naja, norton erkennt bisher einen teil der malware, ob alles erkannt wurde kannst du erst wissen wenn du hier nen thema mit logfiles eröffnet hast.
@Undertaker
alte versionen nützen dir nichts, da deren server offline sind.
die lieferschein.exe scheint das einzige zu sein was ransom ware ist.
die andern teile klingen eher nach
Bebloh
hab dir mal n sample gesendet

so hab nun auch mal im kaspersky Forum unruhe gestiftet mit dem teil hier (Ujdmasöldfjkasf)
Je mehr leute da dran arbeiten, des to besser, die haben ja auch schon einen decrpter für die -locked variante gemacht.

Ich lade gerade zwei frisch erstellte Videoanleitungen auf YouTube hoch zur Wiederherstellung von Dateien aus den Schattenkopien, eine zu Schattenkopien im Windows-Explorer und eine zum ShadowExplorer. Die Anleitung hier ist ja nur auf englisch: http://www.trojaner-board.de/115496-...erstellen.html
Am sinnvollsten poste ich das dann in obigem Beitrag, oder?

das mit shadow ist natürlich supa, damit hab ich auch schon einigs gerettet, aber blöderweise geht das bei mir nur mit laufwerk C und ich hab sehr viele Files als Bibliothek verlinkt auf ne große 2. Festplatte (Laufwerk H). Trotzdem nen Video wäre sicher mal super.

Auf meinen Log&Analyse Thread Antwortet leider niemand, daher möchte ich hier nochmal meine Erfahrungen äußern.

Bei mir in der Firma setzen wir Citrix Xenapp ein. Auf einem der 4 Xenapp Server (Windows 2008 kein R2) hat sich eben genau der Verschlüsselungstrojaner eingeschläußt wie hier besprochen.
Aufgefallen ist es uns natürlich durch den Screen der alles blockierte.
Server also neugestartet im abgesicherten Modus (war nicht blockiert) und die hier empfohlenen Scans durchgeführt, die aber alle nicht wirklich was finden konnten. Die Daten schienen nicht verschlüsselt gewesen zu sein, wobei auf den XenApp Servern auch nur die Programme ausgeführt werden. Die UserProfile und Daten liegen auf einem anderem Server.

Der Online Virenscanner von ESET konnte letzendlich den Win32/Trustezeb.B 3x auf dem System finden.

-0EC911D90613A2D42F73.exe im System32 Ordner
-C:\Users\Administrator.domäne\AppData\Local\Temp\16\ewclgycnhm.pre
-C:\Users\Administrator.domäne\AppData\Local\Temp\16\ocoeoclnrp.pre

Auf hxxp://www.paulsen-it.de/news-details/artikel/trskelfa.html konnte ich dann herausfinden das der Virus Registry und Sicherheitseinstellungen verändert.
In meinem Fall ist mir Aufgeallen das die Firewall so konfiguriert war, dass auch Programme die nicht in den Ausnahmen Definiert sind, nach außen kommunizieren dürfen.

Es würde mich besonders interessieren ob hier noch mehr Infos bekannt sind, welche Einstellungen und Registry einträge getöätigt wurden.

Wie der Virus auf das System kam, kann ich nicht sagen. Ich bin alle Mails durchgegangen und konnte nichts Auffälliges finden. Kann aber natürlich sein das ein Mitarbeiter seine Privaten Mails über eine Weboberfläche aufgerufen hat und dort den Virus eingeschläust hat.

Komisch fand ich nur, dass bei uns nichts vershclüsselt wurde und auch der Abgesicherte Modus kein problem war. (Unser GlücK!!!)

hi,
warte bitte dann in deinem thread auf ne antwort, is ja nicht so, als hätten wir nichts zu tun hier :-)

Sorry Markus, sollte nicht so rüberkommen, dass ich euch das übel nehme das mir noch niemand geantwortet hat. Sehe ja selbst das hier gerade der Bär los ist
Wollte hier lediglich meine Erfahrungen teilen, vielleicht hilft es ja bei der weiteren Analyse.

hi
hab das auch nicht so aufgefasst,
meinte nur das wir fragen zu pcs nicht hier erörtern sollten, diskusionen sind hier aber natürlich erwünscht

Markus ...

Du hast jetzt 2 *.zi1 Files bekommen.

Matsnu und Matsnu.gen!A sagt Microsoft dazu. Krieg die Dateien mit keinem der Programme entschlüsselt

Gruß
Stefan

hab ich, danke
hattest du shadow explorer versucht?

Zitat:

Zitat von markusg

hab ich, danke
hattest du shadow explorer versucht?

Erst gar nicht angefangen damit nachdem ich gesehen habe das die 2 Rechner gefühlte 100 Bilder Ordner haben. Bissel Bestrafung muß ja sein. Kunde soll mal schön auf einen Entcrypter warten und den Spenden Button klicken am Ende

Im Nachvollzug festgestellt das die Frau es geschafft hat das Teil 12x !!! aus dem AOL runter zu laden und der Avira hats dann aufgegeben.


Gruß
Stefan

ja, du weist ja, wenn frauen was haben wollen ...

Hallo, ich habe seid heute auch diese Problem. Wie bekomme ich den Trojana wieder weg .habe keinen 2Rechner nur ein iPad . Diese Mail habe ich bekommen.
Vielen Dank für Ihre Mitliedschaft,

Sie haben soeben bei der Dating-Agentur www.Flirten.at die Premiummitgliedschaft bestellt. Der Betrag in Höhe von 375,49 EUR wird in den nächsten Tagen von Ihrem Konto abgebucht. Der Kontoeinzug erfolgt durch Poryment GmbH.


Sie sind jetzt für die nächsten 48 Monate Starklient und dürfen in vollen Umfang die Premiummöglichkeiten nutzen.
Entziehen Sie die Rechnungen bitte dem Zusatzordner in der E-Mail, dort finden Sie auch die Vertragsdaten und Stardienstvorteile. Falls Sie die Elitemitgliedschaft nicht mehr möchten, mailen Sie die Kündigung, mit der in dem Zusatzordner in der E-Mail, beigelegten Kündigungserklärung.

Das Serviceteam wünscht dir viel Glück!

Mit freundlichen Grüßen Manfred Wallner
Serviceteam


Dortmund 22485 Deutschland
Phone: +49-962-83421657

Geschäftsleiter: Gerhard Scholz
Inhaltlich Verantwortlicher gemäss § 6 MDStV: Andreas Jung
Datenschutzbeauftragter: Hans Schneider
UST-Nr.: DE5833188230
Amtsgericht Hannover.

dann mal die mail an mich:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
makrusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.
wegen der malware entfernung, thema im bereich logfiles eröffnen

Ich hab leider auch mit der neuen Version des Verschlüsselungstrojaners zu kämpfen und hatte gerade schon hier ScareUncrypt - Tool für verschlüsselte Dateien gepostet.

Für Neuigkeiten bin ich dankbar und ich drücke Euch ganz fest die Daumen. Vielleicht hilft Euch die Info, dass die verschlüsselten Dateien auf dem Mac als ausführbare Unixdatei angezeigt werden?!