|
Diskussionsforum: Neue Verschlüsselungs-Trojaner Variante im UmlaufWindows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
11.06.2012, 20:56 | #751 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Ja der Name der Datein z.b fVXpnLJvGGllAAggU ohne einer Endung hinten |
11.06.2012, 21:31 | #752 | |
/// Helfer-Team | Neue Verschlüsselungs-Trojaner Variante im UmlaufZitat:
Nix hast Du gelesen. Du wüsstest sonst, dass der decrypthelper und die anderen Tools nur bei der locked- Version helfen und bei FGHtzDrTVGBnhj unwirksam sind. Weiterhin hättest Du auch den Reparaturthread für die neue 12k-Version bemerkt und etwas über JPEG-Recovery gelesen. Das ist alles schon hundertmal beschrieben. Vielleicht verstehst Du nun, dass einem das ständige Widerkauen zum Halse raushängt, nur weil die Leute zu faul sind, sich über das Machbare für ihr selbstverschuldetes Problem zu informieren und die Lieferung auf dem silbernen Tablett erwarten. Volker
__________________ |
11.06.2012, 21:54 | #753 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Hallo Volker,
__________________was erwartest Du? Die Personen, die alles gelesen haben haben die Email mit der Schadsoftware wohl auch nicht richtig gelesen und können keine Zusammenhänge deuten. Hab etwas Mitleid ;-). |
11.06.2012, 23:10 | #754 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Bei mir ist es jetzt auch zu spät. Ich habe vorhin einen Antivir-Scan gestartet und dann das Kiew-Spiel geguckt. Als ich zurück an den Rechner kam, zeigte er nur das Bild von links oben an und nichts ging mehr. Neu gestartet. Das ging. Mein Benutzeravatar war verändert. Ein Blick auf den Desktop: Ettliche Dateien umbenannt! Anxt! Panik! Ich habe nichts wertvolles auf meinem Rechner, aber zwei Sourcecodes die mich viele, viele Arbeitsstunden gekostet haben. Beide noch da und in Originalzustand, gleich gesichert (waren in Programmordnern). Es scheint als wären nur Dateien vom Desktop und den darauf befindlichen Ordnern betroffen. hier schreibt einer mit MS Security Essentials kriegt man das Problem in den Griff?! Das versuche ich gerade. Wird die Nacht durchlaufen. Was mich interessieren würde: -Wird der Troj noch weiter um sich greifen, sprich mehr Dateien massakrieren? -Wird irgendwann auch der Punkt erreicht, wo sich das System nicht mehr kontrollieren lässt? Also im Moment kann ich noch surfen, Programme starten, usw... aber später? Hab übrigens XP 32 Bit. An eine zwielichtige Mail kann ich mich nicht erinnern. Ich surfe allerdings öfter auf, sagen wir mal: Seiten mit netten Filmchen . Ist bekannt wie viel Zeit von der Infektion bis zum Aktivwerden des Trojaners vergeht? |
12.06.2012, 01:30 | #755 | ||
| Neue Verschlüsselungs-Trojaner Variante im UmlaufZitat:
Zitat:
ich bin neu hier. Es liegt mir eigentlich total fern, mich gleich mit dem ersten Beitrag zu beschweren, denn ich finde es ganz große Klasse, dass es hier Menschen gibt, die ihre Zeit dafür opfern Lösungen für Probleme zu finden, die Andere durch ihr unbedachtes Handeln fabriziert haben. Aber wenn ich solche Antworten lese wie von Volker oder Sven, dann muss ich ehrlich gestehen, dass ich mich schon gar nicht mehr traue mein Problem zu schildern. Mein PC wurde auch von diesem scheiß Trojaner befallen und ich sitzte hier seit mehr als 6 Stunden - lese das Forum rauf und runter - habe sämtliche Tools ausprobiert - habe das Internet nach weiteren Möglichkeiten durchforstet - alles leider ohne Erfolg. Meine Daten bleiben verschlüsselt. Aber keine Sorge, ich werde nicht alles nochmal widerkäuen, ich fasse mich in Geduld und hoffe, dass es demnächst auch ne Lösung für das " FGHtzDrTVGBnhj" Problem gefunden wird, denn mir ist mit einer Formatierung und Neuaufspielen des Betriebssystems nicht geholfen. Ich brauche meine Daten zurück !! Von mir aus kann mein Post jetzt auch wieder sanft hinaus begleitet werden, aber ich musste es einfach los werden. Sorry |
12.06.2012, 05:43 | #756 | |
| Neue Verschlüsselungs-Trojaner Variante im UmlaufZitat:
Solltest Du Volumenschattenkopien schon immer aktiviert haben ist nach einer Desinfektion Shadow Explorer vielleicht für dich eine Hilfe. Zu den Seiten mit netten Filmchen: überlege dir einen etwas sichereren Browser zu benutzen, z.b. den neuen Chrome mit Sandbox Technik. Oder eine virtuelle Maschine, ohne Werbung machen zu wollen, in der letzten com! Zeitschrift, 7.2012 steht beschrieben wie man die handhabt. Der Firefox ist anfällig, habe ich schon genug infizierte Laptops in der Hand gehabt. |
12.06.2012, 07:57 | #757 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Hi, ich habe mal eine technische Frage. Warum ist es denn so viel einfacher eine durch diesen Trojaner verschlüsselte JPEG-Datei wiederherzustellen, als eine DOC-Datei? Danke euch schon mal für meine Erleuchtung. EDIT: Kann man eigentlich noch irgendwie nachvollziehen (ohne die Original Datei zu kennen) um welchen Dateityp es sich handelt? Gruß Geändert von icaros (12.06.2012 um 08:40 Uhr) |
12.06.2012, 08:45 | #758 | ||
/// Helfer-Team | Neue Verschlüsselungs-Trojaner Variante im UmlaufZitat:
genau das unterscheidet Dich von den von mir angesprochenen Betroffenen. Zitat:
Du weißt dass das "Problem" einer universellen Entschlüsselung für diese Art der Dateiverschlüsselung besteht und nicht durch Dateipaare a la locked- zu lösen ist. Vielleicht kannst Du auch nachvollziehen, dass einem manchmal die Hutschnur platzt, wenn man schlimmstenfalls angemacht und beschimpft wird, dass man Unsinn faselt, weil die Tools nicht helfen. Auch ist es nicht nachvollziehbar, dass viele das Angebot der individuellen Hilfe nicht nutzen. Einzige Erklärung für mich, sie wissen es nicht, weil sie es nicht nachlesen. Für die FGHtzDrTVGBnhj Dateien gibt es ja zumindest Teilerfolge, abhängig von der Dateiart. So sind MP3s ohne Probleme zu retten und für viele JPGs gilt das gleiche. Der Shadow-Explorer ist ja auch ein mächtiges Werkzeug, solange die Option der Schattenkopien aktiv war. Gruß Volker
__________________ Das Board unterstützen Datenrettung -->HIER! Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer. |
12.06.2012, 09:14 | #759 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Hallo Leute, ich bin neu hier aber ein "alter" Forumserfahrener. Also ist stelle keine fragen ohne vorher zu lesen! Egal, Themawechsel Seit 2 Tagen bin ich in diesem Thema am lesen und halte die Füße still. Möchte aber auch etwas beitragen können: Habe gerade eine Mailfrische Mail erhalten die ich naturlich nicht geöffnet habe! Sehr geehrter Rainer Kuck, Sicher ist es Ihnen entgangen, dass die Zahlungsfrist der nachfolgenden Rechnung abgelaufen ist. Auf unsere Mahnungsschreiben haben Sie ebenfalls nicht reagiert. Artikel: Nikon IDK CD Artikelnummer: 3478090118981 Stück: 2 Zwischensumme: 544,58 Euro Aufgrund zusätzlicher Kosten anlässlich des Ausgleichs von Gebührenforderungen erheben wir Mahngebühren und Einschreibegebühren in der Höhe von 10.- Euro inkl. MwSt. Wir bitten Sie, den ausstehenden Rechnungsbetrag in den nächsten 7 Tagen zu überweisen. Ansonsten sehen wir uns leider gezwungen, ein Betreibungsverfahren in die Wege zu leiten und ein Inkasso Unternehmen für die weiteren Massnahmen zu beauftragen. Sollte sich dieses Mahnungsschreiben mit der Bezahlung des ausstehenden Betrags zeitlich überschnitten haben, so betrachten Sie dieses Schreiben bitte als gegenstandslos. Beilagen: - Zahlschein - Bestellung Mit freundlichen Grüßen FOTO THUN GMBH Avira hat nichts gefunden! Bin mir aber sicher das es ein Virus ist! Wer möchte denn diese schöne Mail zu Testen oder was auch immer haben? Oder einfach dahin: hxxp://markusg.trojaner-board.de ? Nichts desto trotz. Ich habe hier 2 rechner, ein Laptop mit Win7 und ein rechner mit XP. Das Laptop hat die rhzgdssgj7ikjtr433 Variante erwischt. Der Rechner hat die Originalnamen und Endungen, doch wenn man eine zB Exeltabelle öffnet stehen da nur Hyroglyphen drin! Ich vertraue auf die Cracks hier, die sich den Ar... aufreissen um leuten zu helfen die sie gar nicht kennen! Ganz Herzlichen Dank! Gruß Rainer |
12.06.2012, 09:25 | #760 | |||
/// Helfer-Team | Neue Verschlüsselungs-Trojaner Variante im UmlaufZitat:
das liegt am strukturellen Aufbau des jeweiligen Dateityps. JPGs sind segmentiert, das heißt, zwischen einzelnen Bilddatenpaketen existieren Marker. Den Bilddekoder interessieren nur die Bilddaten nach dem Marker, der Rest ist für ihn uninteressant. Aus diesem Grunde kann man auch in einem JPG-Bild Informationen verstecken und transportieren, die man nicht sieht und die den Decoder nicht kratzen. Für den Betrachter scheint das ein stinknormales Bild zu sein. Decoder mit einer hohen Fehlertolleranz können somit noch Datenpackete erkennen und retten. Nagle mich jetzt nicht im Detail fest, dazu weiß ich darüber zu wenig. Übrigens gilt sowas ähnliches auch für MP3s, guckst Du hier. Zitat:
Wenn beispielsweise in regelmäßigen Abständen FF D8 auftaucht, deutet das auf Marker eines JPGs hin. Für uns Normalsterbliche ist das aber nicht zu erkennen. Du kannst es testen. Hänge an alle verschlüsselten Dateien ein .mp3. Wenn der Player das abspielt, dann war es eine MP3. Hänge an alle Dateien ein .jpg. Wenn JPEG-Recovery ein Bild anzeigt, dann war es auch eins. Gruß Volker Zitat:
Vertrauen ist gut, allein die Fakten sprechen eine andere Sprache. So sind mittlerweile alle involvierten Coder der Meinung, dass nur eine behördliche Beschlagnahme oder das Hacken der C&C Server mit den Passwörtern Erfolg verspricht. Inwieweit dann die Zuordnung des Passwortes auf die jeweilige Computer-ID des Betroffenen erfolgt wäre auch noch zu klären. Die Hoffnung stirbt aber nie. Gruß Volker
__________________ Das Board unterstützen Datenrettung -->HIER! Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer. |
12.06.2012, 10:11 | #761 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Neue Verschlüsselungs-Trojaner Variante im Umlauf Ja, dubiose Seiten mit Browser- bzw. Browserplugins-Exploits hatten wir sind bei der nicht-verschlüsselnden Ransomware in dringendem Tatverdacht
__________________ Logfiles bitte immer in CODE-Tags posten |
12.06.2012, 19:34 | #762 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Hallo... Ich bin neu hier und habe wie alle das fast gleiche problem... Mein freund bringt mich sonst um da sind soo viele Bilder drauf gewesen... Ich habe seit gestern echt schiet problem mit meinem Rechner.. Habe ne email im Postfach gehabt Welche mit dem namen meiner Mutter gekommen ist. Dies war/ sollte eine rechung sein und ein anhang mit einer Zip datei war mit dran. die ich leider echt dummer neugieriger weise öffnen wollte. so richtig hatte ich nicht das gefühl das ich das geöffnet hatte.. naja dann hatte ich später als ich den rechner ausstellen wollte dieses Bild welches hier die seite schmückt auf dem rechner.. Habe dann rechner ausgemacht und hatte mir das heute erst angesehen was das genau war, und mit Malwarebytes gelöscht nun habe ich aber wie alle hier das problem das ich absolut KEINE Datein/ bilder lesen kann... |
12.06.2012, 19:39 | #763 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Hallo, ich habe heute einen Rechner einer Bekannten bekommen. Er wurde gestern infiziert, sie meint von einer Webseite. Virus ist bereinigt, jedoch bleiben die "verschlüsselten" Dateien. Mittel Originaldatei und verschlüsstelte Datei vergleichen habe ich versucht den Code zu bestimmen. Erfolglos. Anschließend habe ich festgestellt, dass die Dateien garnicht verschlüsselt sind. Gibt man den Dateien ihre richtige Endung, kann man sie wieder öffnen. Leider ist der Dateiname dadurch nicht wiederhergestellt, und es wird schwer bei allen Dateien die richtige Endung herauszufinden. Gibt es dafür eine Lösung? [EDIT: Definitiv umbenant wurden .doc .docx .pdf .wma:: Nicht umbenannt wurde .mp3] [Edit2: In der Registry befindet sich ein Autostarteintrag (run cu) namens ybova.exe. Sofern diese Datei aktiv läuft trägt sie den Registry Eintrag (sich selbst) wieder ein, sobald man ihn löscht] Geändert von derklausi (12.06.2012 um 20:00 Uhr) |
12.06.2012, 19:40 | #764 | |
| Neue Verschlüsselungs-Trojaner Variante im UmlaufZitat:
Hast Du Win7 oder Vista gehabt dann besteht vielleicht Hoffnung, wenn der Rechner wieder sauber ist. Suche Shadow Explorer und schau ob du damit Dateien retten kannst. Es ist z.Z. die einzige Möglichkeit, es gibt noch ein Programm das Bilder z.b. reparieren kann, aber das auch nicht in 100% der Fälle. Bitte beachte auch das: hxxp://www.trojaner-board.de/69886-alle-hilfesuchenden-eroeffnung-themas-beachten.html |
12.06.2012, 19:44 | #765 |
| Neue Verschlüsselungs-Trojaner Variante im Umlauf Hallo Zusammen! Also meine Email sah so aus: Sehr geehrter xxxxxxx xxxxxxx, Sicher ist es Ihnen entgangen, dass die Zahlungsfrist der nachfolgenden Rechnung abgelaufen ist. Auf zwei Erinnerungen haben Sie ebenso nicht reagiert. Artikel: Lenovo IDK HE Artikelnummer: 8547001753835 Stück: 4 Summe: 610,98 Euro Aufgrund zusätzlicher Kosten anlässlich des Ausgleichs von Gebührenforderungen erheben wir Mahngebühren und Einschreibegebühren in der Höhe von 10.- Euro inkl. MwSt. Wir bitten Sie, den ausstehenden Rechnungsbetrag in den nächsten 7 Tagen zu überweisen. Ansonsten sehen wir uns leider gezwungen, ein Gerichtsverfahren in die Wege zu leiten und ein Inkasso Unternehmen für die weiteren Massnahmen zu beauftragen. Sollte sich dieses Schreiben mit der Bezahlung des ausstehenden Betrags zeitlich überschnitten haben, so betrachten Sie dieses Schreiben bitte als gegenstandslos. Beilagen: - Zahlschein - Artikel Mit besten Grüßen FOTO THUN AG --------------- Als ich den Anhang geöffnet habe, schlug sofort auch mein Avast free Antivirus an und gab eine "blockiert"-Meldung im popup aus. Allerdings durfte ich mir zweimal den "Trojaner-Willkommensbildschirm" ankucken... Nach einmaligem Neustart konnte ich keinerlei Probleme feststellen. Ich nutze Opera und das darin integrierte Email-Programm. Wie stelle ich überhaupt fest, welche Dateien infiziert sind? Es ist ein x64 System. Den Anhang der Mail versende ich an Markus. Bei mir handelt es sich um eine .zip Grüße Mathias |