![]() |
|
Diskussionsforum: Neue Verschlüsselungs-Trojaner Variante im UmlaufWindows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
![]() |
|
![]() | #1 |
/// Malware-holic ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf hi du hast ne andere variannte, oder hat deine, bzw der dropper (installer) in den eigenschaften als datei typ .pif ? die kam erst gestern als mail bei mir an, ist also noch neu. weiterhin gilt, damit wir weiterhin schnell über so was berichten können: an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert. wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ: .eml einstellen. dann mail an: http://markusg.trojaner-board.de dort die soeben erstellte datei anhängen. wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders. bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen. sie können dann dorthin solche verdächtigen mails senden. diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
![]() | #2 |
| ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf Guten Morgen zusammen,
__________________ich bin ebenfalls von dieser neuen Variante des Verschlüsselungs-Trojaners betroffen. Ich bin bei GMX, wie kann ich die erforderlichen Daten zukommen lassen? Gruß MateriaMan |
![]() | #3 | |
![]() ![]() ![]() ![]() ![]() | ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf Moin
__________________Zitat:
http://markusg.trojaner-board.de und/oder du lädst den Anhang nach dieser Anleitung hoch http://www.trojaner-board.de/54791-a...ner-board.html vielen Dank dafür MFG
__________________ |
![]() | #4 |
| ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf Hallo, ich habe auch den neuen Trojaner erwischt. Hat alle Daten verschlüsselt. Keine der hier aufgeführten "Reparaturmethoden" schlägt an. Die email habe ich nicht mehr. Sie kam am 17.05.2012 und hat im email Ordner alle Einträge vom 17.05.2012 gelöscht. Die überschriebenen Daten habe keine Endung. Egal ob JPG PDF MP3. Alle Ordner sind befallen. Den Trojaner haben wir durch verschiedene Reinigungsprogramme entfernen können. Die Verschlüsselung besteht jedoch weiterhin. Das System XP Serv Pack 3 startet wieder. Beim Hochfahren erhalten wir einen Fehler:SipaHost.exe - Komponente nicht gefunden. Die Anwendung konnte nicht gestartet werden, weil DVCCDBBasic100.dll nicht gefunden wurde." Wenn 15x OK gedrückt wird, verschwindet die Fehlermeldung. Einen Screenshot übersende ich. Weiterhin habe ich eine verschlüsselte Datei und eine Original Datei beigefügt. Die Größe der Dateien bleibt indentisch. Allerdings sind alle verschlüsselten Dateien "erstellt am 13. Februar 1601". Wichtig ist auch noch, dass es keinen Zugriff auf Wiederherstellungspunkte gibt. Es ist nicht möglich, vor der Infektion auf Wiederherstellungspunkte zuzugreifen. Vielleicht helfen diese Beobachtungen bei der Lösung des Problems |
![]() | #5 |
| ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf Hallo, einige meiner Fotos konnte ich eben mit dem O&O MediaRecovery wieder reparieren. LG Adhideva |
![]() | #6 |
| ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf Wenn jetzt noch jemand wüßte, wie man die Emails in Thunderbird wiederherstellt? Scheinbar habe ich einen Weg gefunden: http://www.trojaner-board.de/115496-...erstellen.html Ich hoffe, dass es klappt, was ich grade mache mit dem ShadowExplorer: Leeren Ordner auf dem Desktop erstellen, dann über den ShadowExplorer die Thunderbird-Daten folgendermaßen finden: C - Users - Medion (bei mir, bitte euren User selbst raussuchen) - AppData - Roaming - Thunderbird und dann in den leeren Ordner exportieren. Den Ordner z.B. auf eine leeren ext. Festplatte sichern. Ich hoffe, dass ich dann die "kaputten Daten" mit den gesicherten Daten ersetzen kann. Geändert von Wildfang (20.05.2012 um 19:38 Uhr) |
![]() | #7 |
![]() | ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf Beim Thunderbird gibt es auch eine Lösung ohne Shadow. Man suche sein Profileverzeichnis (C:\Users\Benutzer\AppData\Roaming\Thunderbird) und dort die "Local Folders". Da sind in der Regel die Maildateien. Es gibt immer zwei zusammengehörige Dateien, z. B. Inbox und Inbox.msf. Das gilt für Sent, Trash, usw. Nun öffne man mit einem Editor (z.B. Notepad++ o.ä.) diese Dateien. Wenn man nun besagte 12288 Bytes runtergeht, muss man Inhalt in dieser Form finden: Code:
ATTFilter From - Sun May 11 15:55:53 2008 X-Account-Key: account2 X-UIDL: 0MKqlY-1JvBvt2Qhw-0002qN X-Mozilla-Status: 0000 X-Mozilla-Status2: 10000000 X-Mozilla-Keys: Return-Path: <info@asdfg.de> Delivery-Date: Sun, 11 May 2008 15:49:49 +0200 Received: from m2.goneo.de (m2.goneo.de [82.100.220.83]) by mx.kundenserver.de (node=mxeu4) with ESMTP (Nemesis) id 0MKqlY-1JvBvt2Qhw-0002qN for asdfg@hjkl.de; Sun, 11 May 2008 15:49:49 +0200 Received: from localhost (localhost.goneo.de [127.0.0.1]) by scan.goneo.de (Postfix) with ESMTP id 675DA130C7B for <asdfg@hjkl.de>; Sun, 11 May 2008 15:49:45 +0200 (CEST) [..] Da neue Mails immer unten angehängt werden, kann alles was darüber steht, gelöscht werden. So kann man die Datei wiederherstellen. Wenn ihr die Dateien dann in der Form "Maildatei1", "Maildatei2", usw. umbenennt und dann Thunderbird startet, findet ihr Ordner dieses Namens in der Oberfläche. Dann diese Mails markieren und in die entsprechenden Ordner (Posteingang, gelöscht,... -diese automatisch wieder angelegt) verschieben. Die restlichen Einstellungen wie Mailadresse, Server, usw. müssen von Hand neu angelegt werden, das sie vermutlich zerstört wurden. Michael |
![]() | #8 |
![]() | ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf Hallo ich bins nochmal, also das mit der Schattenkopie hat irgendwie nicht funktioniert....er zeigt mir die Dateien die Betroffen sind nicht an...entweder bin ich zu blöd dafür oder es geht wirklich nicht.... Das es für Textdateien noch keine Lösung gibt das weiss ich.... @ Markus Kann ich die infizierte Mail nicht einfach an dich weiterleiten, dann müsstest du die doch auch bekommen oder? weil wenn ich die mail markiere, kann ich nicht speichern.... Ich hab grad gesehen das ich in meinem anderen E-Mail Acount auch wieder so eine habe...also ich kann jetzt zwei anbieten...einmal bei gmx und einmal bei web Geändert von Kleene8611 (01.06.2012 um 21:08 Uhr) |
![]() | #9 | |
/// Helfer-Team ![]() ![]() | ![]() Neue Verschlüsselungs-Trojaner Variante im UmlaufZitat:
hast Du Dir die Videos von @pcab50 angesehen? http://www.trojaner-board.de/115551-...tml#post835551 Dann kannst Du nachvollziehen ob Du unwissend bist oder ob Schattenkopien bei Dir vorhanden sind. Hast Du Dir den ShaowExplorer runter gekaden?
__________________ Das Board unterstützen Datenrettung -->HIER! Zitat der Woche: Die Gefahr, dass der Computer so wird wie der Mensch, ist nicht so groß wie die Gefahr, dass der Mensch so wird wie der Computer. |
![]() | #10 |
| ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf Hallo an alle Experten und Betroffenen, nachdem ich hier nun seit gestern fleissig mitgelesen habe, wollte ich doch auch endlich mal meinen Senf dazuabgeben. ![]() Es erwischte mich dummerweise gestern Abend, konnte das Fenster mit der Zahlungsaufforderung im abgesicherten Modus mit Netzwerk umgehen und habe mir dann Malewarebytes heruntergeladen, laufenlassen und nach dem Fund, war es zumindest erstmal wieder möglich den Laptop normal zu starten. Blieb also noch das grosse Problem mit den verschlüsselten Daten!!! Denn auch ich hatte leider nie eine Sicherung gemacht! ![]() Meine Verschlüsselungen waren rein wirre Buchstabenkombis ohne Endungen ( vorher mp3,mp4,odt,txt,jpg usw.) und kein Tool konnte da irgendwas lösen. Die Funktion Schattenkopien war leider ausgeschaltet....und bevor ich es endgültig aufgeben wollte, versuchte ich den Shadow Explorer und siehe da: Ich konnte doch glatt meine Daten ( Fotos, Songs, Texte, Firefoxlesezeichen usw.) wiederholen!!! War zwar etwas Zeitaufwand, aber es hat sich für mich gelohnt. Also versucht es bitte mal damit! Vielen Dank möchte ich hiermit pcab50 aussprechen, dass er das so toll im Videoformat erklärt hat! ![]() Mir ist übrigens ausgefallen, dass sich diese Buchstaben überall mit hereingeschlichen haben....habe mal hier und mal da was gesehen und auch mit Shadow Explorer ausgetauscht. Letzlich zeigt mir weder AntiVir, noch Malewarebytes etwas Schlechtes an, ich bin mir aber irgendwie nicht sicher, ob dieser Virus nun von mir gegangen ist oder nicht!? ![]() Gibt es eine Möglichkeit zu sehen, ob ich nun clean bin??? Möchte mir natürlich gerne das Neuaufspielen usw. gerne sparen. Vielen herzlichen Dank für eine Antwort und haltet weiterhin tapfer durch und ärgert euch nicht zu sehr! Liebe Grüsse, LadySa |
![]() | #11 |
| ![]() Neue Verschlüsselungs-Trojaner Variante im Umlauf HAllo du hast eine PM schau es dir mal an Gruß |
![]() |