Servus,

gehöre jetz auch zu den Zwangsverschlüsselten.

Hab gesehen, dass bisher nur Teile auf meinen verschiedenen Laufwerken verschlüsselt sind, der Rechner wohl Stück für Stück verschlüsselt wird.

Jetzt zwei Fragen dazu, in der Hoffnung das das nicht auf den 48 Seiten vorher schon erklärt wurde.

Die erste Frage wäre, ob nur verschlüsselt wird wenn ich das infizierte System starte oder auch bspw.die betroffene Platte als externe Festplatte anschließe?

Einige Daten konnte ich auf einen USB-Stick kurzfristig noch überspielen und habe dann den Rechner heruntergefahren, kann ich die nun auf einem anderen Recher öffnen oder können die Dateien infiziert sein / die Verschlüsselung auf andere Rechner überspringen?

Zitat:

Die erste Frage wäre, ob nur verschlüsselt wird wenn ich das infizierte System starte oder auch bspw.die betroffene Platte als externe Festplatte anschließe?

Man sollte so langsam mit dem Destruktivsten rechnen, was man sich vorstellen kann
Daher auch die automatische Widergabe auf allen Laufwerken deaktivieren - Backuplaufwerke nur dann einhängen wenn man sie braucht, mehrere Generationen verwenden!!!
Aber wem sag ich das. MS muss ja sein Windows so ausliefern, dass ja kein Klick mehr gemacht werden muss, wenn jmd eine CD, DVD, ext. Platte oder USB-Stick ansteckt. So ein OS wie Windows ist schon sehr praktisch, es macht alles was es soll sehr zuverlässig, welche Sicherheitsprobleme sich ergeben, darum können sich ja andere biiiiiiiiep drum kümmern und vor allem ist die Ausführbarbeit nur an der Dateiendung festzumachen

So Leute ich geh erstmal kotzen und dann schlafen.
Gute Nacht auch nach Redmond

Mein System wurde leider auch durch so einen Trojaner verseucht. Mittlerweile läuft der PC wieder, aber bevor ich ihn neu aufsetze würde ich doch gerne meine Daten wiederherstellen wollen...

Die Dateien scheinen nur umbenannt worden zu sein. Wenn ich sie jedoch versuch wieder umzubennen, können sie nicht geöffnet werden. Scheint so als wäre der Header defekt....

Als Beispiel für eine Umbennenung: "EEEppxxJJAAeeVVrrnn"

Hat jemand vielleicht eine Idee wie ich diese "retten" kann?

lg

Servus

das Problem hat jeder von uns !

wirst dich wohl gedulden müssen.

Habe gerade eine Rechner mit folgenden Symptomen rein bekommen:

W7 Home bootet nicht mehr,
Kunde hat vorher einen E-Mail-Anhang geöffnet,
Dateinamen sind NICHT verändert, aber Dateien sind nur noch schrott.

Virenscan mit Eset und Malwarebytes von windows PE aus läuft noch.

Hoffentlich sind die Schattenkopien aktiviert gewesen, daß werde ich aber erst
wissen wenn Windows wieder gestartet werden kann.

Wenn der Scan durch ist, werde ich die Quarantäne-Dateien zippen und euch senden.

ups, Eset und Malwarebytes haben es diesmal nicht geschafft ! Bootmanager ist außerdem immer noch defekt -> muß wieder eine neue Variante sein -> Das "Windows-Update U-Kash-Bild" ist aber gleich geblieben

Kurze Frage, der Virus ist HDD-basiert und nicht irgendwo im RAM oder so? Sprich ne neue Platte und Backups von anderen Platten müsste erstmal wieder sauber gehen?

@grahlke

Hatte auch schon so einen Rechner hier. Glaube aber erhlich gesagt, dass es sich hier eher um einen "Bug" des Trojaners handelt:

- Verschlüsselt womöglich ausversehen Bootmanager *ups*
- Datei-Umbenennung findet relativ spät statt, die Daten werden schon vorher verschlüsselt. Wenn der Trojaner zu diesem Zeitpunkt unterbrochen wird, findet keine Umbenennung mehr statt.
- es gibt ständig neue Varianten, damit die Scanner sie nicht erkennen :-(

@Bejoen
Der Trojaner liegt auf der Festplatte und wird in den RAM geladen, sobald Windows startet.

@pcberlin...aha..jetzt verstehe ich auch, warum ich nicht umbenannte Dateien habe, die trotzdem Schrott (verschlüsselt) sind...
Zum Zusenden von Virus e-mail: abspeichern und dabei die Endung .eml vergeben, dann zippen und das zip-file Euch zusenden...Ist das so richtig??
mail kommt dann schnellstmöglich

Hoffe sooo, dass hier was gefunden wird, da bei mir wirklich wichtige dateien (Bewerbungsschreiben, Bewerbungsübersicht, etc.) bafallen sind.

Zitat:

Zitat von my01

Zum Zusenden von Virus e-mail: abspeichern und dabei die Endung .eml vergeben, dann zippen und das zip-file Euch zusenden...Ist das so richtig??

Jein,
Rechtsklick --> speichern Unter ---> EML-Format
Die Extemsion .eml wird dann automatisch generiert.
Der Rest ist ok.

Hallo bin von diesem "Virus" betroffen. Wie kann ich meine Dateien wieder herstellen??? Ich kenne mich mit sowas nicht aus. Wer kann mir helfen.



Diese E-Mail kam.

Lieber Benutzer Floh95,

wir müssten leider feststellen, dass unsere Forderung ID: 64630081 für den Anwender Floh95 immer noch nicht gebucht wurde. Dies bedeutet einen einseitigen Vertragsbruch von Ihnen. Nach § 286 BGB könnten wir die offenen Forderungen bereits jetzt durch Inkasso anmelden. Wir geben Ihnen jedoch trotzdem noch eine letzte Möglichkeit, Ihre vertragliche Verpflichtung zu erfüllen, indem Sie unverzüglich die ausstehende Rechnung in Grösse von 693.00 EURO an uns zahlen.

Die erbrachten Leistungen und die Rechnung können Sie im zugefügtem Zip Ordner ansehen.

Bitte beachten Sie, der Schuldner ist zum Ersatz des Verzögerungsschadens verpflichtet, er schuldet also Schadensersatz, § 280 Abs. 2, § 286 BGB.

flirt-fever.de GmbH mit Sitz in Stuttgart

Amtsgericht: Stuttgart
Geschäftsführer: Elisabeth Fuchs, Maria Maier


und diese.


Hallo "mein Name,

grössten für Ihr Vertrauen in flirt-fever.de!

Das Bankkonto XXXXXXXXX wird nun mit folgendem Betrag belastet:

Abgetragen wurde am/um: CEST (GMT +02:00) 31.05.2012 19:17:04
Rechnungssumme: Euro 990,00
Ident-Nummer: K362157212947

Ihr Einzug wird die nächsten Angaben enthalten:

Empfänger: Flirt-Fever AG PREBYTE MEDIA
Verwendungszweck: Flirtfever.de

Die Leistungen und die Geschäftsbedingungen können Sie in beigefügter Datei sehen.
Die Stornierung der Mitgliedschaft, ist mit der im Zusatzordner in der E-Mail mitgelegten Kündigung an uns zu schreiben.

Viel Spass und Erfolg,
Dein flirt-fever.de Team

moin moin,

Zitat:

Zitat von FloTho

Hallo bin von diesem "Virus" betroffen. Wie kann ich meine Dateien wieder herstellen???

Indem Du hier etwas liest und schaust, ob einige der angebotenen Möglichkeiten für Deine Verschlüsselungsart brauchgbar scheint.

Lesefaulheit, Keine Angaben zum Betriebssystem, keine Angaben zur Art der Verschlüsselung, nichts dazu, wie Du wieder ins System gekommen bist.

Solche Beiträge sind überflüssig wie ein Kropf.

Hast Du den Text der Mail richtig gelesen und ist Dir bei dem Deutsch kein Licht aufgegangen?

Volker

Wie gesagt ich kenne mich mit pc nicht so aus.

1. Ich habe Windows 7
2. die neue Benennung meiner Dateien ist.z.b. aGQfUNdnxtGsvD
3. Habe den Pc neu gestartet dann meine Virenschutzprogram durchlaufen lassen dann ging alles wieder nur das alle meine Dateien nicht zu öffnen sind.

Hallo.
Ich habe in den letzten 2 Stunden einen großen Teil dieses Threads gelesen und bis jetzt scheinen sich alle die Malware per EMail eingefangen zu haben.

Mein Laptop ist seit etwas mehr als 2 Stunden auch befallen und ich hatte in der halben Stunde wo er bereits lief keine Emailprogramme/Seiten offen sondern war lediglich im Browser unterwegs. Ein Klick auf eine nicht ganz jugendfreie Seite führte zum sofortigen aufploppen der Malware mit der Aufforderung zur Zahlung von 100€ wie bei vielen anderen auch.

Außer Strg+Alt+Entf und Windows+Tab waren alle Tastenkombinationen wirkungslos, der Taskmanager ließ sich ebenfalls nicht öffnen.

Ich wollte euch nur wissen lassen, dass Emails nicht die einzige Quelle sind.

Ich lasse erstmal einige der empfohlenen Tools durchlaufen und werde dann gegebenenfalls einen eigenen Thread erstellen.

Danke an alle, die Malware den Kampf ansagen =)

Gruß

Hallo,

der Laptop einer Freundin ist jetzt auch mit einer aus meiner Sicht neuen Variante des Verschlüsselungs-Trojaners betroffen. Oder aber sie hat den Verschlüsselungsvorgang nur zu früh abgebrochen - wie in vorherigen Beiträgen berichtet.

Ich würde die Email samt Anhang gerne zur Untersuchung abspeichern und zuschicken, allerdings liegt die Email nur bei GMX (Webmail) vor. Kennt jemand eine Möglichkeit die Nachricht dort (trotz Warnung von GMX) weiterzuleiten oder abzuspeichern?

Der Anhang heisst "Bestelldetails.zip" und hat ein Größe von 56,6 KB und kam von p.b.a@terra.com.br. Text ist der übliche, aber mit einem geforderten Betrag von 286 Euro.

MB Anti Malware hat einiges gefunden im Vollständigen Suchlauf. Hab alles entfernt.

Nach dem Neustart im normalen Modus verhält sich das System auf den ersten Blick wieder normal. Verschlüsselte Dateien (Namen, Dateiendung, unbrauchbare Dateien) konnte ich nach stichprobenartiger Suche keine finden.

Anhang 35700

Als ich wieder den Firefox gestartet hatt meldet MB Anti Malware kurz darauf, dass es eine Verbindung unterbunden hätte - ohne dass ein verdächtiges Tab geöffnet gewesen wäre.

Auch wenn ich es scheinbar mit einem ganz anderen Trojaner zu tun habe, vielleicht helfen euch trotzdem mein Log und die IP.



Grüße