das Blöde an der ganzen sache ist ja, das ich so eine Mail von meinem Kumpel bekommen habe der sie einfach an mich weitergeleitete hat, damit ich nachsehen soll was das ist, weil ich Beruflich auch mit PC´s arbeitet,mich aber nicht vorgewarnt hat, weder in der Email sonst noch am Telefon. Ich hatte sonst nie Probleme mit sowas, das ist da das was ich am meisten Ärgert, das man dieses jetzt Verhindern hätte können. Naja, vieleicht bekomme ich meine Daten ja bald wieder.... Danke jetzt schon mal an die Helfer..

Nicht zahlen wen du zahlst ist dein Geld weg, und deine Dateien sind immer noch im eimer. Also nicht zahlen, und fertig.

Und hoffen das es für das Problem eine passendes Tool gibt.

THN

So ein prepaid guthabencodes brauchte ich aber nirgendswo eingeben, es hat sich auch keine Maske hierzu aufgetan. Hab nur den Anhang von der Mail aufgemacht, und gemerkt das sich etwas am PC tut, und der nicht Reagiert. Da hab ich ihn ausgeschaltet vom Netz genommen und danach überprüft, und dabei festgestellt das sich die Bilder und AVI Datein nicht mehr öffnen lassen . Komischerweise aber nur die auf LW D: Vieleicht hilft das ja ein wenig weiter.

Bin mittlerweile ziemlich sicher, das es etwas
mit dem MFT zu tun hat..

Sind hier betroffene Systeme bekannt mit Fat32 ?

Meine ist NTFS Format. Was ist MFT, sowas kenn ich von der Arbeit Multi Funktion Terminal

@benton18

Die Programmierung von Malware lohnt sich auf jeden Fall. So z.B. im Fall der zig Varianten des BKA-Trojaners. Diese ganzen drive-by Trojaner werden über Bannernetzwerke, manipulierte Webseiten oder bewußt auf besucherstarken Webseiten verteilt.
Die erste Schwemme dieser Trojaner kam bei uns auf, als es die Streaming-Seite mit kino im Namen noch gab. Diese hatte Schätzungen zufolge ca. 400.000 Unique Visitors am Tag. Wenn man nun davon ausgeht, dass 10-20 % der PCs anfällig ist und nur 1% der hilflosen Filmjunkies zahlen, dann sind das immer noch ca. 8000 € / Tag.

Immerhin haben die Malware-Programmierer einen gewissen Humor, und senden grüße an Xylitol, der sich bei denen wie sicher markusg auch recht unbeliebt gemacht hat (siehe screenshot).

hi zusammen,

ich stelle nocheinmal die Frage, da mir darauf bisher noch niemand eine Antwort geben konnte:

Wie kann ich feststellen, ob mein System noch infiziert ist? Es war kurzzeitig sicherlich infiziert, da die Funktion "Tast Manager starten" blockiert wurde, habe allerdings binnen 5 Minuten eine Systemwiederherstellungspunkt zurück gespielt, Rechner bootet, keine verschlüsselten Dateien, keine Viren durch AV Software (Trend Micro, Malwarebytes) gefunden, keine Zahlungsaufforderung.

Auch stellt sich mir die Frage ob der Trojaner gefährlich fürs Netzwerk sein kann, oder dieser nicht Fortpflanzt.

Es gab doch für den Gema/BKA Trojaner auch eine Anleitung. Gibt es sowas nicht für den aktuellen, oder ist das ganze dafür noch zu unerforscht?
hxxp://blog.botfrei.de/2011/12/gema-trojaner-unter-windows-vista7-entfernen/

Ich habe auch diesen schrecklichen Trojaner und was hier geschrieben wird als Hilfe klingt ja super,ich weiß nur gar nicht wie ich das machen soll,da ich kein Computerfachmann bin und die ganzen Tips so nicht umsetzen kann.Kann mir jemand Schritt für Schritt sagen was ich machen kann? Ich kann ja keinen Scan durchführen, da nach dem starten gleich wieder das bezahl Fenster kommt.Ich habe echt keinen Dunst was ich machen soll.Ich würde ja jemanden bestellen der herkommt und mir das wieder richtet, weiß aber nicht wie man so jemand findet.Bitte um Hilfe!!!

@was_ein_mist, @zAUBERWOLF: ich würde unter "plagegeister" einen ganz normalen Hilferuf starten und mir von einem Helfer dabei helfen lassen das System zu überprüfen

Edit: evtl. mit dem abgesicherten Modus booten: http://www.trojaner-board.de/63335-w...s-starten.html

http://www.trojaner-board.de/69886-a...-beachten.html

entweder du machst es wie auf seite eins vorgeschlagen mit dem Image und der CD, oder du versuchst mal perabgesicherten modus anti malware software drüberlaufen zu lassen, und in der msconfig die betreffenden starteinträge rauszunehmen. wenn du dann wieder normal ins windoof kommst, system scannen und bereinigen, auch die starteinträge löschen mit zb ccleaner.

Morgen zusammen,

eine kleine Info an alle.....

wir haben wie schon mehrfach Erwähnt 5 versch. Rechner hier bei uns, die alle mit diesem Virus verseucht sind.............


bei 2 dieser Rechenr sind alle Dateinen (doc, xls, pdf, jpg, tiff gif, usw. ) und das Betriebssystem
versaut .....
alle Dateien wurden wie alle so schön sagen "Verschlüsselt" und zwar sehen die so aus:
- gdasjhdgahsd ........ im Orginal sollte es "Schulung_2012_04_06.pdf" sein

bei den anderen 3 Rechner........ sind auch fast alle (doc, xls, pdf, jpg usw) betroffen......
aber es sind einige besonderheiten aufgefallen:
folgende Dateien wurde "NICHT" Verseucht:
AVI, VOB, PSD, MP3 und Dateien div. Software.. es sieht so aus all könne dieser Virus nur etwas mit den gängisten Dateienendungen etwas anfangen....

ebenso wurde der Dateiname (z.B. einschoenertag.jpg, oder werauchimmer.pdf usw.) "NICHT" verändert, aber alle Dateien sind unbrauchbar.......
auch hier nur die bekanntesten Dateiendungen...Exoten sind alle ok

was auch aufgefallen ist, das dieser Virus nicht alle Dateien versaut hat....er hat in einigen Ordner nur 2 Dateien versaut, die restlichen 100 hat er gelassen, dann hat wiederum ganze Ordner ausgelassen...usw. usw.

für den/die betroffenen User, sieht/sah es in diesen Fällen immer so aus, als wären alle Dateien auf den ersten Bild vollkommen ok, was sich aber ganz schnell anders herausstellte......

das Problem, so sehen wir es im Moment noch....ist es heraus zu finden, was und wie dieser "Virus" in den Informationstables der einzelnen Dateien, gemacht hat...........
- bei einigen Dateien reichte es aus nur die erste Zeile der Information auszutauschen (kann man sehr gut mit dem richtigen HEX-Editor einsehen und auch machen)
......bei anderen ist der ganze Inhalt der Information nicht mehr zu gebrauchen, weil in diesen Fällen evtl. wirklich eine Verschlüsselung oder eine Verschiebung der Information (um evtl. 1 oder 2 bit) oder eine Spiegelung (Anfang ist jetzt Ende ) stattgefunden hat......


mir ist aufgefallen, das zwar alle hier schreibenden von diesem Virus betroffen sind, aber alle auf eine andere Art....... darum ist es sehr schwer zu sagen...es hat mir "das hier geholfen" Versuch das einmal.....denn es wird in 90% aller Fälle nicht funktionieren
darum ist es auch, so unsere Meinung, sehr, sehr schwierig für alle eine brauchbare Lösung zu finden

Grüße an alle
Didek

Bei den von mir gefundenen verschlüsselten Dateien wurden nur die ersten 3KB verändert, der Rest der Dateien ist identisch. Also wieder eine andere Variante
Gruß DevilTH

scheint wohl so zu sein.......
ich denke das all die, deren Dateien betroffen sind, sich mit dem Gedanken abfinden müssen...das diese nicht mehr zu retten sind.....einige ausnahmen mag es geben aber die mehrzahl der dateien dürften weg sein........

wir haben einen Bürorechner eines mittleren Betriebes, hier aus Leverkusen vor uns, auf dem alle Daten auf einer ext. USB-Festplatte lagen (fast 500GB) die genau zu dem Zeitpunkt in Betrieb war als die junge Frau ausgerechnet diese Mail öffnete........ das war es dann erstmal....... ich möchte nicht in ihrer Haut stecken....

Grüße
Didek

Hallo
wieder ein neuer ? :
seit gestern habe ich eine USB Platte von einem Kunden hier, bei der die Dateien nicht verändert sind ... gleicher Name, gleiche Grösse etc. Die komplette Platte ist verschlüsselt, der Trojaner ist vom 17.o5.
Ich werde gleich mal ein Dateien-Paar an Kaspersky senden.

Grüße
Mike

Wenn dieser Hacker also wirklich, so wie er beschrieben hat mit AES256bit Verschlüsselt haben sollte.....gibt es keine Chance das wieder auf die Reihe zu bekommen.......

ein kleiner Auszug aus AES Encryption von BitZipper....

AES Verschlüsselung

AES steht für Advanced Encryption Standard. AES ist eine symmetrische Verschlüsselungstechnik, welche die oft benutzte Data Encryption Standard (DES) Methode ersetzt.

Dies war das Ergebnis einer weltweiten Aktion von Eingängen von Verschlüsselungsalgorithmen durch das US Government's National Institute of Standards and Technology (NIST) 1997 initiiert und 2000 vervollständigt.

Der gewonnene Algorithmus, Rijndael, wurde durch die zwei belgischen Kryptologen, Vincent Rijmen and Joan Daemen, entwickelt.

AES liefert starke Verschlüsselung und wurde von NIST als ein Federal Information Processing Standard im November 2001 eingeführt (FIPS-197), und im Juni 2003 vom U.S. Government NSA.

Der AES Algorithmus nutzt einen der drei Schlüsselstärken: eine 128-, 192-, oder 256-bit Verschlüsselungsfolge (Passwort). Jede Verschlüsselungsfolgen-Größe verursacht eine gewisse Veränderung des Verhaltens des Algorithmus, so dass der unterschiedliche Schlüssel nicht unbedingt eine größere Verschlüsselung zur Folge hat, aber auch die Komplexität der Verschlüsselung erhöht.