Hallo Kowalle,

am Besten du nimmst eine LiveCD (BartPE LiveCD funktioniert gut und auch eine aktuelle LiveCD der Virenhersteller wie Antivir Rescue System (Thank you for downloading) von einem anderen PC runterladen und dann dein System damit booten (Anleitung dazu sollte hier im Forum gefunden werden). Wichtig: Per Netzwerkkabel ans Internet angebunden wenn die LiveCD läuft (Der Virenhersteller) damit aktuelle Definitionen geladen werden können.

Dann sollte der Virus entfernt werden können.

super danke kann der Virus übergehen durch das Netzwerk auf mein anderen Computer win 7 / win 8 oder mac???
und werden die Daten denn wenn sie verschlüsselt sind automatisch wieder hergestellt oder muss ich das hier mit dem decryper machen ???

Also der Virus aktuell geht nicht durch das Netzwerk auf andere Geräte über soweit ich das getestet und bisher hier gelesen habe (Aber auf Netzlaufwerke obwohl ich vorhin einen Kunden mit XP hatte in einer Domäne bei dem es nicht auf das Netzwerlaufwerk über gegangen ist).

Das Entschlüsseln musst du noch mit dem decrypter machen aber zunächst ist wichtig dass du den Virus los wirst. Sonst bringt dir das Decrypten nichts. Ein Schritt nach dem Anderen Hier mal eine Anleitung für die ich aber keine Gewähr gebe:



1. Zunächst den Virus entfernen (liegt in %appdata% herum in einem zufällig generierten Ordner, sowie ggf. unter Windows/System32/zufälligername.exe hier auf Erstelldatum achten) (Windows Live CD hilft da wahre Wunder)
2. Combofix herunterladen und auf dem Zielrechner ausführen: Google nach "Combofix" dann der link von bleepingcomputer . com
3. Ggf. Malwarebyte ebenfalls auf dem Rechner ausführen falls du zuviel Zeit habt.

Nun geht es an das Entschlüsseln der Daten:
Decrypt 0.5.3 (Aktuell 03.05.12) benötigt Java. Die ausführen auf dem Infizierten Rechner und nun brauchst du folgendes:
„Eine Datei die nicht infiziert ist also Originaldatei (am Einfachsten z.B. die Windows Beispielbilder bei XP) und die Datei verschlüsselt.

Programm starten oben Links auf „Schlüssel erzeugen“ dann wird er beide Dateien haben wollen

Nun je nachdem wie sicher du es haben willst (falls keine Sicherheitskopie vorhanden alles erst mal mit den Hacken so lassen) kannst du Sagen ob du die verschlüsselten behalten willst und Existierende Dateien überschreiben.

Anschließend auf „Ordner entschlüsseln“ und das Systemlaufwerk wählen, nun warten das kann dauern. Irgendwann kommt dann die Meldung dass es geklappt hat. Evtl. Meldungen mit OK wegklicken.

!!!!!!!!!!!!! NA DAT IS DOCH MAL NE ANLEITUNG !!!!!!!!!!
wo jeder Bauer was mit anfangen kann

DANKE

Einen ganz klaren Hinweis gibt es zu Combofix:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

@Tarja
es geht darum, die verwendeten mail adressen still legen zu lassen, das geht nur, wenn ich den sogenannten mail header hab, der liefert einige wichtige infos die ich benötige, um dann den jeweiligen mail anbieter anzuschreiben

@markusg wiso anschreiben ich wurde mal an die tuer klopfen und ihm eine geben und wenn er noch bloede fragt warum ihm den scheiss auffen rechner machen!!! als wenn der mail anbieter das nicht schon mitbekommen haette was da los ist!

Och menno..da kann man ja neidisch werden, wie das bei ANDEREN klappt....
Bei mir entlocked er nur die Beispielbilder erfolgreich und der Rest bleibt unansehbar bzw. unbearbeitbar..
Woran könnte das denn liegen????

@Vire du ich hab es jetzt aufgegeben und mach meinen platt also kopf hoch. die daten die ich wollte habe ich der Rest is mir egal.

aber trotzdem bin ich stinke sauer meine Freundin klickt auf ne Mail und ich Sitz die ganze Nacht vor dem scheiß ding und mache und tue.

GEHT der Virus auch auf ein MAC (Lion) weil den hat sSe jetzt mit nich das Sie heut Abend wieder kommt und da is der scheiß auch drauf ;(

nein, das ist windows malware.
wenn mal wieder so was rein kommt, bitte, wie weiter oben beschrieben an mich weiter leiten.

@kowalle

wenn ja nicht so viele wichtige Unterlagen für den Betrieb des Arbeitsplatzes drauf wären würde ich ihn auch platt machen, verstehe meine Mitarbeiterin völlig..hat aber auch nicht auf mich gehört die Daten uffm Server abzuspeichern..könnte 'ne Brechreizüberreizung bekommen

WARUM RELOCKED DER NICHT ALLE RICHTIG???

@Vire
bleibt denn das locked an den datei namen drann oder werden sie umgewandelt und sind trotzdem nicht ansehbar.

Es werden alle umgewandelt mit den richtigen Endungen ohne irgendwelche lock's, aber in den dazugehörigen Anwendungen bekomme ich eine Fehlermeldung oder bei Bildern sagt er z.B. "Vorschau nicht möglich".
Aber bei den Beispielbildern klappt das 100%ig...

du hast ja hoffendlich ein backup?
es könnte möglich sein, dass es beim verschlüsseln der dateien, zb einen neustart gab und unterschiedliche schlüssel angewendet wurden.
hast du noch andere dateien, die du als pärchen verwenden kannst?

@Vire

Das liegt sicher an deinem Schlüssel zum decrypten.
Versuch ein andere Dateien zum Schlüssel erzeugen dann wirds bestimmt besser.
Nicht aufgeben!
Ich kämpfe auch noch...