Nachdem ich gestern drauf reingefallen bin, habe ich heute erneut eine Mail mit diesmal sogar zwei Anhängen bekommen und diese entsprechend an die angegebene Mailadresse von weitergeleitet.

Zitat:

Guten Tag Benutzer xxxxx,

wir müssten leider feststellen, dass unsere Forderung ID: 14193669 für den Nutzer xxxx immer noch nicht ausgeglichen wurde. Dies bedeutet einen rechtskräftigen Vertragsbruch von Ihnen. Nach § 286 BGB könnten wir die offenen Kosten bereits jetzt durch Gericht fordern. Wir geben Ihnen trotzdem noch eine letzte Möglichkeit, Ihre vertragliche Verpflichtung zu erfüllen, indem Sie sofort die ausstehende Rechnung in Grösse von 485.00 EURO an uns zahlen.

Die Leistungen und die Bankdaten können Sie im Anhang sehen.

Bitte beachten Sie, die Folgen des Verzugs bestehen vor allem in der Regresspflicht des Schuldners sowie in einer verschärften Haftung.

flirt-fever.de - flirten. chatten. daten - Singles Chat Partnersuche Kontaktanzeigen Singlebörse AG mit Sitz in München

Leiter: Wolfgang Scholz, Manfred Binder
Gericht: Keiserslautern

Keiserslautern?

Servus zusammen,
meine Freundin ist dummerweise auch auf der Trojaner reingefallen.

Hab alles auf einen nackten Rechner nachsimuliert und schicke euch die komplette Geschichte per E-Mail !

Die Datei die ich euch schicke heißt "Trojanerhilfe.7z"

Dort enthalten ist sind folgene Files:
Orginal Zip Datei "Bescheid.zip" mit dem Inhalt "bescheid.com"
die Datei die erstellt wird wenn die com Datei ausgeführt wird "Trojaner nach installation als Zip Datei.zip"
den CMD promt als Jpg bei der Ausführung
sowie eine txt Datei mit jeglichen Informationen die ich sammeln konnte.

Des Weiteren schaltet der Trojaner die Firewall aus ! diese geht dann nur über den Gruppenrichtlinieneditor wieder an !

Hoffe ich konnte euch helfen und ihr könnt meiner Freundin helfen.

Desweiteren hänge ich hier diese Info an.

VORSICHT IN MEINEM ANHANG IST DER TROJANER ALS ORGINAL UND ALS EXE !!!

Lieben Gruß

Kup

Anhang entfernt....

cad

Hallo markus!

Sorry,aber ich weiß weder was ein Logfile ist noch das andere was du meintest...da es hier um den Trojaner geht dacte ich,ich wäre richtig.
Ich bin Krankenschwester,aber habe wenig Ahnung von Laptops.Wollte nur helfen...

Naja.. dafür kennst du dich mit Infektionen aus ...

(SCNR = sorry, could not resist .. ) (grins)

Hi Markus,

hab dir eine pdf Datei aus Backup und das verschlüsselte Pendant per Mail zugeschickt.

Saß heute 8Std vor dem Rechner meines Kumpels (windows 7 Prof 32Bit), da bin ich echt froh das ich einen Mac habe...
Den Trojaner habe ich mit NOC wegbekommen, hab die Festplatte ausgebaut und an einem anderen Rechner bereinigt.

Jetzt ist nur noch das Problem mit den verschlüsselten Dateien zu lösen, werde morgen nochmal hinfahren und ShadowExplorer ausprobieren, die Beispieldatei hilft hoffentlich dabei die Verschlüsselungsmethode herauszufinden.

Gute N8 an alle "Geiseln".

MfG, Babak

Ich habe auch die neueste Variante von diesem Mistding.
System (XP Pro SP3 ist bereits neu installiert - auf neuer Platte) und ich tüftle nun an der Rettung der Daten.

Das "infizierte" System habe ich noch - ich habe die Platte ausgebaut und eine neue für die Installation verwendet.

Was mir eben aufgefallen ist:
Ich habe mit RECUVA einfach mal ganz platt versucht, ob ich vielleicht eine gelöschte Datei von der alten Platte bekomme, mit einem Datenstand von vor dem Trojanerbefall um zu sehen ob ich so vielleicht erstmal teilweise was brauchbares wiederherstellen kann.

Ich habe eine Datei mit dem Muster "[Dateiname].xls.[Nummer].tmp" gefunden, also ein Sicherungskopie einer Excel-Datei die wohl gelöscht wurde - 1 Woche vor dem Trojaner.

Nach dem Wiederherstellen dieser Datei hab ich sie geöffnet:
Alles genauso kryptische Zeichen wie im "verschlüsselten" Original!

Das spricht doch eigentlich für die MFT-Theorie - also daß der Trojaner nicht auf die Dateien, sondern zentral und tiefer am System herumgepfuscht hat, oder?

Zitat:

Zitat von TFO1974

...

Das spricht doch eigentlich für die MFT-Theorie - also daß der Trojaner nicht auf die Dateien, sondern zentral und tiefer am System herumgepfuscht hat, oder?

@TFO1974,

nö, allein aus der verhunzten TMP läßt sich nicht kausal auf das Wirken des Schädlings schließen, schon garnicht darauf, dass er an den FileTables dreht.

Volker

Hallo,
habe mir den aktuellen Verschlüsselungstrojaner eingefangen, konnte alle Viren beseitigen und jetzt sogar Anhand der Schattenkopien alle Dateien wiederherstellen!
Also mein Tipp - nach den Schattenkopien suchen. Ist hier im Forum schon beschrieben.

Gruß, André

Hey Andre,

gute Idee dafür muss diese Option aktiviert gewesen sein und wenn dies nicht war dann gibt es keine Schattenkopien der befallenen Dateien !!!

Ich habe nicht viel Ahnung von PCs aber so wie ich das jetzt verstanden habe, habe ich keine Schattemkopien und kann somit auch keine Verschlüsselungen entschlüsseln....

Ich hoffe das es bald eine Lösung gibt....

Auch wollte ich mal bei allen bedanken, die Ihre Freizeit opfern um solchen Dingern den gar auszumachen....

Eine andere Frage habe ich noch, wo kann ich sehen ob ich diese Option aktiviert habe?

Liebe Grüße

Kleene

Zitat:

Zitat von Kleene8611

Eine andere Frage habe ich noch, wo kann ich sehen ob ich diese Option aktiviert habe?

Du liest etwas darüber, dann weiß du, dass es das offensichtlich für dein OS nicht gibt.
Du hast noch kein eigenes Thema eröffnet, weiß eigentlich jmd welches BETRIEBSSYSTEM Du verwendest?
Man kann sehr viel Smalltalk hier machen, v.a. wenn alle persönlichen Dateien verschlüsselt sind stellt sich aber die Frage was du besprechen möchtest, willst du nur small talken oder vernünftig Computerprobleme schildern - wenn letzteres sollte man zumindest mal seine Windows-Version nennen

Zitat:

Zitat von cosinus

Du liest etwas darüber, dann weiß du, dass es das offensichtlich für dein OS nicht gibt.
Du hast noch kein eigenes Thema eröffnet, weiß eigentlich jmd welches BETRIEBSSYSTEM Du verwendest?
Man kann sehr viel Smalltalk hier machen, v.a. wenn alle persönlichen Dateien verschlüsselt sind stellt sich aber die Frage was du besprechen möchtest, willst du nur small talken oder vernünftig Computerprobleme schildern - wenn letzteres sollte man zumindest mal seine Windows-Version nennen

Ich habe alles was mir hier angeboten wurde und was andere gesagt haben selbs versucht....

Ich habe Windows 7 Starter 32 Bit....

Ich habe mir auch angebotene Hilfevideos angeschaut, wo alles erklärt wird....

Ich wollte keinen unnötigen ärger verbreiten und bin nur daran intressiert meine Daten wieder zu bekommen....

Also wenn ich ärger verbreitet habe, dann tut mir das leid....

Ich wusste nicht das es eine Rolle spielt welches BS man hat, wie gesagt so fit bin ich auch wieder nicht.....

Sry ich hab das nicht gelesen deine Info über Windows...
Wo hast du das noch gepostet? Nur um zu sehen, was ich übersehen habe

Hi, nein du hast nichts überlesen....ich hatte es noch nicht gepostet weil ich nicht wusste das es so eine große Rolle spielt....

Ich werde mir jetzt noch mal die Rubrik "Wie man Fragen richtig stellt" durchlesen,damit es nicht wieder zu Problemen kommt....

Sollte ich lieber ein neues Thema aufmachen?

Hey servus kleine um deine Frage zu beantworten.

Die Schattenkopien bringen deine Daten nicht wieder und können die VErschlüsselung auch nicht entschlüsseln.

Die Schattenkopie ist eine Art von Backup eine Datensicherung für einzelne Dateien bzw Ordner die eine alte Datei wiederherstellen kann. Ein Beispiel

Gestern hieß eine Datei "Servus.txt" und wurde heute durch einen Trojaner in "huasiodfasdhsadiz" verschlüsselt

Dann kannste mit der schattenkopie die Datei auf das gestrige Datum zurücksetzen. Der Inhalt wäre dann der alte obwohl die diese vielleicht sogar heute bearbeitet hättest.

Ich weiß auch nicht ob Windows 7 starter diese Option überhaupt hat, denke eher nicht. Kannst trotzdem mal nachgucken.

Die Optzion findest du folgendermaßen:

Klicke unten Links auf Start dann gehste mit der Maus auf "Computer" und drückst die rechte Maustaste. Dann "Eigenschaften", dann klickst du mit einem Linksklick auf erweiterte Systemeinstellungen. Es erscheint ein neues Fenster. Dort klickst du oben in den reitern auf Computerschutz.
Etwa in der mitte siehst du unter "Schutzeinstellungen" welche Festplatten diese Option aktiviert hat. und kannst diese option für die Zukunft auch dort unter "Konfigurieren" aktivieren. Musst vorher nur die jeweilige Festplatte auswählen.

Wenn du auf konfigurieren klickst erscheint wieder nen Fenster. Um wir klich für jede Datei eine Schattenkopie zu erstellen musste die option "Systemeinstellungen und vorige Dateiversionen wiederheratellen" aktivieren.

Nun klickste überall auf okay und auf dem Zeitpunkt haste erst die Schattenkopien. Also mache es in Zukunft kurz nach der Neuinstallation des Systems.

Grüße

Kup