![]() |
|
Diskussionsforum: Neue Verschlüsselungs-Trojaner Variante im UmlaufWindows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
![]() |
|
![]() | #1 |
| ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf Ok Vielen Dank schonmal dann werd ich das mal machen Liebe Grüße |
![]() | #2 |
| ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf Hallo Forum,
__________________mich hat es auch erwischt. Gestern hatte ich eine Nachricht in meinem Outlook bezüglich einer Rechnung. Die Einzelheiten zu dem Rechnungsbetrag von etwa 400 EURO sowie dem zu belastenden Konto stünden im angeblich im Dateianhang (zip.Datei). Ich hatte es eilig und habe mich zum öffnen der Datei überrumpeln lassen. Da die Datei aber nicht entpackt werden konnte, habe ich die Mail gelöscht. Soweit war dann auch alles in Ordnung, ich konnte ohne Beeinträchtigung weiterarbeiten. Heute Morgen habe ich das Laptop wieder eingeschaltet und bekam dieses Verschlüsselungsbild (Willkommen bei Windows Update) und nichts ging mehr. Ich habe mit einem alten Rechner dann nach Lösungen im Netz gesucht und es wurde mir empfohlen, zunächst über die Miccrosoftseite den die neueste Defenderdefinition (10 Tage Version) zu laden. Nach mehrmaligem Systemstart an dem infizierten Rechner habe ich dann als erstes das System zu einem früheren Zeitpunkt wiederhergestellt und dann diesen neuen Virenscan laufen lassen. Ergebnis: 4 Funde. Dann habe ich nach den Dateien geschaut und festgestellt, dass offensichtlich alle Dateien in verschiedene Buchstaben/Zahlen-Kombinationen umbenannt sind. Ich kann die Dateien nicht öffnen, auch wenn ich weiß, mit welchem Programm das eigentlich gehen müsste (in manchen Ordner sind nur .doc, in anderen Bilder, usw.). Ich versuche nun die Schritte wie hier im Forum angegeben, zur Zeit läuft ein Malwarebytes-Scan der auch schon ein infiziertes Objekt gefunden hat. Im Papierkorb befinden sich Dateien die ich mal gelöscht habe (Verknüpfungen, exe.Dateien die mir bekannt sind und da hingehören und eben auch einige kryptische Dateibezeichnungen). Eine der kryptischen Dateien ist 100 MB groß, dass könnte die Ursprungsdatei sein, weiß ich aber nicht. Ich bin ziemlich unerfahren in solchen Dingen und freue mich, wenn ich hier schnelle Hilfe bekomme. Gruß RasKi |
![]() | #3 |
| ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf Hallo Leute,
__________________Ich habe auf meinem Laptop genau diesen Trojaner und kann auf nichts mehr zugreifen. Leider kenne ich mich gar nicht aus mit sowas. Bitte helft mir!!! Ich habe ein Acer Notebook mit win7, 32 Bit glaube ich. Hilfe!!! |
![]() | #4 |
| ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf ich habe nun versucht, einen großen Teil der verschlüsselten Dateien zu kopieren um dann anschließend mit shadowexplorer daran arbeiten zu können. Dabei konnte eine Datei (mit wirrer Buchstabenbezeichnung als Dateiname) nicht mit Dateieigenschaften kopiert werden Meldung: Eigenschaftsverlust Die Datei xnjxnlvplvjxnA verfügt über Eigenschaften, die nicht an den neuen Ort kopiert werden können. Typ: Datei Größe: 504kb Änderungsdatum: 15.11.2011 Das Datum liegt definitiv vor dem Befall. Der angegebene Dateiname ist 1:1 abgetippt. Hilft das (vielleicht eine Routine?)? |
![]() | #5 | |
/// Helfer-Team ![]() ![]() | ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf @RasKi, Zitat:
Das ist neu, bisher bestanden die Namen ausschließlich aus alphanumerischen Zeichen, also Groß- und Kleinbuchstaben. Kommst Du noch irgendwie an die Infektionsquelle, sprich Mail? Schicke sie an @markusg, folge dem Link von oben Sendet und die Viren!. Gruß Volker |
![]() | #6 | |
| ![]() Neue Verschlüsselungs-Trojaner Variante im UmlaufZitat:
![]() Die Dateien sind nur in wirren Groß- und Kleinbuchstaben kompiliert worden. Ich habe inzwischen mit dem shadow-explorer ganz gute Ergebnisse erreicht. Aber manches Foto scheint weg zu sein. Aber die wirklich wichtigen Dinge sind wieder hergestellt (office-Dateien) ![]() Gruß RasKi Ich kann die .pst von outlook nicht mit dem Shadow-Explorer wieder herstellen. Irgendwie stimmt der Pfad der im SE angezeigt wird nicht mit dem des Explorers überein. Folglich kann ich auch den Ursprungsanhang nicht senden. Er ist aber noch da... weiß jemand Rat? Dann ist mir auch aufgefallen dass die umbenannten Dateien alle in den Eigenschaften das Erstellungsdatum 13. Februar 1601, 09:28:18 aufweisen. Damals hab´ ich meine Daten aber noch in Stein gemeißelt. Es hat also etwas mit dem Trojaner zu tun. JanineM hat das auch schonmal gepostet......... |
![]() | #7 |
/// Helfer-Team ![]() ![]() | ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf @salka, siehe oben unter Hinweise, beginnend mit Punkt 1. Dann wird Dir auch geholfen. Schau auch mal was darunter steht, unter Diskussionsforum: |
![]() | #8 |
| ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf Ok das tut mir leid, habe das nicht gesehen. Ich komme nur per Smartphone ins Internet und überblicke da nicht alles.sorry. Wie kann ich denn diese Software runterladen wenn ich gar nicht ins Internet komme mit dem Laptop? Auch der abgesicherte Modus funktioniert nur ohne Netzwerk. Grüße |
![]() | #9 |
/// Helfer-Team ![]() ![]() | ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf @salka, hast Du auf dem Notebook Dateien, bei deren Verlust Du an Selbstmord denken würdest? (kleiner Scherz) Ich meine Dateien, die für Dich sehr sehr wichtig sind? Wenn nicht, kannst Du das Notebook mit F10 in den Auslieferzustand versetzen. Dann ist es sauber, allerdings auch gereinigt von allen Dateien, die Du auf c:\ gespeichert hattest. Ansonsten kann Dir eventuell ein/e Freund/in mit Netzzugang behilflich sein. Gruß Volker |
![]() | #10 |
| ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf @Volker Ja ich habe sehr wichtige Daten drauf, die sind aber alle auf d: gespeichert und jetzt verschlüsselt... Bleiben mir diese erhalten, wenn ich den Laptop in den Auslieferungszustand versetze? Entschuldige die dummen Fragen, ich kenn mich nicht gut aus ![]() Gruß, Salka |
![]() | #11 |
| ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf Ja, die Dateien bleiben bei einer Formatierung von c: erhalten. Ich bin im Übrigen ebenfalls von der neuen Version gebeutet, die die Dateien mit Gross- und Kleinbuchstaben (keine Zahlen) verschlüsselt. Bisher konnten weder Avira-RansomFileUnlocker-1.0.1, scareuncrypt, rannohdecryptor.exe noch DecryptHelper-0.5.3.exe etwas entschlüsseln, geschweigedenn einen Schlüssel generieren. Die Datei habe ich leider nicht mehr, da ich die Mail nach dem Herunterladen der $§%§$!-Datei direkt in Outlook gelöscht und c: formatiert habe. Windows wollte eh mal wieder neu aufgesetzt werden und Urlaub hab ich auch ab heute, aber das hilft mir wenig, wenn ich die Dateien nicht entschlüsseln kann. |
![]() | #12 | ||
/// Helfer-Team ![]() ![]() | ![]() Neue Verschlüsselungs-Trojaner Variante im UmlaufZitat:
woher weißt Du, dass deine Daten auf D: verschlüsselt sind? Bisher haben hier zwei Leute berichtet, dass die Daten zwar umbenannt aber nicht verschlüsselt wurden. Vielleicht hast Du ja Glück. @RoDoDo, Zitat:
Vielleicht kommst Du damit weiter. Gruß Volker
__________________ Das Board unterstützen Datenrettung -->HIER! Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer. |
![]() | #13 |
| ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf hallo ich habe 3 mails dieser art bekommen und blöderweise das letzt im anhang geöffnet. ich kann mein windows nicht mehr starten, weil der verschlüsselungs trojaner sich öffnet. ich habe bei euch einige beiträge gelesen und verschiedenes davon versucht - aber vergeblich. ich kann weder im abgesicherten modus (F6 taste) noch von einer cd starten - bei mir geht gar nichts und ich kenn mich leider zu wenig aus. bitte helft mir ![]() |
![]() | #14 |
![]() | ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf @ Undertaker Ich habe auch so ein Buchstaben Wirwar ein Beispiel ist "AnUygfsLdupOeJTrD" oder "EUdUDNJjJfJJAAJj" oder "lXgevtDQXOsJar" Leider habe ich noch keine Möglichkeit diese wieder lesbar zu machen....meine Musik konnte ich aber wieder bekommen, indem ich einfach die Endung mp3 dazu gemacht habe, was aber bei Textdateien und Bildern nicht geht.... Wenn es euch hilft, bin ich gerne dazu bereit euch mal eine Liste mit den Buchstaben Wirwar zu machen... |
![]() | #15 | |
/// Helfer-Team ![]() ![]() | ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf @Kleene, Zitat:
Dem MP3-Decoder machen die defekten 12kB eben nichts aus. Für TXT und JPG oder andere Dateiformate gibt es noch keine Standardlösung. Der Einzige Weg führt dezeit über Schattenkopien. Lies mal hier nach.
__________________ Das Board unterstützen Datenrettung -->HIER! Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer. |
![]() |