Du kannst doch die passwortgeschützte ursprüngliche .zip Datei nehmen und an Markus schicken... die .pif Datei würde ich auch nicht anfassen: ausversehen doppelklick und der "Spaß" geht von vorne los.. das würde ich auch nicht riskieren.

Zitat:

Zitat von mogli4722

Vorsichsthalber würde ich falls vorhanden die 2te FP abklemmen, falls da Daten drauf sind. Ansonsten zuerst ein Backup machen, bevor was passiert.

haha, bei mir is schon alles versaut.

Wäre aber mal lustig zu sehen, wass passiert, wenn die verschlüsselung da nochmal drüberrattert, vielleicht sind meine Files dann wieder entschlüsselt.

Schön das wir den Humor noch behalten :-) Daumen hoch, lach
Trozdem würd ich gern mal mit so einem Typen der sowas anstellt gern mal ein paar Takte reden, aber die verstecken sich lieber hinterm PC

Guten Morgen zusammen,

Hatte den Schädling jetzt auch schon auf mehreren PCs, bei allen Geräten sind alle Dokumententypen JPG, PNG, PDF und die Office-Palette verschlüsselt. Gemeinsam ist, dass im Auslieferungszustand des Systems enthaltene Dokumente (z.B. die Beispielbilder) nicht verschlüsselt wurden. Wohl kein Zufall.

ich weiß nicht, obs auf den 32 Seiten davor schon jemand geschrieben hat, aber bei dem pc den ich hier stehen hab siehts so aus:

300 gig Festplatte partitioniert mit C (Winxp) und D (Daten).
Die meisten Dateien schauen so ähnlich aus: DLLvJyxDljAgOdUaT
Einige Files haben aber noch die Originalnamen, zb IMG_1234.jpg

Gestern hab ich stichprobenartig auf der C Partition die kryptischen Dateinamen mit einer Endung versehen (wenn ich aufgrund des Ordners Rückschlüsse auf den Inhalt hatte). zB DLLvJyxDljAgOdUaT => DLLvJyxDljAgOdUaT.jpg Ich konnte auf diese Weise Files verschiedener Dateitypen (mp3 jpg html...) öffnen und somit den Inhalt von Eigene Dateien (Eigene Bilder, Eigene Musik) wiederherstellen. Die Dateinamen bleiben aber kryptisch.

Leider funktioniert das ganze NICHT auf der D Partition. Hier scheint am MFT was nicht zu stimmen, da kenne ich mich aber zu wenig aus und hoffe auf die Experten hier im Forum.

bg Hubert

PS:
Den Trojaner hab ich übrigens mit der Kaspersky Rescue Disc 10 und dem darauf enthaltenen WindowsUnlocker runterbekommen.

Hallo Leute,
ein Kunde von mir hat sich die neue Verschlüsselungsvariante eingefangen.
Aufvorderungsbild zum Zahlen ist immer noch gleich, nur die Verschlüsselungsart hat sich geädert.
Die Dateien werden nicht mit locked-xxxxx.xxx umbenannt, sondern in einen wirren Buchstabensalat wie xOTVJEsrjUQnxOyX und bei dem Datum wird die Uhrzeit um eine Stunde nach hinten verschoben, Größe bleibt unverändert.
Ich lade mal ein Pärchen Original-Verschlüsselt hoch und hoffe es findet bald jemand den Schlüssel.
Gruß
H.-Jörn Schneckenburger

@DerC88
du meinst windows beispiel bilder? dann kann ich deine beobachtung nicht bestätigen
@daHubert
woher willst du wissen das du alle trojaner runter bekommen hast.
richtig ist:
du hast die teile des trojaners runterbekommen, die kaspersky findet.
für alle weiteren aussagen ist eine genaue analyse des pcs nötig.
@hansjoern
darüber sprechen wir doch bereits seit einigen seiten, man sollte das was die vorredner schreiben auch lesen :-)
kommst du noch an den auslöser?
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
makrusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

Hi!

Ich lese diesen Thread schon paar Tage lang und muss, obwohl ich nicht infiziert bin, doch mal was fragen!

(Hoffe es stört euch nicht)

Der Virus kommt per Email...also per Anhang, den man dann öffnet! OK!

Würde Avira Free den Anhang erkennen?
Natürlich würde ich nie Anhänge öffnen, wo ich nicht weiss, von wem die sind und bestellen tu ich nur über Amazon.

Und dann möchte ich noch fragen, ob es wohl eine Infizierungsart per Drive by Download geben könnte oder gibt? Halt per Java, wie der Bundestrojaner.

Da hätte ich schon etwas paranoia davor, weil sowas hat man sich ja schnell eingefangen!

Danke euch und bleibt am Ball!

Hallo,

bitte Freunde,Bekannte von euch Warnen das sie Emails mit Verdächtigen Anhängen nicht öffnen sollen, dieses auch bei Facebook Stayfriends usw. Posten. Falls ihr noch solche Mail haben solltet, dann bitte an markusg@trojaner-board.de als eml. weiterleiten.

News: AOL hat mir die letzten 24h rechnung.zip z.B. erkannt. Heute auf einem Kunden rechner ein neuer Eingang der von AOL nicht erkannt wurde und ein Weiterleiten an markus war möglich.

Hinweise.zip

Rechnung: 701816-786213453220904

Hallo Christiane,

Ihr Konto ist überfällig. Bitte begleichen Sie Ihre ausstehende Rechnung
vollständig, da wir sonst Ihre Möglichkeiten bei eBay einkaufen und verkaufen zu
können, einschränken müssen.

Ihre eBay-Rechnung für den Zeitraum vom 27. April 2012 bis zum 19. Mai 2012 ist
jetzt im Anhang zu sehen.

Fälliger Betrag: €117,67

Zahlung ist jetzt fällig. Bitte beachten Sie, dass bei einer
Zahlungsverzögerung, Ihnen Mahngebühren angerechnet werden können.
Ihre Bestellauflistung und Stornierung Möglichkeiten finden Sie auch im
Zusatzordner in der E-Mail.


Hinweis: eBay fragt niemals per E-Mail nach vertraulichen oder persönlichen
Daten (z.B. Passwort, Kreditkarte, Kontonummer).

Vielen Dank, dass Sie eBay nutzen.

Mit freundlichen Grüßen,
eBay

eBay hat diese Nachricht an Christiane gesendet.
Ihr Name in dieser Nachricht ist ein Hinweis darauf, dass die Nachricht
tatsächlich von eBay stammt.
Mehr zum Thema: eBay: Redirect

Dies ist eine automatisch generierte E-Mail. Bitte antworten Sie nicht darauf.

Hallo an alle!
Ich bin neu hier und hoffe jetzt mal alles richtig zu machen. Auf dem PC meiner Schwaegerin hat sich nach oeffnen eines Anhanges einer E-Mail der
schon beschrieben UKash Virus breitgemacht. Es erscheint der Bildschirm 100 Euro fuer die Entsperrung zu bezahlen.
Ich kann den PC nur noch mittels reatogo xp pe hochfahren. Die Daten auf Partition D sind noch alle vorhanden und lesbar. PC ist von HP. Betriebssystem Windows XP SP3. Ich habe mir OTLPE herunter geladen und konnte es auch auf diesem PC installieren. Wenn ich das Programm laufen lasse erstellt es kein Logfile. Koenntet ihr mir vielleicht weiterhelfen!

Gruss Klaus

Leute,
ich gehöre auch zu denen deren Daten so kryptisch verschlüsselt sind.
Heute ist mir was aufgefallen und zwar bei meinen verschlüsselten Bildern.
Bei ALLEN Bildern ist das Erstellungsdatum der 13.Februar 1601 um 09:28:18
Wie kann das sein?
Und auch wenn ich jpg als Endung hinzufüge kann ich die Bilder nicht öffnen

Ich will meine Bilder und meine Musik zurück

@BIOTEC
es gibt kein programm mit 100 %iger erkennungsrate.
wegen den driveby downloads.
wer ne sandbox nutzt, (sandboxie) und programme wie file hippo zum updaten und noch einige andere, hier im forum stehende tipps beachtet, braucht kaum angst vor drive by downloads zu haben.
meines wissens nach wird das teil nicht so verbreitet, aber kann kommen :-)

@litzedv
leite die mail an mich weiter:
makrusg - trojaner-board.de
@KlausR
bitte thema im logfile bereich erstellen.

Zitat:

Zitat von markusg

an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
makrusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

Hey Markus,
mein Dad hat letztens auch auf so n tollen Anhang geklickt.

Habe die Viren runterbekommen, allerdings sind jetzt alle Daten verschlüsselt (im Stile von "DLLvJyxDljAgOdUaT"), außer Windows und z.b. auch Firefox, welchen ich grade hier benutze.

Die e-mail sah folgendermaßen aus

Code: Alles auswählenAufklappen

ATTFilter

Vielen Dank für Ihren Auftrag,

Sie haben gerade bei der Datingwebseite www.Local24.de die Elitemitgliedschaft erworben. Die Zahlung in Höhe von 465,69 EUR wird in den nächsten Tagen von Ihrem Konto abgebucht. Der Einzug erfolgt durch Sogyment AG.


Sie sind jetzt für die nächsten 12 Monate Premiummember und können in vollen Umfang die Eliteangebote nutzen.
Entziehen Sie die Vertragsdetails bitte dem Zusatzordner in der E-Mail, dort finden Sie auch die Vertragsdetails und Premiumdienstvorteile. Falls Sie die Starmitgliedschaft nicht mehr wünschen, mailen Sie die Kündigung, mit der in dem zugefügten Ordner, beigelegten Kündigungserklärung.

Das Team wünscht dir viel Liebe.

Mit besten Grüßen Dieter Schwarz
Support-Team


München 70637 Deutschland
Telefon: +49-318-42429539

Geschäftsleiter: Hans Peters
Inhaltlich Verantwortlicher gemäss § 6 MDStV: Renate Weber
Datenschutzbeauftragter: Maria Pichler
UST-Nr.: DE6190666778
Amtsgericht Augsburg
         

Der Anhang heißt Abmelden.zip

Es ist absolut wichtig für meinen Dad irgendwie noch an die Datwen (vor allem die Bilder) zu kommen.
Gerne schicke ich dir auch die *.eml, wenn du mir sagst, wie man diese mit web.de erstellt.

Über Hilfe würde ich mich freuen.

MFG

Huhu Janine, du hebst aber auch wirklich jeden alten Mist auf

Spass bei Seite, ich würde Dir empfehlen, einfach noch ein bisschen zu
warten, ob der zündende Funke bezüglich der Verschlüsselung noch kommt.

Ansonnten gibt es in diesem Thread schon eine Möglichkeit für JPGs:
http://www.trojaner-board.de/115551-...e-version.html

Denk aber daran, dass du die Originale bitte aufhebst, falls es möglich ist
die Files sauber zu entschlüsseln, dieses sollte erstmal nur eine Notlösung sein,
da der verschlüsselte Bereich ja in jedem Falle flöten geht.

Darüber hinaus einmal die Frage an alle Entschlüsselungsspezialisten,
gibt es von Eurer Seite schon ein paar neue Erkenntnisse ?
Es ist in den letzten 24 Stunden sehr ruhig, die fruchtbare Suche ist ohne
Erfolg, die Anzahl an Seuchenvögeln nimmt zu und mein Ideenfundus
ist vollständig geleert.

Aktuell sieht dass Verfahren bei mir vor einen sektorbasierten Clone der
Festplatten in die Ecke zu legen und den Rechner neu aufzusetzen.
In der Hoffnung in den nächsten Tagen einen Rückruf tätigen zu können.

So far... fdy