Hallo zusammen!

Es scheint, das mein PC ebenfalls diesem neuen Verschlüsselungs-Trojaner zum Opfer gefallen ist.

Auf grund des tollen Forums hier habe ich es geschafft meinen PC wieder zum laufen zu bringen (und das als Laie), aber meine Dateien (.doc, .pdf etc.) lassen sich nicht entschlüsseln. Auch nicht mit dem DecryptHelper. Die Verschlüsselung sieht genauso aus wie beschrieben.

Bilder sind jedoch nicht betroffen.

Würde Euch gerne die Email zukommen lassen nur was muss ich tun, da ich auf dem PC nicht an sie rankomme und sie noch auf dem Server des Providers vorhanden sein müßte.

hallo



ich ahbe auch eine m ail bekommen und bin mit den nerven seit heute früh am ende.
meine war

Sehr geehrte Damen und Herren,

Besten Dank für Ihren Vertrag mit Blumenbutler, nachfolgend finden Sie Ihre Vertragsbestätigung.

Ihre Auftragsnummer: 896548154152
Artikel: Nikon 3854964463 5444,34 Euro
Rechnungsname: Wie in Vertragsdaten gekennzeichnet


Zahlungsmethode: Lastschrift

Versandadresse und detaillierte Zahlungsdetails finden Sie zwecks Sicherheitsmaßnahmen im Zusatzordner in der E-Mail.

Die Überweisung wurde autorisiert und wird innerhalb 4 Tage abgetragen.
Kaufeinzelheiten und Widerspruch Erklärung finden Sie in beigefügter Datei.


Ihr Kunden-Team

Alster GmbH
Horner Stieg 86
41073 Keiserslauter

Telefon: (+49) 334 8745384
(Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr)
Gesellschaftssitz ist Aulendorf
Umsatzsteuer-ID: DE023395120
Geschäftsfuehrer: Charlotte Lang



so kam nun nicht mehr inpc rein und probierte es mit windows defender.
nun bin ich bei problem 2 mit sehr geehrte damen und herren usw
da hilft irgendwie garnix mehr.

lasse gerade malewarebytes durchlaufen und schau was der sagt.
mit DecryptHelper 0.5.3 kenne ich mich nicht aus und avira ransom auch nicht wirklich

habe musik auf dem rechner das sind nur noch zahlen und die bilder auch nur noch zahlen und weiss eben nicht wie was ich nun mit decrypt bzw avira machen soll kann leider auch kein englisch


mfg karin und vielen dank im vorraus

hallo


habe schon alles probiert und kenne mich leider nicht aus
habe musik auf meinen rechner des sind nur noch zahlen wegen dem trojaner
und weiss nicht wie ich schlüssel usw erstellen kann. habe auch schon avira probiert kann aber leider kein englisch und kenn mich auch sonst nicht so aus mit denen programmen.
beispüielbilder und musik habe ich auf dem anderen nicht infizierten rechner noch drauf aber das klappt nicht weil datei unterschiedlich gross oder identisch stehe auf dem schlauch.
lieben gruss karin

Hallo Racheengel,

ich bin kein Profi in Sachen PC, doch bei mir hat folgendes funktioniert:

- Starten im Abgesicherten Modus
- Malewarebytes installiert und im Anschluss laufen lassen. Hat Trojaner gefunden und gelöscht.
- Im Anschluss auf den Windows-Button (Windows7) und bei „Ausführen“ msconfig eingegeben.
- Dort auf den Reiter „Systemstart“ und dann bei einer mir nicht bekannten Datei (bestand aus Zahlen und Buchstaben) das Häckchen entfernt und den PC im Anschluss neu gestartet.

Seitdem fährt er wieder normal hoch und ich kann ich nutzen, doch die Dateien (.doc, .pdf etc.) können gegenwärtig nicht entschlüsselt werden. Leider auch nicht mit dem DecryptHelper.

Habe dann zur Sicherheit noch mal Malewarebytes und meinen Kaspersky durchlaufen lassen, wobei der Kaspersky wohl durch das deaktivieren der o.g. Datei folgende Datei gefunden hat Trojan-Dropper.Win32.Injector.exnc.

Meine Bilder, Musik und Videodateien sind jedoch vollständig und nutzbar.

Vielleicht hilft Dir die Information ja weiter.

hallo, bitte erst mal keine mails an die von mir genannte adresse senden. es sieht so aus als währen wir mit der arbeit jemandem auf die füße getreten, mein postfach wird im moment zugespamt, ich habe heute bereits rund 46000 nutzlose mails bekommen, infos über die neue adresse folgen.

hallo widder

habe das nun probiert mal schauen obs klappt.

habe die verschlüsselte datei und dir original datei mit decrypt probiert da schrieb er konnte keinen schlüssel machen usw warum auch immer
das malware habe ich auch probiert aber im normalen modus nicht im abgesicherten. im normalen fand er einen trojaner den entfernte ich.
im systemstart habe ich nichts auffälliges gefunden und die musikdatein sind immer noch verschlüsselt weil das mit decrypt nicht funktioniert.

mfg karin

@Racheengel

erstell für dein Problem bitte hier einen eigenen Thread und poste nicht in die Threads von anderen TOs.
Danke

Ist jemand von euch schon weiter gekommen?
Zum Glück besitze ich Windows 7 und WHS 2008 - dadurch sind alle meine Speicherorte aufn Server und darauf scheint der Virus nicht zugreifen zu können. Leider habe ich vergessen meine PST Dateien zu sichern... das kommt wenn man zu neugierig ist und faul seine Sandbox zu starten... Na ja der Mac machst ja noch^^

Somit bezieht sich das Ding nur auf lokale Pfade - auf andere Benutzer kann das Ding auch nicht zugreifen - oder habt ihr was anderes beobachtet?

Außerdem ist das Vieh bei mir nur auf die persönlichen Ordner beschränkt - also Desktop, Fotos, Videos, Dokumente - ausgehend von den Systemvariablen. Falls jemand noch was anderes gesehen hat, wäre es gut zu wissen, weil ich wie bekloppt suche, wo sich das Ding sonst so noch ausgetobbt hat.

ja ich sehe auch gerade es ist nur auf desktop sachen gegangen bilder auch unbrauchbare datein. habe es schon probiert mitm decrypter und avira aber funktioniert nicht trotz original und verschlüsselter datei schreibt er das er keinen schlüssel erzeugen kann warum auch immer

regina wie widder schon sagte er konnte word datein auch nicht mehr reparieren. komischerweise sind die bei mir nicht betroffen. nur die bilder und musikdatein was auf dem desktop waren

Hallo an ???,


Bin Neu hier.
leider bin heute auch darauf reingefallen.
Hab mich sehr geärgert, dass ich diese Mail geöffnet habe.
Nun weiß ich nicht weiter. War heute in einer Computerwerkstatt und
sie haben den Trojaner angeblich entfernt?
Ich bin mir nicht sicher.
Kann Word nicht mehr öffnen. Also meine ganzen Dateien. Und auch
alle Bilder.
Internet geht noch.
Und ich habe nicht viel Ahnung.
Könnt ihr mir helfen? Oder muss ich die 200,- bezahlen?

Danke!

Regina


Sehr geehrte/r Kunde/Kundin,
>
> Danke für Ihre Bestellung bei Onlineweinkeller, nachfolgend finden Sie
> Ihre Kaufbestätigung.
>
> Deine Transaktionsnummer: 492736579956
> Artikel: ChiefTec 8348589150 5078,00 Euro
> Rechnungsname: Wie in Zahlungsaufforderung abgebildet
>
>
> Zahlungsmethode: Paypal
>
> Versandadresse und detaillierte Vertragsdetails finden Sie aus
> Sicherheitsgründen in beigefügter Datei.
>
> Die Zahlung wurde autorisiert und wird innerhalb 2 Tage entzogen.
> Artikelauflistung und Widerruf Erklärung finden Sie in beigefügter
> Datei.
>
>
> Ihr Mail-Support
>
> Schubert GmbH
> Derbyweg 60
> 77124 Köln
>
> Telefon: (+49) 441 8282578
> (Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr)
> Gesellschaftssitz ist Bad Arolsen
> Umsatzsteuer-ID: DE144705448
> Geschäftsfuehrer: Helena Koch

Hallo, bei mir hat der Trojaner auch zugeschlagen. Habe den Trojaner durch Anti malware löschen können und kann mit dem System wieder arbeiten. Jedoch kann ich die verschlüsselten Dateien mit keinem hier vorgestellten Programm entschlüsseln. Zeigt an, dass er keinen Schlüssel erstellen kann. Gleiche Symthome wie bei "Racheengel"

ScareUncrypt findest hier im forum zum downloaden.

hat mir ein bisschen zumindest geholfen.
konnte mp3 schlüssel generieren aber als ich dann
den ordner klkickte und unterverzeichniss und kopie häckchen drinnen war passierte bei mir nix.
aber vielleicht hast du glück
lieben gruss karin

Hallo nochmal,

habe nun den ersten Punkt wie beschrieben durchgeführt, mit der Anti-Malware.

Das ist nun dabei rausgekommen. Ich hab keine Ahnung, was das bedeutet.
Jedenfalls wurden viele bösartigen Dateien gelöscht.
Ich soll das Ergebnis mitteilen, ist das richtig?
Morgen probiere ich das Entschlüsseln der Word-Dateien. Mal schauen.

LG
Regina



Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.18.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Regina Gottschlich :: MEINLAPTOP [Administrator]

19.05.2012 00:15:07
mbam-log-2012-05-19 (00-15-07).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 272264
Laufzeit: 2 Stunde(n), 45 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 9
HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB} (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
HKCR\TypeLib\{1D4DB7D0-6EC9-47a3-BD87-1E41684E07BB} (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB} (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
HKCR\FunWebProductsInstaller.Start.1 (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
HKCR\FunWebProductsInstaller.Start (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\FunWebProducts (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 5
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Bösartig: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\6CB683FE8CEADD423506.exe,) Gut: (userinit.exe) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 4
C:\Programme\FunWebProducts (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
C:\Programme\FunWebProducts\Installr (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
C:\Programme\FunWebProducts\Installr\1.bin (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
C:\Programme\FunWebProducts\Installr\2.bin (PUP.MyWebSearch) -> Keine Aktion durchgeführt.

Infizierte Dateien: 9
C:\Dokumente und Einstellungen\Regina Gottschlich\Eigene Dateien\Downloads\SoftonicDownloader_fuer_malwarebytes-anti-malware (1).exe (PUP.ToolbarDownloader) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Regina Gottschlich\Eigene Dateien\Downloads\SoftonicDownloader_fuer_malwarebytes-anti-malware.exe (PUP.ToolbarDownloader) -> Keine Aktion durchgeführt.
C:\Programme\FunWebProducts\Installr\1.bin\NPFUNWEB.DLL (PUP.FunWebProducts) -> Keine Aktion durchgeführt.
C:\Programme\FunWebProducts\Installr\2.bin\NPFUNWEB.DLL (PUP.FunWebProducts) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{79CF2C47-7C1F-4F55-919E-F88A822ADA89}\RP50\A0012942.DLL (PUP.FunWebProducts) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{79CF2C47-7C1F-4F55-919E-F88A822ADA89}\RP50\A0012943.DLL (PUP.FunWebProducts) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{79CF2C47-7C1F-4F55-919E-F88A822ADA89}\RP50\A0012944.DLL (PUP.FunWebProducts) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{79CF2C47-7C1F-4F55-919E-F88A822ADA89}\RP50\A0012945.DLL (PUP.FunWebProducts) -> Keine Aktion durchgeführt.
C:\Programme\Freecorder\tbFre1.dll (Adware.Shopper) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

guten morgen,
habe mir auch diesen virus eingefangen



hier mal eine anmerkung:
ein fotoordner
deckblatt= 000000.jpg - jetzt AdfoLjOdTTuqNVoLjOd
umbenannt in 000000.jpg - kann nicht geöffnet werden, defekte datei
in diesem ordner befinden sich die dateien al-000.jpg - al-119.jpg
die verschlüsselungen sind sowas von "konfus", nichts weisst auf eine gemeinsamkeit hin
gestern hat der it-fachmann von der telekom "malwarebites" installiert und durchlaufen lassen = ok. eben habe ich es nochmal getan = 4 inf. dateien.

ein wort noch an die vollpfosten, die diesen trojaner versandt haben:
ich bin eine alte frau und habe alle erinnerungsfotos verloren, könnt ihr mit eurem wissen nichts nutzvolles tun?

@Goldy Hallo , ich hatte das gleiche Problem meine Bilder waren auch mit diesem "komischen Buchstabensalat" versehen. Ich habe daraufhin einfach mal ".jpg" hinten angehängt. Die Bilder waren dadurch wieder lesbar. Dann habe ich sie mit einem Programm mit dem man komplette Ordnerinhalte nach bestimmten Kriterien umbennen kann umbenannt z.B.: vorher: AgfdshccgvzZh jetzt April20111, April20112, April20113 usw. Bilder sind soweit alle wieder brauchbar und den Rechner werde ich neu aufsetzen. Vielleicht hilft´s Dir ja auch.
Gruß
polodriver

Hallo,

mich hat es heute auch betroffen. Bekannte Email - mit Sperrung des PCs. Die lies sich relativ leicht wieder beheben. Aber alle Dateien sind verschlüsselt. AVIRA hat den TR/Injector.MI.2 identifiziert. Die Dateien sind verschlüsselt und mit den 6 bekannten Tools nicht wieder herstellbar. Beispiel: Win7 Beispielbild Wüste = JQaXfdAqslJQonVUg

Bin für jeden Hinweis dankbar, da alle unsere Fotos und Dokumente betroffen sind.

Gruß
skumelum