Ok Vielen Dank schonmal dann werd ich das mal machen

Liebe Grüße

Hallo Forum,
mich hat es auch erwischt. Gestern hatte ich eine Nachricht in meinem Outlook bezüglich einer Rechnung. Die Einzelheiten zu dem Rechnungsbetrag von etwa 400 EURO sowie dem zu belastenden Konto stünden im angeblich im Dateianhang (zip.Datei). Ich hatte es eilig und habe mich zum öffnen der Datei überrumpeln lassen. Da die Datei aber nicht entpackt werden konnte, habe ich die Mail gelöscht. Soweit war dann auch alles in Ordnung, ich konnte ohne Beeinträchtigung weiterarbeiten.

Heute Morgen habe ich das Laptop wieder eingeschaltet und bekam dieses Verschlüsselungsbild (Willkommen bei Windows Update) und nichts ging mehr. Ich habe mit einem alten Rechner dann nach Lösungen im Netz gesucht und es wurde mir empfohlen, zunächst über die Miccrosoftseite den die neueste Defenderdefinition (10 Tage Version) zu laden. Nach mehrmaligem Systemstart an dem infizierten Rechner habe ich dann als erstes das System zu einem früheren Zeitpunkt wiederhergestellt und dann diesen neuen Virenscan laufen lassen. Ergebnis: 4 Funde. Dann habe ich nach den Dateien geschaut und festgestellt, dass offensichtlich alle Dateien in verschiedene Buchstaben/Zahlen-Kombinationen umbenannt sind. Ich kann die Dateien nicht öffnen, auch wenn ich weiß, mit welchem Programm das eigentlich gehen müsste (in manchen Ordner sind nur .doc, in anderen Bilder, usw.). Ich versuche nun die Schritte wie hier im Forum angegeben, zur Zeit läuft ein Malwarebytes-Scan der auch schon ein infiziertes Objekt gefunden hat.
Im Papierkorb befinden sich Dateien die ich mal gelöscht habe (Verknüpfungen, exe.Dateien die mir bekannt sind und da hingehören und eben auch einige kryptische Dateibezeichnungen). Eine der kryptischen Dateien ist 100 MB groß, dass könnte die Ursprungsdatei sein, weiß ich aber nicht.

Ich bin ziemlich unerfahren in solchen Dingen und freue mich, wenn ich hier schnelle Hilfe bekomme.

Gruß
RasKi

Hallo Leute,
Ich habe auf meinem Laptop genau diesen Trojaner und kann auf nichts mehr zugreifen. Leider kenne ich mich gar nicht aus mit sowas. Bitte helft mir!!! Ich habe ein Acer Notebook mit win7, 32 Bit glaube ich.
Hilfe!!!

ich habe nun versucht, einen großen Teil der verschlüsselten Dateien zu kopieren um dann anschließend mit shadowexplorer daran arbeiten zu können. Dabei konnte eine Datei (mit wirrer Buchstabenbezeichnung als Dateiname) nicht mit Dateieigenschaften kopiert werden Meldung:

Eigenschaftsverlust

Die Datei xnjxnlvplvjxnA verfügt über Eigenschaften, die nicht an den neuen Ort kopiert werden können.

Typ: Datei
Größe: 504kb
Änderungsdatum: 15.11.2011

Das Datum liegt definitiv vor dem Befall. Der angegebene Dateiname ist 1:1 abgetippt. Hilft das (vielleicht eine Routine?)?

@RasKi,

Zitat:

Zitat von RasKi

...
Dann habe ich nach den Dateien geschaut und festgestellt, dass offensichtlich alle Dateien in verschiedene Buchstaben/Zahlen-Kombinationen umbenannt sind.
...

Buchstaben/Zahlen-Kombinationen ?

Das ist neu, bisher bestanden die Namen ausschließlich aus alphanumerischen Zeichen, also Groß- und Kleinbuchstaben.

Kommst Du noch irgendwie an die Infektionsquelle, sprich Mail?
Schicke sie an @markusg, folge dem Link von oben Sendet und die Viren!.

Gruß Volker

Zitat:

Zitat von Undertaker

@RasKi,



Buchstaben/Zahlen-Kombinationen ?

Das ist neu, bisher bestanden die Namen ausschließlich aus alphanumerischen Zeichen, also Groß- und Kleinbuchstaben.

Kommst Du noch irgendwie an die Infektionsquelle, sprich Mail?
Schicke sie an @markusg, folge dem Link von oben Sendet und die Viren!.

Gruß Volker

Sorry Volker..... mein Fehler!
Die Dateien sind nur in wirren Groß- und Kleinbuchstaben kompiliert worden. Ich habe inzwischen mit dem shadow-explorer ganz gute Ergebnisse erreicht. Aber manches Foto scheint weg zu sein. Aber die wirklich wichtigen Dinge sind wieder hergestellt (office-Dateien). Ich arbeite mit Windows 7 home / dell und benutze für den Email-Verkehr MS-Outlook. Über die Suche habe ich auch schon die zip.Datei (Leistungen.zip) gefunden. Nun muss ich MS-Outlook wieder herstellen und dann versuche ich die Email an Marcus zu schicken. Ebenso habe ich schon eine otl.txt, eine extras.txt und eine mbam-log-***.txt erstellt. Soll ich die gleich mitschicken oder dazu ein neues Thema eröffnen?

Gruß
RasKi

Ich kann die .pst von outlook nicht mit dem Shadow-Explorer wieder herstellen. Irgendwie stimmt der Pfad der im SE angezeigt wird nicht mit dem des Explorers überein.
Folglich kann ich auch den Ursprungsanhang nicht senden. Er ist aber noch da... weiß jemand Rat?

Dann ist mir auch aufgefallen dass die umbenannten Dateien alle in den Eigenschaften das Erstellungsdatum 13. Februar 1601, 09:28:18 aufweisen. Damals hab´ ich meine Daten aber noch in Stein gemeißelt. Es hat also etwas mit dem Trojaner zu tun. JanineM hat das auch schonmal gepostet.........

@salka,

siehe oben unter Hinweise, beginnend mit Punkt 1.
Dann wird Dir auch geholfen.
Schau auch mal was darunter steht, unter Diskussionsforum:

Ok das tut mir leid, habe das nicht gesehen. Ich komme nur per Smartphone ins Internet und überblicke da nicht alles.sorry.
Wie kann ich denn diese Software runterladen wenn ich gar nicht ins Internet komme mit dem Laptop? Auch der abgesicherte Modus funktioniert nur ohne Netzwerk.
Grüße

@salka,
hast Du auf dem Notebook Dateien, bei deren Verlust Du an Selbstmord denken würdest? (kleiner Scherz)
Ich meine Dateien, die für Dich sehr sehr wichtig sind?

Wenn nicht, kannst Du das Notebook mit F10 in den Auslieferzustand versetzen.
Dann ist es sauber, allerdings auch gereinigt von allen Dateien, die Du auf c:\ gespeichert hattest.

Ansonsten kann Dir eventuell ein/e Freund/in mit Netzzugang behilflich sein.

Gruß Volker

@Volker
Ja ich habe sehr wichtige Daten drauf, die sind aber alle auf d: gespeichert und jetzt verschlüsselt... Bleiben mir diese erhalten, wenn ich den Laptop in den Auslieferungszustand versetze?
Entschuldige die dummen Fragen, ich kenn mich nicht gut aus
Gruß, Salka

Ja, die Dateien bleiben bei einer Formatierung von c: erhalten.

Ich bin im Übrigen ebenfalls von der neuen Version gebeutet, die die Dateien mit Gross- und Kleinbuchstaben (keine Zahlen) verschlüsselt.

Bisher konnten weder Avira-RansomFileUnlocker-1.0.1, scareuncrypt, rannohdecryptor.exe noch DecryptHelper-0.5.3.exe etwas entschlüsseln, geschweigedenn einen Schlüssel generieren.

Die Datei habe ich leider nicht mehr, da ich die Mail nach dem Herunterladen der $§%§$!-Datei direkt in Outlook gelöscht und c: formatiert habe.

Windows wollte eh mal wieder neu aufgesetzt werden und Urlaub hab ich auch ab heute, aber das hilft mir wenig, wenn ich die Dateien nicht entschlüsseln kann.

Zitat:

Zitat von salka

@Volker
Ja ich habe sehr wichtige Daten drauf, die sind aber alle auf d: gespeichert und jetzt verschlüsselt... Bleiben mir diese erhalten, wenn ich den Laptop in den Auslieferungszustand versetze?
Entschuldige die dummen Fragen, ich kenn mich nicht gut aus
Gruß, Salka

@salka,
woher weißt Du, dass deine Daten auf D: verschlüsselt sind?
Bisher haben hier zwei Leute berichtet, dass die Daten zwar umbenannt aber nicht verschlüsselt wurden.
Vielleicht hast Du ja Glück.

@RoDoDo,

Zitat:

Zitat von RoDoDo

...
Windows wollte eh mal wieder neu aufgesetzt werden und Urlaub hab ich auch ab heute, aber das hilft mir wenig, wenn ich die Dateien nicht entschlüsseln kann.

Hast Du schonmal hier gelesen?
Vielleicht kommst Du damit weiter.

Gruß Volker

hallo

ich habe 3 mails dieser art bekommen und blöderweise das letzt im anhang geöffnet.
ich kann mein windows nicht mehr starten, weil der verschlüsselungs trojaner sich öffnet.
ich habe bei euch einige beiträge gelesen und verschiedenes davon versucht - aber vergeblich.
ich kann weder im abgesicherten modus (F6 taste) noch von einer cd starten - bei mir geht gar nichts und ich kenn mich leider zu wenig aus.
bitte helft mir

@ Undertaker

Ich habe auch so ein Buchstaben Wirwar ein Beispiel ist "AnUygfsLdupOeJTrD" oder "EUdUDNJjJfJJAAJj" oder "lXgevtDQXOsJar"

Leider habe ich noch keine Möglichkeit diese wieder lesbar zu machen....meine Musik konnte ich aber wieder bekommen, indem ich einfach die Endung mp3 dazu gemacht habe, was aber bei Textdateien und Bildern nicht geht....

Wenn es euch hilft, bin ich gerne dazu bereit euch mal eine Liste mit den Buchstaben Wirwar zu machen...

@Kleene,

Zitat:

Zitat von Kleene8611

....meine Musik konnte ich aber wieder bekommen, indem ich einfach die Endung mp3 dazu gemacht habe, was aber bei Textdateien und Bildern nicht geht....

Wenn es euch hilft, bin ich gerne dazu bereit euch mal eine Liste mit den Buchstaben Wirwar zu machen...

Das mit den MP3s wurde hier ja bereits oft erwähnt.
Dem MP3-Decoder machen die defekten 12kB eben nichts aus.

Für TXT und JPG oder andere Dateiformate gibt es noch keine Standardlösung.

Der Einzige Weg führt dezeit über Schattenkopien.
Lies mal hier nach.