüsselung auf andere Rechner überspringen?

Man sollte so langsam mit dem Destruktivsten rechnen, was man sich vorstellen kann
Daher auch die automatische Widergabe auf allen Laufwerken deaktivieren - Backuplaufwerke nur dann einhängen wenn man sie braucht, mehrere Generationen verwenden!!!
Aber wem sag ich das. MS muss ja sein Windows so ausliefern, dass ja kein Klick mehr gemacht werden muss, wenn jmd eine CD, DVD, ext. Platte oder USB-Stick ansteckt. So ein OS wie Windows ist schon sehr praktisch, es macht alles was es soll sehr zuverlässig, welche Sicherheitsprobleme sich ergeben, darum können sich ja andere biiiiiiiiep drum kümmern :schrei: und vor allem ist die Ausführbarbeit nur an der Dateiendung festzumachen :stirn: :balla:

So Leute ich geh erstmal kotzen und dann schlafen. :mad:
Gute Nacht auch nach Redmond :pfui:

Mein System wurde leider auch durch so einen Trojaner verseucht. Mittlerweile läuft der PC wieder, aber bevor ich ihn neu aufsetze würde ich doch gerne meine Daten wiederherstellen wollen...

Die Dateien scheinen nur umbenannt worden zu sein. Wenn ich sie jedoch versuch wieder umzubennen, können sie nicht geöffnet werden. Scheint so als wäre der Header defekt....

Als Beispiel für eine Umbennenung: "EEEppxxJJAAeeVVrrnn"

Hat jemand vielleicht eine Idee wie ich diese "retten" kann?

lg

Servus

das Problem hat jeder von uns ! :party:

wirst dich wohl gedulden müssen.

:pfeiff:

Habe gerade eine Rechner mit folgenden Symptomen rein bekommen:

W7 Home bootet nicht mehr,
Kunde hat vorher einen E-Mail-Anhang geöffnet,
Dateinamen sind NICHT verändert, aber Dateien sind nur noch schrott.

Virenscan mit Eset und Malwarebytes von windows PE aus läuft noch.

Hoffentlich sind die Schattenkopien aktiviert gewesen, daß werde ich aber erst
wissen wenn Windows wieder gestartet werden kann.

Wenn der Scan durch ist, werde ich die Quarantäne-Dateien zippen und euch senden.

ups, Eset und Malwarebytes haben es diesmal nicht geschafft ! Bootmanager ist außerdem immer noch defekt -> muß wieder eine neue Variante sein -> Das "Windows-Update U-Kash-Bild" ist aber gleich geblieben

Kurze Frage, der Virus ist HDD-basiert und nicht irgendwo im RAM oder so? Sprich ne neue Platte und Backups von anderen Platten müsste erstmal wieder sauber gehen?

@grahlke

Hatte auch schon so einen Rechner hier. Glaube aber erhlich gesagt, dass es sich hier eher um einen "Bug" des Trojaners handelt:

- Verschlüsselt womöglich ausversehen Bootmanager *ups*
- Datei-Umbenennung findet relativ spät statt, die Daten werden schon vorher verschlüsselt. Wenn der Trojaner zu diesem Zeitpunkt unterbrochen wird, findet keine Umbenennung mehr statt.
- es gibt ständig neue Varianten, damit die Scanner sie nicht erkennen :-(

@Bejoen
Der Trojaner liegt auf der Festplatte und wird in den RAM geladen, sobald Windows startet.

@pcberlin...aha..jetzt verstehe ich auch, warum ich nicht umbenannte Dateien habe, die trotzdem Schrott (verschlüsselt) sind...
Zum Zusenden von Virus e-mail: abspeichern und dabei die Endung .eml vergeben, dann zippen und das zip-file Euch zusenden...Ist das so richtig??
mail kommt dann schnellstmöglich

Hoffe sooo, dass hier was gefunden wird, da bei mir wirklich wichtige dateien (Bewerbungsschreiben, Bewerbungsübersicht, etc.) bafallen sind.

Jein,
Rechtsklick --> speichern Unter ---> EML-Format
Die Extemsion .eml wird dann automatisch generiert.
Der Rest ist ok.

Hallo bin von diesem "Virus" betroffen. Wie kann ich meine Dateien wieder herstellen??? Ich kenne mich mit sowas nicht aus. Wer kann mir helfen.



Diese E-Mail kam.

Lieber Benutzer Floh95,

wir müssten leider feststellen, dass unsere Forderung ID: 64630081 für den Anwender Floh95 immer noch nicht gebucht wurde. Dies bedeutet einen einseitigen Vertragsbruch von Ihnen. Nach § 286 BGB könnten wir die offenen Forderungen bereits jetzt durch Inkasso anmelden. Wir geben Ihnen jedoch trotzdem noch eine letzte Möglichkeit, Ihre vertragliche Verpflichtung zu erfüllen, indem Sie unverzüglich die ausstehende Rechnung in Grösse von 693.00 EURO an uns zahlen.

Die erbrachten Leistungen und die Rechnung können Sie im zugefügtem Zip Ordner ansehen.

Bitte beachten Sie, der Schuldner ist zum Ersatz des Verzögerungsschadens verpflichtet, er schuldet also Schadensersatz, § 280 Abs. 2, § 286 BGB.

flirt-fever.de GmbH mit Sitz in Stuttgart

Amtsgericht: Stuttgart
Geschäftsführer: Elisabeth Fuchs, Maria Maier


und diese.


Hallo "mein Name,

grössten für Ihr Vertrauen in flirt-fever.de!

Das Bankkonto XXXXXXXXX wird nun mit folgendem Betrag belastet:

Abgetragen wurde am/um: CEST (GMT +02:00) 31.05.2012 19:17:04
Rechnungssumme: Euro 990,00
Ident-Nummer: K362157212947

Ihr Einzug wird die nächsten Angaben enthalten:

Empfänger: Flirt-Fever AG PREBYTE MEDIA
Verwendungszweck: Flirtfever.de

Die Leistungen und die Geschäftsbedingungen können Sie in beigefügter Datei sehen.
Die Stornierung der Mitgliedschaft, ist mit der im Zusatzordner in der E-Mail mitgelegten Kündigung an uns zu schreiben.

Viel Spass und Erfolg,
Dein flirt-fever.de Team

moin moin,

Indem Du hier etwas liest und schaust, ob einige der angebotenen Möglichkeiten für Deine Verschlüsselungsart brauchgbar scheint.

Lesefaulheit, Keine Angaben zum Betriebssystem, keine Angaben zur Art der Verschlüsselung, nichts dazu, wie Du wieder ins System gekommen bist.

Solche Beiträge sind überflüssig wie ein Kropf.

Hast Du den Text der Mail richtig gelesen und ist Dir bei dem Deutsch kein Licht aufgegangen?

Volker

Wie gesagt ich kenne mich mit pc nicht so aus.

1. Ich habe Windows 7
2. die neue Benennung meiner Dateien ist.z.b. aGQfUNdnxtGsvD
3. Habe den Pc neu gestartet dann meine Virenschutzprogram durchlaufen lassen dann ging alles wieder nur das alle meine Dateien nicht zu öffnen sind.

Hallo.
Ich habe in den letzten 2 Stunden einen großen Teil dieses Threads gelesen und bis jetzt scheinen sich alle die Malware per EMail eingefangen zu haben.

Mein Laptop ist seit etwas mehr als 2 Stunden auch befallen und ich hatte in der halben Stunde wo er bereits lief keine Emailprogramme/Seiten offen sondern war lediglich im Browser unterwegs. Ein Klick auf eine nicht ganz jugendfreie Seite führte zum sofortigen aufploppen der Malware mit der Aufforderung zur Zahlung von 100€ wie bei vielen anderen auch.

Außer Strg+Alt+Entf und Windows+Tab waren alle Tastenkombinationen wirkungslos, der Taskmanager ließ sich ebenfalls nicht öffnen.

Ich wollte euch nur wissen lassen, dass Emails nicht die einzige Quelle sind.

Ich lasse erstmal einige der empfohlenen Tools durchlaufen und werde dann gegebenenfalls einen eigenen Thread erstellen.

Danke an alle, die Malware den Kampf ansagen =)

Gruß

Hallo,

der Laptop einer Freundin ist jetzt auch mit einer aus meiner Sicht neuen Variante des Verschlüsselungs-Trojaners betroffen. Oder aber sie hat den Verschlüsselungsvorgang nur zu früh abgebrochen - wie in vorherigen Beiträgen berichtet.

Ich würde die Email samt Anhang gerne zur Untersuchung abspeichern und zuschicken, allerdings liegt die Email nur bei GMX (Webmail) vor. Kennt jemand eine Möglichkeit die Nachricht dort (trotz Warnung von GMX) weiterzuleiten oder abzuspeichern?

Der Anhang heisst "Bestelldetails.zip" und hat ein Größe von 56,6 KB und kam von p.b.a@terra.com.br. Text ist der übliche, aber mit einem geforderten Betrag von 286 Euro.

MB Anti Malware hat einiges gefunden im Vollständigen Suchlauf. Hab alles entfernt.

Nach dem Neustart im normalen Modus verhält sich das System auf den ersten Blick wieder normal. Verschlüsselte Dateien (Namen, Dateiendung, unbrauchbare Dateien) konnte ich nach stichprobenartiger Suche keine finden.

Anhang 35700

Als ich wieder den Firefox gestartet hatt meldet MB Anti Malware kurz darauf, dass es eine Verbindung unterbunden hätte - ohne dass ein verdächtiges Tab geöffnet gewesen wäre.

Auch wenn ich es scheinbar mit einem ganz anderen Trojaner zu tun habe, vielleicht helfen euch trotzdem mein Log und die IP.

Anhang 35701

Grüße

Wieso sind die Helfer-Leute hier in diesem Forum eigentlich so piss-unfreundlich? Ist ja echt wiederlich!!!!

Wunderst Du Dich? Ich glaube ich wäre auch irgendwann pissig wenn im gleichen Thread ein und dieselbe Frage zum hundertsten mal gestellt und von mir beantwortet wurde.

Danke an alle, die sich solche Mühe machen und versuchen den Trojaner in den Griff zu bekommen.

Christian

ich hab auch schon 3 von diesen mails bekommen am 31.5 3.6 und heute eine alle 3 von flirt fever

@Annistern,

Am Anfang der Seite stehen Hinweise, dort stecken viele Informationen drin die Betroffenen helfen und zeigen, wie man im Schadensfall vorgehen sollte.
Gleich unter den Hinweisen steht folgender Text:

Diskussionsforum: Neue Verschlüsselungs-Trojaner Variante im Umlauf
Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches. Störer werden "sanft aus dem Raum begleitet"

Ich kenne Foren, da werden solche Beiträge kommentarlos gelöscht.
Jetzt frage ich Dich, welchen Wert ein Beitrag wie Deiner für eine fachspezifische Diskussion hat.

Mit "piss-unfreundlich" kann ich noch leben, andere bieten uns Schläge an, wenn wir nicht bald was finden, ihren Rechner wieder flott zu machen.

Insofern wünsche ich Dir noch einen freundlichen Tag.

Volker

Hallo terresa,
und, hast Du sie schon an @marcusg weitergeleitet?

Der freut sich über die Biester.

Volker

:headbang::headbang::headbang:

Kein Kommentar.

Mal ne Frage. Ihr schreibt hier immer, dass ihr euch den Virus eingefangen habt als ihr den Anhang geöffnet habt. Reicht es also aus nur das Zip archiv zu öffnen, oder muss man erst die darin befindlichen Dateien anklicken?