Zitat:

Zitat von frure

außerdem Republik of Ireland, nicht england, grrrr.

Au weia, verzeihst Du mir.

Zitat:

Zitat von Peter I.

Meine Infektion stammt von heute morgen 01:00, ist infolgedessen wohl die aktuellste Version.

Zwischen der Infektionszeit und der Version besteht kein kausaler Zusammenhang, oder hast Du rein gesehen und die Version ausgelesen?
Sind wir schon über der 2.011 ?
Ich bin nicht mehr auf dem laufenden.

Volker

Nachtrag:

Der Trojaner meldete sich übrigens am 5.6. Die Dateien meines Freundes waren gespeichert unter Dokumente und Einstellungen/All Users/Dokumente/Daten. Wie gesagt, ich konnte überhaupt keine verschlüsselten Daten finden. Alle Dateien sind noch unverschlüsselt. Ein Zugriff in irgendeiner Form auf den Desktop war nicht mehr möglich. Windows-Boot-CD half auch nicht. Nur mit TRK 3.4 konnte ich die Dateien retten. Aber auch die Besipielbilder waren nicht verschlüsselt.

Was ich auf dem Desktop gefunden habe, ist eine ACHTUNG-LESEN.txt mit MTime 5.6.2012 16:36. Ich habe in einem TEMP-Ordner außerdem folgende Dateien mit gleichem MTime gefunden (das Sternchen * mag Midnight Commander bedingt sein und an sich nicht zum Dateinamen gehören):
- *BC9501FD4F4E454C4F567375
- *Desk.$00

Folgende weitere Dateien scheinen mir nach allem was ich dazu gelesen habe, suspekt (ebenfalls in dieser TEMP):
- *moptlybuje.pre mit MTime 4.6.2012 18:09.
- *~DF3348.tmp mit MTime 16.6.2012 12:40. (Das dürfte etwa der Zeitpunkt gewesen sein, als ich die Windows-Boot-CD ausprobiert habe)

Grund für die fehlende Verschlüsselung mag gewesen sein, dass der Rechner nicht über W-LAN sich automatisch mit dem Internet verbinden kann. Vielmehr ist dies nur über eine Kabelverbindung möglich, die nur bei entsprechender Notwendigkeit hergestellt wird. Darüber hinaus handelt es sich um eine Wählverbindung, die (zumindest grundsätzlich) erst vom Benutzer aktiviert werden muss.

Keine Ahnung, ob das hilfreiche Informationen sind. Ich hoffe es jedenfalls.

Rein rechtlich gilt (und hier bin ich ein Fachmann): Unbedingt Anzeige erstatten. Die Staatsanwaltschaft kann nur aktiv werden, wenn sie von einem Fall weiß - und das geht eben über eine Anzeige. Dazu ist die Einhaltung einer bestimmten Form nicht erforderlich, aber es sollte klar sein, dass eine schriftliche, möglichst präzise und ausführliche Beschreibung des Sachverhalts nach Möglichkeit mit allen vorhandenen Beweismitteln die Aufgabe der Staatsanwaltschaft enorm erleichtert. Erkenntnisse, die bereits hier und andernorts über den Trojaner gesammelt wurden, sollten auch an die entsprechende Behörden weitergeleitet werden.

Ein Amerikaner, oder wer weiß was für einen Nationalität, ----> A virus renamed all my files (Word, jpeg etc) with the prefex "locked" and encrypted them - Malwarebytes Forum er hat sich nicht weiter dort im Forum dazu geäüsert....

[QUOTE=Undertaker;847804]Au weia, verzeihst Du mir.

na ja, kann ja mal vorkommen, aber aus einem pub hier wärst du nach der aussage nur ziemlich lädiert rausgekommen.

habt ihr irgendeinen anhalt wie die .$02 und die 3 anderen files enkrypted sind?

Zitat:

Zitat von EinRing

Keine Ahnung, ob das hilfreiche Informationen sind. Ich hoffe es jedenfalls.

moin moin,
Deine Funde sind zweifelsfrei Teile die der Schädling hinterlässt, sie sind in der Form bekannt und deuten auf eine Version 1.0xx.1 oder höher hin.

Wenn Du in TMP keine Datei der Form [RechnerID].$02 gefunden hast, welche die Keys der verschlüsselten Dateien enthält und keine Dateien verschlüsselt wurden, wurde der Prozess unterbrochen, warum auch immer.

Deine Vermutung ist sehr plausibel.

Wichtig ist nur, dass der Virus entfernt wurde und nicht beim nächsten Internetzugriffs den C&C Server kontaktiert und sein Werk vollendet.

Gruß Volker

Die geretteten Dateien sind zweifelsfrei nicht befallen. Der befallene Rechner wird komplett neu aufgesetzt, so dass da nichts mehr übrig bleiben sollte. Ich habe mich hier nur gemeldet, um zu wissen, ob ich vor der Formatierung und Neuinstallation noch etwas beitragen kann, wozu eventuell die Schädlingsdateien etc. benötigt werden. Da ich im Moment nicht so recht weiß, ob und wie ich an die rankomme bzw. ob es überhaupt sinnig ist, die noch zu sammeln. Es ist ja auch nicht ganz ungefährlich. Ansonsten würde ich den Rechner einfach komplett neu aufsetzen.

Danke für die freundliche antwort und die wichtigen Hinweis!

Zitat:

Zitat von frure

habt ihr irgendeinen anhalt wie die .$02 und die 3 anderen files enkrypted sind?

Den Prozeduraufruf der Windows-API-Funktion CryptDeriveKey
__in ALG_ID Algid, // 0x00006801

Nach MS ist der ALGID 0x00006801 = RC4.

Ob das bei der Version 2 auch noch so ist, weiß ich nicht.
Es ist aber auch egal, solange der Schlüssel für die doppelt verschlüsselte Datei *.$02 irgendwo im Web liegt.

Volker

Zitat:

Zitat von Undertaker

Zwischen der Infektionszeit und der Version besteht kein kausaler Zusammenhang, ...

Die mail trägt den Datumsstempel 16.06.12 - 14:12
und kam erst heute früh an, denn ich hatte den Briefkasten kurz vor Mitternacht noch einmal geleert (das Ding liegt noch im online-Postfach). Und kurz nachdem war auch die Platte platt. Ich habe derzeit keine Anhaltspunkte für eine Karenzzeit.

Zitat:

Zitat von EinRing

Grund für die fehlende Verschlüsselung mag gewesen sein, dass der Rechner nicht über W-LAN sich automatisch mit dem Internet verbinden kann. Vielmehr ist dies nur über eine Kabelverbindung möglich, die nur bei entsprechender Notwendigkeit hergestellt wird. Darüber hinaus handelt es sich um eine Wählverbindung, die (zumindest grundsätzlich) erst vom Benutzer aktiviert werden muss.

Keine Ahnung, ob das hilfreiche Informationen sind. Ich hoffe es jedenfalls.

Irgendwo habe ich gelesen, daß eines der AV-Pakete vor der Verschlüsselung schützt, indem es den Kontakt zum CC-Server unterbindet (das ist dann eben wie bei einer HIV-positiven Person, die im Moment nicht selbst erkrankt).
Nur die wenigsten richten eben heutzutage ihren Rechner so ein, daß er nicht alleine ins Internet kann, auch wenn das aus jetziger Sicht sinnvoll wäre.

Zitat:

Rein rechtlich gilt (und hier bin ich ein Fachmann): Unbedingt Anzeige erstatten. Die Staatsanwaltschaft kann nur aktiv werden, wenn sie von einem Fall weiß - und das geht eben über eine Anzeige. Dazu ist die Einhaltung einer bestimmten Form nicht erforderlich, aber es sollte klar sein, dass eine schriftliche, möglichst präzise und ausführliche Beschreibung des Sachverhalts nach Möglichkeit mit allen vorhandenen Beweismitteln die Aufgabe der Staatsanwaltschaft enorm erleichtert.

Stimmt auffallend. Und indem man verständige Menschen persönlich anspricht und ihnen eine andere Straftat vorgaukelt, bringt man sie ganz geschickt dazu, dann in dieses Loch zu tappen.

Vorsicht! Mein Virus ist im zip hier:
(Viren-Link entfernt!)

Brief habe ich von: bse2058@tiscali.dk

Guten Tag Nutzer Val Val ,

diese Mail wurde bei der Unterzeichnung von 1 O2 Mobilfunk Verträgen angegeben.
Die Simkarten wurden bei der Vertragsunterzeichnung abgegeben. Sicher ist es Ihnen entgangen, dass die Rechnungsfrist der nachfolgenden Rechnung abgelaufen ist. Auf zwei Erinnerungen haben Sie auch nicht reagiert.

Zwischensumme April: 920,92 Euro

Wir bitten Sie, den Gesamtbetrag in den nächsten 7 Tagen zu überweisen.

Die Telefone sollten an Ihre Adresse versendet werden. Leider waren mehrfache Zustellversuche nicht erfolgreich. Wir bitten Sie uns mitzuteilen was mit den beiden Handys (iPhone 4S) gemacht werden soll.

Im im zugefügten Ordner senden wir Ihnen die Unterlagen, die des Passkopie des Unterzeichners, die Rechnungen so wie die Gesprächsauflistung.
Teilen Sie uns bitte mit wo hin die Handys versendet werden sollen.

Mit besten Grüßen

Krämer GmbH
Dannerallee 64
Bremen

Telefon: (0900) 732 1651941
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Abenberg
Umsatzsteuer-ID: DE661522680
Geschäftsfuehrer: Fabian Weiss

Was für Virus ist das?
danke

Zitat:

Zitat von Peter I.

Die mail trägt den Datumsstempel 16.06.12 - 14:12
und kam erst heute früh an, denn ich hatte den Briefkasten kurz vor Mitternacht noch einmal geleert (das Ding liegt noch im online-Postfach). Und kurz nachdem war auch die Platte platt. Ich habe derzeit keine Anhaltspunkte für eine Karenzzeit.

Ich habe erst vorige Woche eine Neuinfektion mit einer aktuellen Mail in den Fingern gehabt, die noch locked- verschlüsselte.
Insofern ist die Infektionszeit kein Garant einer bestimmten Version.
Vielleicht war's auch ein Trittbrettfahrer, der einen alten Dropper verschickt hat.

Volker

Seit 05.06.2012 ist auch mein Rechner platt.

Alle Daten sind verschlüsselt (Format JvsaaLrrslDLQQdXXygg)

Auf dem Desktop findet sich die ACHTUNG-LESEN.txt

Sehr geehrte Damen und Herren,
anscheinend wurde das Update Programm vollständig unterbrochen. Jetzt kann das Virus nur manuell beseitigt werden. Dies brauchen Sie um Ihre Dateien benutzen zu können. Falls Sie also die gesperrten Daten brauchen, senden Sie uns bitte 200 Euro Ukash Code an die Email: security-center@inbox.lt, so bald dieser Code geprüft wurde, erhalten Sie ein Update Programm. Falls Sie Ihre Daten nicht brauchen raten wir Ihnen dringend Ihren Computer zu formatieren um den Virus vollständig zu entfernen. Ukash können Sie an einer beliebigen Tankstelle erwerben und auch in mehreren Internetcafes in Ihrer Nähe.
mfG Ihr Security Team

Zitat:

Zitat von Undertaker

Ich habe erst vorige Woche eine Neuinfektion mit einer aktuellen Mail in den Fingern gehabt, die noch locked- verschlüsselte.
Insofern ist die Infektionszeit kein Garant einer bestimmten Version.
Vielleicht war's auch ein Trittbrettfahrer, der einen alten Dropper verschickt hat.

Volker

In meiner Bekanntschaft gibt es Leute, die man anrufen muß um ihnen mitzuteilen, daß man ihnen eine Nachricht geschickt hat. Es ist also sehr wahrscheinlich, daß da noch etliche Altversionen in den Postfächern schlummern und irgendwann aktiviert werden - oder eben auch nicht.

Was reval da mit den iphones schreibt, ist ja auch eine interessante Geschichte - aber eben nur, wenn man das zeitnah liest. Ist die mail ein halbes Jahr alt, denkt sich vielleicht der eine oder andere, daß sie sich durch Zeitablauf erledigt hat.

Für mich stellt sich jetzt - wie schon anderswo angeboten - die Frage, ob sich die Platte von Euch jemand jetzt ansehen will. Erstatte ich Anzeige, dann liegt das Ding ja auch bis irgendwann bei der Staatsanwaltschaft. Vom nächsten Gehalt kriegt der Rechner dann 'ne SSD, damit der Mist wenigstens zu irgendwas gut war.

hallo,

ich hab bei nen bekannten versucht die bilder mit jpe recovery pro 5.0 wiederherzustellen. er hat die vollversion.
leider funktioniert es nich die bilder wiederherzustellen.
wenn ich aber thumbnails anklicke funktioniert es. aber da sind die balder halt winzig.

kann mir einer helfen?

hallo ich habe losung ,, ist geknakt Trojan.DownLoader6.13806 für entschlussen bite hier Trojan.Matsnu.1 runterladen

What?!