moin moin,
ich schaffe es nicht, einen Rechner zu infizieren.
Hintergrund sind Tests mit BackUps, vor Allem das Verhalten bei SecureZone Partitionen.
Ich habe dazu extra ein System vorbereiten.
IntelCore2Duo, 4GB RAM, 300GB HDD mit zwei Partitionen zu ja 100GB und 100GB nicht zugeordneten Platz, eingerichtet als Acronis Secure Zone.
Es läuft ein durchschnittliches Win7 32bit mit Office, paar Tools.
Ich habe hier eine Lieferschein.exe (54.784 Bytes), vermutlich eine der ersten Generation, eine SPS-Shipment_Information-Report.exe (108.544 Bytes), ein Anhang einer Sendungsmitteilung von DHL und als letzte eine World-Parcel-Express-Details.exe als Anhang einer UPS Mitteilung.

Die World-Parcel-Express-Details.exe ist scheinbar beschädigt, sie lässt sich aus der ZIP nicht extrahieren.
Die beiden anderen tun zwar so als ob, zeigen aber keinerlei Infektionssymptome.
Möglicherweise sind da ein paar Trittbrettfahrer unterwegs unbd machen sich einen Spaß aus der ganzen Hektik.

Ich brauchte also mal einen Bösewicht, der 100%ig böse ist.
Die Variante ist egal.

Vielleicht liest das markusg mit und kann mir einen brauchbaren Feind an die bekannte Mailaddi retour schicken.

Gruß Volker

inzwischen ist der trojaner v2 (verschlüssel+umbenennen ohne "locked.***) bei einem weiteren benutzer aufgetaucht.

hab hier eine andere variante der rettung versucht.

platte ausbauen und vorgängerversion wiederherstellen
hat bis jetzt bei einzelnen ordnern funktioniert.
werd das jetzt auf die ganze platte ausweiten und anschließend mit norton durchscannen
norton ist lauf virustotal einer der virenscanner der den trojaner zumindest erkennt und löscht.

ist das geschehen sicherheitskopie nr.:2 und im abgesicherten modus starten.
mal schauen was passiert

naja, norton erkennt bisher einen teil der malware, ob alles erkannt wurde kannst du erst wissen wenn du hier nen thema mit logfiles eröffnet hast.
@Undertaker
alte versionen nützen dir nichts, da deren server offline sind.
die lieferschein.exe scheint das einzige zu sein was ransom ware ist.
die andern teile klingen eher nach
Bebloh
hab dir mal n sample gesendet

so hab nun auch mal im kaspersky Forum unruhe gestiftet mit dem teil hier (Ujdmasöldfjkasf)
Je mehr leute da dran arbeiten, des to besser, die haben ja auch schon einen decrpter für die -locked variante gemacht.

Ich lade gerade zwei frisch erstellte Videoanleitungen auf YouTube hoch zur Wiederherstellung von Dateien aus den Schattenkopien, eine zu Schattenkopien im Windows-Explorer und eine zum ShadowExplorer. Die Anleitung hier ist ja nur auf englisch: http://www.trojaner-board.de/115496-...erstellen.html
Am sinnvollsten poste ich das dann in obigem Beitrag, oder?

Auf meinen Log&Analyse Thread Antwortet leider niemand, daher möchte ich hier nochmal meine Erfahrungen äußern.

Bei mir in der Firma setzen wir Citrix Xenapp ein. Auf einem der 4 Xenapp Server (Windows 2008 kein R2) hat sich eben genau der Verschlüsselungstrojaner eingeschläußt wie hier besprochen.
Aufgefallen ist es uns natürlich durch den Screen der alles blockierte.
Server also neugestartet im abgesicherten Modus (war nicht blockiert) und die hier empfohlenen Scans durchgeführt, die aber alle nicht wirklich was finden konnten. Die Daten schienen nicht verschlüsselt gewesen zu sein, wobei auf den XenApp Servern auch nur die Programme ausgeführt werden. Die UserProfile und Daten liegen auf einem anderem Server.

Der Online Virenscanner von ESET konnte letzendlich den Win32/Trustezeb.B 3x auf dem System finden.

-0EC911D90613A2D42F73.exe im System32 Ordner
-C:\Users\Administrator.domäne\AppData\Local\Temp\16\ewclgycnhm.pre
-C:\Users\Administrator.domäne\AppData\Local\Temp\16\ocoeoclnrp.pre

Auf hxxp://www.paulsen-it.de/news-details/artikel/trskelfa.html konnte ich dann herausfinden das der Virus Registry und Sicherheitseinstellungen verändert.
In meinem Fall ist mir Aufgeallen das die Firewall so konfiguriert war, dass auch Programme die nicht in den Ausnahmen Definiert sind, nach außen kommunizieren dürfen.

Es würde mich besonders interessieren ob hier noch mehr Infos bekannt sind, welche Einstellungen und Registry einträge getöätigt wurden.

Wie der Virus auf das System kam, kann ich nicht sagen. Ich bin alle Mails durchgegangen und konnte nichts Auffälliges finden. Kann aber natürlich sein das ein Mitarbeiter seine Privaten Mails über eine Weboberfläche aufgerufen hat und dort den Virus eingeschläust hat.

Komisch fand ich nur, dass bei uns nichts vershclüsselt wurde und auch der Abgesicherte Modus kein problem war. (Unser GlücK!!!)

das mit shadow ist natürlich supa, damit hab ich auch schon einigs gerettet, aber blöderweise geht das bei mir nur mit laufwerk C und ich hab sehr viele Files als Bibliothek verlinkt auf ne große 2. Festplatte (Laufwerk H). Trotzdem nen Video wäre sicher mal super.

hi,
warte bitte dann in deinem thread auf ne antwort, is ja nicht so, als hätten wir nichts zu tun hier :-)

Sorry Markus, sollte nicht so rüberkommen, dass ich euch das übel nehme das mir noch niemand geantwortet hat. Sehe ja selbst das hier gerade der Bär los ist
Wollte hier lediglich meine Erfahrungen teilen, vielleicht hilft es ja bei der weiteren Analyse.

hi
hab das auch nicht so aufgefasst,
meinte nur das wir fragen zu pcs nicht hier erörtern sollten, diskusionen sind hier aber natürlich erwünscht

Markus ...

Du hast jetzt 2 *.zi1 Files bekommen.

Matsnu und Matsnu.gen!A sagt Microsoft dazu. Krieg die Dateien mit keinem der Programme entschlüsselt

Gruß
Stefan

hab ich, danke
hattest du shadow explorer versucht?

Zitat:

Zitat von markusg

hab ich, danke
hattest du shadow explorer versucht?

Erst gar nicht angefangen damit nachdem ich gesehen habe das die 2 Rechner gefühlte 100 Bilder Ordner haben. Bissel Bestrafung muß ja sein. Kunde soll mal schön auf einen Entcrypter warten und den Spenden Button klicken am Ende

Im Nachvollzug festgestellt das die Frau es geschafft hat das Teil 12x !!! aus dem AOL runter zu laden und der Avira hats dann aufgegeben.


Gruß
Stefan

ja, du weist ja, wenn frauen was haben wollen ...

Hallo, ich habe seid heute auch diese Problem. Wie bekomme ich den Trojana wieder weg .habe keinen 2Rechner nur ein iPad . Diese Mail habe ich bekommen.
Vielen Dank für Ihre Mitliedschaft,

Sie haben soeben bei der Dating-Agentur www.Flirten.at die Premiummitgliedschaft bestellt. Der Betrag in Höhe von 375,49 EUR wird in den nächsten Tagen von Ihrem Konto abgebucht. Der Kontoeinzug erfolgt durch Poryment GmbH.


Sie sind jetzt für die nächsten 48 Monate Starklient und dürfen in vollen Umfang die Premiummöglichkeiten nutzen.
Entziehen Sie die Rechnungen bitte dem Zusatzordner in der E-Mail, dort finden Sie auch die Vertragsdaten und Stardienstvorteile. Falls Sie die Elitemitgliedschaft nicht mehr möchten, mailen Sie die Kündigung, mit der in dem Zusatzordner in der E-Mail, beigelegten Kündigungserklärung.

Das Serviceteam wünscht dir viel Glück!

Mit freundlichen Grüßen Manfred Wallner
Serviceteam


Dortmund 22485 Deutschland
Phone: +49-962-83421657

Geschäftsleiter: Gerhard Scholz
Inhaltlich Verantwortlicher gemäss § 6 MDStV: Andreas Jung
Datenschutzbeauftragter: Hans Schneider
UST-Nr.: DE5833188230
Amtsgericht Hannover.