Hallo Geschädigte
Mich hat es gestern Abend erwischt .. das pure Chaos. .. da hatte ich auch diesen Screen beim Anmelden das ich ein Lösegeld zahlen sollte usw.. .. diese Hürde habe ich Dank eurem Bord beseitigt auch wenn ich in diesen Dingen eigentlich ein Noob bin.

Aber nun sind alle eigenen Dateien im Office sind verschlüsselt doc. pdf. exel. Bilder usw. Outlook funktioniert auch nicht mehr. Betriebssystem ist Win 7 64
Wir sind ein kleiner Handwerkbetrieb und die Daten sind für uns Lebenswichtig !!! Unser Backup ist leider 4 Wochen alt.

Habe jetzt schon alle Tools aus dem Bord ausprobiert die entschlüsseln können, leider ohne Erfolg. Den Trojaner oder Virus konnte ich gestern Abend noch beseitigen .Danke an das Bord... ich bin echt verzweifelt .. natürlich auch selber schuld da ich kein neueres Backup habe.
Soll ich jetzt die verschlüsselten Dateien sichern und Win neu aufsetzten damit der Betrieb hier einstweilen weiter geht ?
Das einzige was noch geht ist ein Notebook aber eben mit einem 4 Wochen alten Datenbestand. Also hoffe ich hier auf eine Lösung der Probleme .. ein Dicke Spende ist euch gewiss !!!
Ich habe natürlich hier schon gestern Stundenlang gelesen, aber wie schon mal gesagt .. Ahnung vom PC bzw. Betriebssystemen habe ich wenig und mein Englisch .. nun ja das war vor 30 Jahren auch schon mal besser *g*
Grüße Harry

hi,
1. welche tools zum entschlüsseln hast du probiert?
war keine oder nur eine teilweise entschlüsselung möglich?
2. welches programm hat bei dir was gelöscht, berichte bitte.
3.
die infektionsquelle war evtl. eine mail.
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

Den Virus habe ich mit Tool von Dr. Web entfernt dann erst konnte ich auch wieder Win7 64 hochfahren ohne dieser Meldung.
Dann habe ich ein scan mit Malwarebytes Anti-Malware und SUPERAntiSpyware Free Edition durgeführt, da wurde nichts aufregendes gefunden bzw. das gefundene entfernt.

Dann habe ich 2 Ordner angelegt mit jeweils Word-doc, PDF und JPG Dateien einmal verschlüsselt und einmal als Originaldatei unverschlüsselt.
Danach habe ich die 6 Tools http://www.trojaner-board.de/114127-...-trojaner.html geladen und versucht die Dateien wiederherstellen .. leider ohne Erfolg. Jetzt werde ich richtig Nervös

Jetzt habe ich noch die OTL.Txt ins Rar gepackt ..
Grüße Harry

die logs, der programme, mit denen du gelöscht hast, benötige ich noch.
malwarebytes öffnen, logdateien.
bei drweb müsste es ne csv datei im drweb ordner sein, bei super antispy musst dich mal durch klicken bitte

Guten Abend Markus
Noch mal Danke für die Hilfe !!!
An bei die 2 Dateien. Die von drweb habe ich leider nicht mehr .. habe das Prog. nach dem Trojaner Fund gleich in Panik komplett gelöscht..sorry

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 05/16/2012 at 08:27 PM

Application Version : 5.0.1148

Core Rules Database Version : 8605
Trace Rules Database Version: 6417

Scan type : Complete Scan
Total Scan Time : 00:35:39

Operating System Information
Windows 7 Professional 64-bit, Service Pack 1 (Build 6.01.7601)
UAC On - Limited User

Memory items scanned : 565
Memory threats detected : 0
Registry items scanned : 70721
Registry threats detected : 0
File items scanned : 68131
File threats detected : 5

Adware.Tracking Cookie
C:\USERS\KAWA3005\AppData\Roaming\Microsoft\Windows\Cookies\Low\GJO6PB0H.txt [ Cookie:kawa3005@serving-sys.com/ ]
C:\USERS\KAWA3005\AppData\Roaming\Microsoft\Windows\Cookies\Low\NBUHOHT8.txt [ Cookie:kawa3005@apmebf.com/ ]
C:\USERS\KAWA3005\AppData\Roaming\Microsoft\Windows\Cookies\Low\4A1LWTQC.txt [ Cookie:kawa3005@invitemedia.com/ ]
C:\USERS\KAWA3005\AppData\Roaming\Microsoft\Windows\Cookies\Low\6QYUG6L9.txt [ Cookie:kawa3005@doubleclick.net/ ]




Grüße Harry

Hm ... wie werden eigentlich die Chancen beurteilt das es ein ---Heilmittel--- zu Wiederherstellung der verschlüsselten Dateien von dem letzten Trojaner geben wird.
Bis jetzt ist es mit keinem Programm möglich die Daten wieder zu entschlüsseln.

Grüße Harry

hi kann ich dir nicht sagen, immer mal im diskusionsforum die passenden threads lesen.
und mal dies probieren:
http://www.trojaner-board.de/115496-...tml#post831090

Hallo Markus
Danke für die Antwort und den Tipp. Leider geht der ShadowExplorer auch nicht .. tja da heißt es jetzt warten und hoffen das ihr Spezialisten eine brauchbare Lösung findet .... Hätte ich doch gleich an den Verursacher bezahlt dann hätte ich sicher den Entsperrcode bekommen *gg*
Grüße Harry

und das nächste mal hätt er 500 € verlangt, hättest dann auch bezahlt?
denn nur lohnende geschäftsmodelle werden sich durchsetzen. wer zahlt, ermutigt diese leute