@all
erst mal hallo an alle.Ich bin neu hier und hoffe das Ihr mir helfen koennt.Ich habe mir heute den Trojaner eingefangen und brauche 2 Dateien um den Schluessel zu extrahieren.

C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\Blue hills.jpg
C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\TxoXdJptaEoQUvpsnED

Mein System:Win7 Premium Deutsch

Wenn mir die jemand zu verfuegung stellen koennte waehre ich sehr dankbar.

Viele Gruesse

Joerg

bitte einfach mal lesen bevor man schreibt, solche dateien können wir nicht entschlüsseln im moment.
du kannst bei bild und mp3 dateien aber mal die endung hinzufügen, dann sollten diese zumindest zu öffnen sein.
außerdem die infektionsquelle senden.
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

Hallo ich bins nochmal,

also das mit der Schattenkopie hat irgendwie nicht funktioniert....er zeigt mir die Dateien die Betroffen sind nicht an...entweder bin ich zu blöd dafür oder es geht wirklich nicht....

Das es für Textdateien noch keine Lösung gibt das weiss ich....


@ Markus

Kann ich die infizierte Mail nicht einfach an dich weiterleiten, dann müsstest du die doch auch bekommen oder?

weil wenn ich die mail markiere, kann ich nicht speichern....


Ich hab grad gesehen das ich in meinem anderen E-Mail Acount auch wieder so eine habe...also ich kann jetzt zwei anbieten...einmal bei gmx und einmal bei web

Servus zusammen,
gestern war der Laptop tran.
Denn Trojaner glaube ich gefunden zu haben.

hab in an virus@trojaner-board.de gesand in einer, wie gewünscht als ZIP DATEI.
(D8CBDBD3025879E42DCB-Trojaner-2012-05-31.zip)

Hoffe ihr könnt damit was anfangen.
Es handelt sich bei diesem Trojaner um die Variante, die Daten umcodiert alphabetisch ohne Dateiendung

z.B.:

DtEAsqrAgdsVXdjDUg


Als Tip für alle, mit dem Shadowexplorer konnten wir die Daten wieder herstellen.
ShadowExplorer.com - About

Zitat:

Zitat von Kleene8611

Hallo ich bins nochmal,

also das mit der Schattenkopie hat irgendwie nicht funktioniert....er zeigt mir die Dateien die Betroffen sind nicht an...entweder bin ich zu blöd dafür oder es geht wirklich nicht....

Das es für Textdateien noch keine Lösung gibt das weiss ich....


@ Markus

Kann ich die infizierte Mail nicht einfach an dich weiterleiten, dann müsstest du die doch auch bekommen oder?

weil wenn ich die mail markiere, kann ich nicht speichern....


Ich hab grad gesehen das ich in meinem anderen E-Mail Acount auch wieder so eine habe...also ich kann jetzt zwei anbieten...einmal bei gmx und einmal bei web

@Kleene,

hast Du Dir die Videos von @pcab50 angesehen?

http://www.trojaner-board.de/115551-...tml#post835551

Dann kannst Du nachvollziehen ob Du unwissend bist oder ob Schattenkopien bei Dir vorhanden sind.
Hast Du Dir den ShaowExplorer runter gekaden?

Hallo an alle Experten und Betroffenen,

nachdem ich hier nun seit gestern fleissig mitgelesen habe, wollte ich doch auch endlich mal meinen Senf dazuabgeben.

Es erwischte mich dummerweise gestern Abend, konnte das Fenster mit der Zahlungsaufforderung im abgesicherten Modus mit Netzwerk umgehen und habe mir dann Malewarebytes heruntergeladen, laufenlassen und nach dem Fund, war es zumindest erstmal wieder möglich den Laptop normal zu starten.

Blieb also noch das grosse Problem mit den verschlüsselten Daten!!! Denn auch ich hatte leider nie eine Sicherung gemacht!
Meine Verschlüsselungen waren rein wirre Buchstabenkombis ohne Endungen ( vorher mp3,mp4,odt,txt,jpg usw.) und kein Tool konnte da irgendwas lösen.
Die Funktion Schattenkopien war leider ausgeschaltet....und bevor ich es endgültig aufgeben wollte, versuchte ich den Shadow Explorer und siehe da:
Ich konnte doch glatt meine Daten ( Fotos, Songs, Texte, Firefoxlesezeichen usw.) wiederholen!!! War zwar etwas Zeitaufwand, aber es hat sich für mich gelohnt. Also versucht es bitte mal damit! Vielen Dank möchte ich hiermit pcab50 aussprechen, dass er das so toll im Videoformat erklärt hat!

Mir ist übrigens ausgefallen, dass sich diese Buchstaben überall mit hereingeschlichen haben....habe mal hier und mal da was gesehen und auch mit Shadow Explorer ausgetauscht. Letzlich zeigt mir weder AntiVir, noch Malewarebytes etwas Schlechtes an, ich bin mir aber irgendwie nicht sicher, ob dieser Virus nun von mir gegangen ist oder nicht!?

Gibt es eine Möglichkeit zu sehen, ob ich nun clean bin??? Möchte mir natürlich gerne das Neuaufspielen usw. gerne sparen.

Vielen herzlichen Dank für eine Antwort und haltet weiterhin tapfer durch und ärgert euch nicht zu sehr!

Liebe Grüsse, LadySa

Zitat:

Zitat von Undertaker

@RasKi,



Buchstaben/Zahlen-Kombinationen ?

Das ist neu, bisher bestanden die Namen ausschließlich aus alphanumerischen Zeichen, also Groß- und Kleinbuchstaben.

Kommst Du noch irgendwie an die Infektionsquelle, sprich Mail?
Schicke sie an @markusg, folge dem Link von oben Sendet und die Viren!.

Gruß Volker

Sorry Volker..... mein Fehler!
Die Dateien sind nur in wirren Groß- und Kleinbuchstaben kompiliert worden. Ich habe inzwischen mit dem shadow-explorer ganz gute Ergebnisse erreicht. Aber manches Foto scheint weg zu sein. Aber die wirklich wichtigen Dinge sind wieder hergestellt (office-Dateien). Ich arbeite mit Windows 7 home / dell und benutze für den Email-Verkehr MS-Outlook. Über die Suche habe ich auch schon die zip.Datei (Leistungen.zip) gefunden. Nun muss ich MS-Outlook wieder herstellen und dann versuche ich die Email an Marcus zu schicken. Ebenso habe ich schon eine otl.txt, eine extras.txt und eine mbam-log-***.txt erstellt. Soll ich die gleich mitschicken oder dazu ein neues Thema eröffnen?

Gruß
RasKi

Ich kann die .pst von outlook nicht mit dem Shadow-Explorer wieder herstellen. Irgendwie stimmt der Pfad der im SE angezeigt wird nicht mit dem des Explorers überein.
Folglich kann ich auch den Ursprungsanhang nicht senden. Er ist aber noch da... weiß jemand Rat?

Dann ist mir auch aufgefallen dass die umbenannten Dateien alle in den Eigenschaften das Erstellungsdatum 13. Februar 1601, 09:28:18 aufweisen. Damals hab´ ich meine Daten aber noch in Stein gemeißelt. Es hat also etwas mit dem Trojaner zu tun. JanineM hat das auch schonmal gepostet.........

Ich denke schön langsam können wir uns damit befassen, welche möglichkeiten es noch gibt, seine daten zu retten, bevor man die kiste platt macht.
Hat schon wer verschiedene jpeg repair tools versucht?

an anderer stelle habe ich etwas von einer RAW-RECOVERY-Variante der Ganzen Platte gehört.

Hat dazu wer infos?

grüße und gute ncht.

hallo. habe auch die neueste version 1.170.1 ist aber wohl schon entfernt durch antivir und systemwiederherstellung,aber dateien sind verschlüsselt.es ist nix mehr sichtbar(beispiel (erJ0QreLstaPt)also kombi aus großen und kleinen buchstaben.bin echt verzweifelt.die tools hab ich probiert,aber klappt bei mir nicht.bin kein profi:-(danke für eure hilfe

@ Undertaker

Also ich habe mir das Video angeschaut und habe alles Step by Step gemacht wie es beschrieben wurde.

Solangsam habe ich mich damit abgefunden das es im Moment keine Lösung für das Problem gibt.


Ich bin nur voll genervt von den Mails....die wo ich jetzt noch habe, habe ich an Markus gesendet...

Ich habe noch eine in meinem Web.de Konto aber da komme ich im Moment nicht rein, weil er mir dann sagt das mein Browser ein Befehl sendet was nicht verstanden wird.

Lieber Gruß

Kleene

ich habe jetzt noch den ESET Online-Scanner durchlaufen lassen und der sagt folgendes ( Ich hoffe ich nerve nicht,sondern helfe euch)


C:\$Recycle.Bin\S-1-5-21-4059222336-2335840329-65277441-1004\$RMDNEEL.zip probably a variant of Win32/Agent.LMXRIUT trojan
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarApp.dll a variant of Win32/Toolbar.Babylon application
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarEng.dll Win32/Toolbar.Babylon application
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarsrv.exe probably a variant of Win32/Toolbar.Babylon application
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll Win32/Toolbar.Babylon application
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll Win32/Toolbar.Babylon application
C:\Program Files (x86)\FoxTabMusicConverter\AudioConverter.exe a variant of Win32/InstallCore.A application
C:\Users\Marie\AppData\Local\Temp\4ECE4740-BAB0-7891-A477-E28AFEFBFCAE\MyBabylonTB.exe Win32/Toolbar.Babylon application
C:\Users\Marie\AppData\Local\Temp\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbar4ie.exe Win32/Toolbar.Babylon application
C:\Users\Marie\AppData\Local\Temp\is1438683437\MyBabylonTB.exe Win32/Toolbar.Babylon application

Hi,

habe den Computer im Abgesicherten Modus (F8) hochgefahren dann eine Widerherstellung gemacht.Dann habe ich laut Anleitung von PCAB50 (Vielen Dank PCAB50) die Dateien mittels Schatenkopie wiederhergestellt.Werde jetzt das System neu Installieren.

Hier die Anleitung von PCAB50

http://www.trojaner-board.de/115551-...tml#post835551

Viele Dank an alle

Joerg

@Shorty86
@all
das unter forum ist nicht für logs, poste die bitte da, wo sie hingehören
steht ja deutlich diskusionsforum nicht logfiles drann.
@Kleene86
ja kannst du
@all die noch gepostet haben.
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

Also, so wie es aussieht, scheinen viele, die diese Buchstabenverschlüsselung haben, ganz gut zu fahren mit Shadow Explorer!

Soll ich denn nun ein neues Thema eröffnen, oder kann mir so jemand sagen, wie ich nun noch schauen kann, ob da noch etwas ist oder nicht? Die Virenprogramme sagen alle, dass da nichts mehr ist.

Dankeeeee schööööön!!

P.S. Die böse Mail ging gestern an Markus raus...

Hallo,

ich habe eben bei einem "Kunden" etwas interessantes diesbezüglich bemerkt, was mir vorher noch nicht aufgefallen war/ist.

MalwareBytes fand folgendes:
C:\Users\"Benutzername"\Downloads\sUgsyxAtQGJsuo (Adware.Bundler)

MalwarBytes war also in der Lage eine zuvor (vor dem Angriff/Übergriff) nicht verschlüsselte Datei (vermutlich eine .EXE) als etwas "schädliches" zu identifizieren.
Eventuell hilft dies auch einen Schritt weiter.
Ich habe nun auch schon pro Tag bis zu 5 Anfragen die sich auf diese Verschlüselten Dateien beziehen.

Bin gespannt wann es eine Lösung gibt, ob es eine gibt und ob/wie man evtl. noch helfen kann (Mir und Euch).^^


Grüße,
Simon