Hallo, ich habe mir auch einen Trojaner der neuesten Version eingefangen.
Den Rechner hab ich, nachdem ich meine Verschlüsselten Daten gesichert habe, komplett neu gemacht.

Heute hat mir eine Freundin berichtet, dass sie eine Mail mit dem Betreff: "Einladung zum Sommerfest" bekommen hat. Das neue an der Mail ist, dass die Datei nicht als Anhang mitgeschickt hat, sondern, dass man sich die Datei selber runterlasen soll.

Ich denke mal, dass es sich auch diese mal um einen Trojaner Handel könnte.

Kann ich die Mail irgend wohin weiterleiten, damit sich das jemand mal ansehen kann?

Grüße

Wie ich ja schon geschrieben habe bin ich leider auch ein Opfer....

Ich habe jetzt meine Festplatte gesichert und den PC Neu aufgesetzt....

@Markus

Ich habe in meinem Spam Ordner von GMX noch so ein Bastard, wenn du mir sagst wie ich den dir zukommen lassen kann, dann sende ich dir den gerne...

@all

Ich habe nicht so viel Ahnung von PC´s usw. aber was mich wundert ist, das ich meine Musikdateien wieder bekommen habe,indem ich der Datei die Endung .mp3 gab und dann wurde sie auch abgespielt. Ich dachte dann, dann probierste das auch mal mit den Textdokumenten und den Bilder,mit der entsprechenden Endung, aber da ging das net. Er hat mir zwar angezeigt das er es in Office öffnen kann aber wenn ich drauf klicke bekomme ich nur Hyroglyphen..

Was ich auch versucht habe ist mit einem Tool von hier, konnte ich einen Schlüssel erstellen und konnte dann auch sagen entschlüssle mir die Datei...das Ergebnis war, das er mir in einem Ordner eine Datei Namens "Schlüssel eines Kunden" angelegt hat aber das ganze in einer BIN Datei war.....


Das sind bisher meine Erfahrungen zu diesen schei... Trojaner. Bin echt froh wenn der Spuk vorbei ist und eine Lösung gefunden ist aber ich denke wenn eine Lösung da ist, dann ist bestimmt schon wieder ein anderer unterwegs....

Lieber Gruß

Kleene

hallo!

eine bekannte von mir hat sich auch den trojaner eingefangen, den konnte ich mittels rescue-cd von kaspersky unschädlich machen, jedoch sind die verschlüsselten dateien geblieben und lassen sich auch mit den bis jetzt veröffentlichten entschlüsselungsprogrammen nicht wiederherstellen

in diesem fall versuchen die es über eine einkaufsbestätigung

die email habe ich abgespeichert und an virus@trojaner-board.de gesendet

lg
dejan

untenstehend die mail (header und text):

Received: from fmmailgate02.web.de ([217.72.192.227])
by sue.xoc.tele2net.at with esmtp (Exim 4.77)
(envelope-from <seif333@web.de>)
id 1SUrbL-0003pP-7a
for xxxxx.xxxxx@utanet.at; Thu, 17 May 2012 05:42:08 +0200
Received: from moweb001.kundenserver.de (moweb001.kundenserver.de [172.19.20.114])
by fmmailgate02.web.de (Postfix) with ESMTP id 136E51C4B3234
for <xxxxxx.xxxxx@utanet.at>; Thu, 17 May 2012 05:42:06 +0200 (CEST)
Received: from pc-server.PacificConcrete.local ([75.30.241.238]) by
smtp.web.de (mrweb002) with ESMTPA (Nemesis) id 0MQf77-1Sewly2Nfp-00U6aH;
Thu, 17 May 2012 05:42:06 +0200
Received: from sue.xoc.tele2net.at ([213.90.36.10])
by mary.xoc.tele2net.at with esmtp (Exim 4.77)
(envelope-from <seif333@web.de>)
id 1SUrbM-0007UA-8O
for xxxx.xxxxx@utanet.at; Thu, 17 May 2012 05:42:08 +0200
Return-Path: <seif333@web.de>
From: <seif333@web.de>
To: <xxxxx.xxxxxx@utanet.at>
Subject: Message has been disinfected : Mitgliedskonto 06610364468
Date: Thu, 17 May 2012 05:42:01 +0200
Message-ID: <CHILKAT-MID-e21f8baf-faae-793c-3d7c-236e8cb99d1b@pc-server.PacificConcrete.local>
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0000_01CD3EAD.E4181420"
X-Mailer: Microsoft Outlook Express 6.00.2800.1158
Thread-Index: Ac0z3wiun1jAfsMhT92itvPg2VZbIQ==
x-tele2-spam-relay-countries: DE ** US
x-spam-report: * -0.0 RCVD_IN_DNSWL_NONE RBL: Sender listed at hxxp://www.dnswl.org/, no * trust * [217.72.192.227 listed in list.dnswl.org] * 0.0 FREEMAIL_FROM Sender email is commonly abused enduser mail provider * (seif333[at]web.de) * -0.0 T_RP_MATCHES_RCVD Envelope sender domain matches handover relay * domain * 0.2 FREEMAIL_ENVFROM_END_DIGIT Envelope-from freemail username ends in * digit (seif333[at]web.de) * 0.0 LOTS_OF_MONEY Huge... sums of money * 0.0 TO_NO_BRKTS_MSFT To: misformatted and supposed Microsoft tool * 2.8 FORGED_MUA_OUTLOOK Forged mail pretending to be from MS Outlook
x-spam-status: No, score=3.0 required=8.0 tests=FORGED_MUA_OUTLOOK, FREEMAIL_ENVFROM_END_DIGIT,FREEMAIL_FROM,LOTS_OF_MONEY,RCVD_IN_DNSWL_NONE, TO_NO_BRKTS_MSFT,T_RP_MATCHES_RCVD
x-spam-checker: Spamassassin 3.3.2 on sue.xoc.tele2net.at
x-spam-level: xxx
x-spam-score-int: 30
x-virus-scanned: Yes, on sue.xoc.tele2net.at
x-tele2-dkim-check: header.i=@web.de adsp:unknown result:none
x-dcc-uta-metrics: sue.xoc.tele2net.at 32731; Body=1 Fuz1=1
x-provags-id: V02:K0:FAtE0G87+wAjxfEcdFTvgrgr1KKW5GCBIwGEUBY2d+K AMhG4K7TrNB89eA8rRz0k13BQZegcT8MAP9caTVcfkmtrzhgXw +NxQn2uVJZ7mdP9AXb74nhBlXvVPJFPnhuu4BKjMqJHkkYeMiD eUakdyZ0vlmbpZYlwvbUMtxx1VS1wbPU+K78KHOQJ4rMmPCn91 iduL30N8dn61+UJap1/UQ==

Dies ist eine mehrteilige Nachricht im MIME-Format.

------=_NextPart_000_0000_01CD3EAD.E4181420
Content-Type: multipart/alternative;
boundary="----=_NextPart_001_0001_01CD3EAD.E4181420"


------=_NextPart_001_0001_01CD3EAD.E4181420
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable




Sehr geehrte/r Kunde/Kundin,

Danke f=FCr Ihren Vertrag mit PelikanOnlineStore, nachfolgend finden Sie =
Ihre
Einkaufsbest=E4tigung.

Ihre Bezahlnummer: 236768401703=20
Artikel: Toshiba 1963006212 9669,01 Euro
Rechnungsname: Wie in Rechnungsdaten dargestellt


Zahlungsmethode: Lastschrift=09

Versandadresse und detaillierte Vertragsdaten finden Sie zwecks
Vorsichtsgr=FCnden im zugef=FCgten Ordner.

Die =DCberweisung wurde autorisiert und wird innerhalb 3 Tage =
abgeschrieben.=20
Kaufeinzelheiten und Widerruf Mitteilung finden Sie in beigef=FCgtem =
Anhang.


Ihr E-Mail-Support

Heinrich GmbH
Horner Stieg 75=20
73870 Potsdam

Telefon: (+49) 327 1507881
(Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr)
Gesellschaftssitz ist Altena
Umsatzsteuer-ID: DE955917598
Gesch=E4ftsfuehrer: Niko M=FCller

------=_NextPart_001_0001_01CD3EAD.E4181420
Content-Type: text/html;
boundary="-----_chilkat_c0e_c6d2_5e32ec8f.8a897bc7_.MIX";
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV=3D"Content-Type" CONTENT=3D"text/html; =
charset=3Diso-8859-1">
<META NAME=3D"Generator" CONTENT=3D"MS Exchange Server version =
08.00.0681.000">
<TITLE>Message has been disinfected : Mitgliedskonto 06610364468</TITLE>
</HEAD>
<BODY>
<!-- Converted from text/plain format -->

<P><FONT SIZE=3D2>Sehr geehrte/r Kunde/Kundin,</FONT>
</P>

<P><FONT SIZE=3D2>Danke f=FCr Ihren Vertrag mit PelikanOnlineStore, =
nachfolgend finden Sie Ihre Einkaufsbest=E4tigung.</FONT>
</P>

<P><FONT SIZE=3D2>Ihre Bezahlnummer: 236768401703 </FONT>

<BR><FONT SIZE=3D2>Artikel: Toshiba 1963006212&nbsp;&nbsp; 9669,01 =
Euro</FONT>

<BR><FONT SIZE=3D2>Rechnungsname: Wie in Rechnungsdaten =
dargestellt</FONT>
</P>
<BR>

<P><FONT SIZE=3D2>Zahlungsmethode: Lastschrift&nbsp;&nbsp;&nbsp; </FONT>
</P>

<P><FONT SIZE=3D2>Versandadresse und detaillierte Vertragsdaten finden =
Sie zwecks Vorsichtsgr=FCnden&nbsp; im zugef=FCgten Ordner.</FONT>
</P>

<P><FONT SIZE=3D2>Die =DCberweisung wurde autorisiert und wird innerhalb =
3 Tage abgeschrieben. </FONT>

<BR><FONT SIZE=3D2>Kaufeinzelheiten und Widerruf Mitteilung finden Sie =
in beigef=FCgtem Anhang.</FONT>
</P>
<BR>

<P><FONT SIZE=3D2>Ihr E-Mail-Support</FONT>
</P>

<P><FONT SIZE=3D2>Heinrich GmbH</FONT>

<BR><FONT SIZE=3D2>Horner Stieg 75 </FONT>

<BR><FONT SIZE=3D2>73870 Potsdam</FONT>
</P>

<P><FONT SIZE=3D2>Telefon: (+49) 327 1507881</FONT>

<BR><FONT SIZE=3D2>(Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 =
Uhr)</FONT>

<BR><FONT SIZE=3D2>Gesellschaftssitz ist Altena</FONT>

<BR><FONT SIZE=3D2>Umsatzsteuer-ID: DE955917598</FONT>

<BR><FONT SIZE=3D2>Gesch=E4ftsfuehrer: Niko M=FCller</FONT>
</P>

</BODY>
</HTML>
------=_NextPart_001_0001_01CD3EAD.E4181420--

------=_NextPart_000_0000_01CD3EAD.E4181420
Content-Type: application/zip;
name="Anhang.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="Anhang.zip"

UEsFBgAAAAAAAAAAAAAAAAAAAAAAAA==

------=_NextPart_000_0000_01CD3EAD.E4181420--




Sehr geehrte/r Kunde/Kundin,

Danke für Ihren Vertrag mit PelikanOnlineStore, nachfolgend finden Sie Ihre
Einkaufsbestätigung.

Ihre Bezahlnummer: 236768401703
Artikel: Toshiba 1963006212 9669,01 Euro
Rechnungsname: Wie in Rechnungsdaten dargestellt


Zahlungsmethode: Lastschrift

Versandadresse und detaillierte Vertragsdaten finden Sie zwecks
Vorsichtsgründen im zugefügten Ordner.

Die Überweisung wurde autorisiert und wird innerhalb 3 Tage abgeschrieben.
Kaufeinzelheiten und Widerruf Mitteilung finden Sie in beigefügtem Anhang.


Ihr E-Mail-Support

Heinrich GmbH
Horner Stieg 75
73870 Potsdam

Telefon: (+49) 327 1507881
(Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr) Gesellschaftssitz ist
Altena
Umsatzsteuer-ID: DE955917598
Geschäftsfuehrer: Niko Müller

@admins

WICHTIG!!!

Bitte den Anhang von norbt entfernen, da ist ein Trojaner drin!!!
Der wurde von meinem Kaspersky NICHT entdeckt!


@norbert

Keine Anhänge ohne Kennwort!

Zitat:

Zitat von norbt

[..]
TLDR: warum ich eigentlich schreibe; Ich habe unter "Dokumente und Einstellungen\All Users\Anwendungsdaten" den übeltäter ausfindig machen können und alles was mMn dazugehörte in den Anhang gepackt in der Hoffnung es hilft weiter.

lg
Norbert

Danke für den Hinweis, bitte nächstes mal den Beitrag melden
Danke.

Hallo leahciM,

ich sitze gerade mit großen Augen vor Deinem Post
bezüglich des Anhangs von Norbert,
wo findest du in dem Paket einen Virus ?

Ich habe extrahiert:

btn-green.png
corners-btn.png
corners1.png
corners2.png
corners3.png
corners4.png
de-flag.png
de-image.png
ie6-7.css
jquery.main.js
main.html
McAfee.png
pays-de.png
style.css
Thumbs.db
ukash.png

damit wir über dass gleiche Paket sprechen.
dort ist keine ausführbare Datei enthalten (exe / pif / scr und Konsorten).

Ein kurzer Überflug hat mir den Anschein vermittelt, dass es sich dabei
um die HTML Seite handelt, die der Virus einblendet, wenn der Rechner
infiziert ist, jedoch nicht um den Schadcode selber oder irgendeine
Infektions / Crypt-Routine.

Ich würde um ein kurzes Feedback von Dir bitten, was du auf der VM
gemacht hast, damit es zu einer vermeindlichen Infektion gekommen ist.

Btw. die ältere Variante wird von Kaspersky garantiert erkannt,
ich konnte heute eine E-Mail mit der bekannten Rechnung.pif von
einem PC extrahieren und Kaspys-Alarmglocken haben sofort geläutet.
Daher gehe ich erstmal davon aus, dass du die main.html
im Browser geöffnet hast oder wir nicht vom gleichen Paket sprechen.

Vielen Dank fdy

Hier noch eine Erscheinungsform der neuen Trojaner-Variante:
Ergebnis: Verschlüsselte Dateien und die allseits bekannten verwurschtelten Dateinamen ohne "Locked"-Bezeichnung.
Beispiel/Vergleichsdateien der Verschlüsseldung siehe Thread "Dateien, die kein Locked im Namen haben" in der Rubrik "Plagegeister..." von madddy


Absender: mrloc

Als Betreff: Deine Dating-Agentur-Rechnung Nummer 138713487

Als Anhang: Eine Datei mit Namen "Abmelden.zip"

Besten Dank für Ihre Zahlung,

Sie haben gerade bei der Dating-Agentur Partnervermittlung für die Partnersuche mit Niveau: ElitePartner.ch die
Starmitgliedschaft bestellt. Die Summe in Höhe von 397,69 EUR wird in den
kommenden Tagen von Ihrem Konto abgetragen. Die Abrechnung erfolgt durch
Mepyment Ltd.


Sie sind jetzt für die kommenden 6 Monate Elitemember und können in voller
Grösse die Premiumleistungen nutzen.
Entnehmen Sie die Zahlungsaufforderung bitte dem Zusatzordner in der E-Mail,
dort finden Sie auch die Rechnungsdaten und Elitedienstvorteile. Falls Sie die
Starmitgliedschaft nicht mehr wollen, mailen Sie die Kündigung, mit der in der
beigefügter Datei, beigelegten Kündigungserklärung.

Wir wünschen dir viel Glück!

Mit freundlichen Grüßen Monika Haas
Kundendienst


Augsburg 68768 Deutschland
TEL: +49-119-93348212

Geschäftsleiter: Michael Maier
Inhaltlich Verantwortlicher gemäss § 6 MDStV: Wolfgang Peters
Datenschutzbeauftragter: Dieter Leitner
UST-Nr.: DE7732466231
Amtsgericht Stuttgart

Hallo fdy.

Zitat:

Zitat von fdy

Hallo leahciM,

ich sitze gerade mit großen Augen vor Deinem Post bezüglich des Anhangs von Norbert, wo findest du in dem Paket einen Virus ?

Ich habe extrahiert:
[..]

damit wir über dass gleiche Paket sprechen.
dort ist keine ausführbare Datei enthalten (exe / pif / scr und Konsorten).

Ein kurzer Überflug hat mir den Anschein vermittelt, dass es sich dabei
um die HTML Seite handelt, die der Virus einblendet, wenn der Rechner
infiziert ist, jedoch nicht um den Schadcode selber oder irgendeine
Infektions / Crypt-Routine.

Ich würde um ein kurzes Feedback von Dir bitten, was du auf der VM
gemacht hast, damit es zu einer vermeindlichen Infektion gekommen ist.

Btw. die ältere Variante wird von Kaspersky garantiert erkannt,
ich konnte heute eine E-Mail mit der bekannten Rechnung.pif von
einem PC extrahieren und Kaspys-Alarmglocken haben sofort geläutet.
Daher gehe ich erstmal davon aus, dass du die main.html
im Browser geöffnet hast oder wir nicht vom gleichen Paket sprechen.

Vielen Dank fdy

Geh bitte in die tro.zip. Dort ist ein Ordner "gkfouvtggpaaedq" und "tro" vorhanden. Im Ordner "tro" ist eine weitere ZIP-Datei "mafzvzmxsdmfqne.zip" vorhanden. Schau da mal rein -> "vhjgorkblydpuyqzgfcf.exe"

Achja, Datei in die VM. Ausgeführt. Passierte nix. Neustart --> siehe Bild. Ich habe keine html gestartet.


Michael

Hallo,

Mich hat der Virus PWS:Win32/Zbot.gen!Y auch befallen. Es geht garnichts mehr. Der PC fährt hoch aber sonst nichts. Ich habe den PC Aauch schon einige male im Abgeschotteten Moudus gestartet. Ich habe den PC Auch vom Netz genommen. Denn wenn ich ihn wieder anschließe geht ein Fenster auf vom Bundesamt und der Guva
Ich soll illegale Daten auf meinem Rechner haben....
Wie bekomme ich meinen PC wieder ans laufen???

Hallo Liebe Leute ,

ich habe hier nun auch ein Notebook wo verschlüsselte Dateien drauf sind durch den Virus. Mit scareuncrypt kann ich zwar eine schlüssel Datei erstellen aber er entschlüsselt mir keine Daten. Mit DecryptHelper kann ich kein Schlüssel erzeugen , da kommt immer die Fehlermeldung "Der Schlüssel konnte nicht bestimmt werden!" Wenn ich den erstellten Schlüssel von scareuncrypt nehme und einen Scan starte , stellt er mir auch ebefnalls 0 Dateien wieder her.
Hatte jemand zufällig genau das gleiche Problem und konnte es lösen??? Bei den Schattenkopien kann ich leider nur festellen das sein letzter Wiederherstellungspunkt ebenfalls schon von dem Virus betroffen war. Hillllllfffeeeeee

PS: ich bin neu hier,versteh ich das richtig das man den admins auch die verschlüsselten dateien zu senden kann?

Zitat:

Zitat von Betty371

Hallo,

Mich hat der Virus PWS:Win32/Zbot.gen!Y auch befallen. Es geht garnichts mehr. Der PC fährt hoch aber sonst nichts. Ich habe den PC Aauch schon einige male im Abgeschotteten Moudus gestartet. Ich habe den PC Auch vom Netz genommen. Denn wenn ich ihn wieder anschließe geht ein Fenster auf vom Bundesamt und der Guva
Ich soll illegale Daten auf meinem Rechner haben....
Wie bekomme ich meinen PC wieder ans laufen???

moin moin Betty371,
Du brauchst individuelle Hilfe.
Hier ist das Diskussionsforum, Dein Hilferuf geht hier schnell in der Vielzahl der Posts unter.

Eröffne ein eigenes Thema, individuell für Dich.
Ganz ober steht Hinweise:
Darunter auch folgender Link: Thema starten
Ein Teammitglied wird sich Deiner annehmen.
Denke aber bitte daran, dass hier Menschen Hilfe leisten, die auch ihrer geregelten Arbeit nachgehen müssen und ihre Freizeit opfern.
Nur für den Fall, dass sich nicht sofort jemend meldet.

Gruß Volker

erst mal an alle die zusenden wollen
wenn sie direkt über den browser das erleigen, mail öffnen, weiterleiten. ansonsten:
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.

bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

hallo!

noch ein posting von mir zu meinen ersten beitrag mit dem report im anhang, welcher vom virenscanner erstellt wurde

der trojaner hat alle persönlichen dateien (doc, xls, jpg, mp3, usw.) verschlüsselt und unbenannt in unzusammenhängende buchstabenkombinationen, zb: dNnspxujarsjXxUeEeV
ohne besondere endung

bis jetzt konnte ich die dateien mit keinem der veröffentlichten entschlüsselungsprogramme wieder herstellen

lg
dejan

Hallo,,,ich habe mir den auch dummerweise eingefangen.Habe das hier schon einige zeit verfolgt.heute habe ich mich registriert,,,,,Konnte aber endlich heute wenigstens die fotos und dokumente auf C: wiederherstellen.Viele Fotos von meiner ,vor 2 Jahren verstorbenen Mama.....Mit dem Programm Shadow explorer....Diesen Trojaner habe ich ( hoffentlich) mit kaspersky entfernt.Eigentlich seit ihr hier die einzigen die sich mit diesem Thema befasst und versucht den Leuten zu helfen.Hochachtung von mir.Macht weiter so.Echt cool....

Hallo an Alle

Bin so ziemlich neu hier und habe seid heute auch diesen Verschlüsselungstrojaner (über eine Mail von flirt fever) auf meinem Netbook.

Um mein Netbook wenigstens erstmal wieder zum laufen zu bekommen, habe ich im abgesicherten Modus eine Systemwiederherstellung gemacht.

Als weiteres hab ich mir das Programm Anti-Malware runter geladen und vollständig meinen MiniLappi überprüfen lassen.

Dabei kam dieses hier raus:

Trojaner C:Users\manjas\AppData\Local\Temp\glagpueepu.pre
Trojaner C:User\manjas\AppData\Local\Temp\lsnblhzzhh.pre

So. Nun habe ich zwar diese beiden Trojaner, kann aber damit nichts anfangen.
Sollen diese gelöscht werden oder in Quarantäne?

Als nächsten Schritt habe ich gelesen sollte man sich das Programm Decrypthelper runter laden. Hab ich auch gemacht. Version 0.5.3

Und jetzt kommt glaub ich das eigentliche Problem. Ich weiss absolut nicht, was ich da machen soll. Kann mir das jemand Step by Step hier schreiben?

Mfg
blueeyes