hi
du hast ne andere variannte, oder hat deine, bzw der dropper (installer) in den eigenschaften als datei typ
.pif
?
die kam erst gestern als mail bei mir an, ist also noch neu.
weiterhin gilt, damit wir weiterhin schnell über so was berichten können:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

Guten Morgen zusammen,

ich bin ebenfalls von dieser neuen Variante des Verschlüsselungs-Trojaners betroffen.

Ich bin bei GMX, wie kann ich die erforderlichen Daten zukommen lassen?

Gruß
MateriaMan

Moin

Zitat:

Ich bin bei GMX, wie kann ich die erforderlichen Daten zukommen lassen?

du kannst die Daten an markusg schicken
http://markusg.trojaner-board.de
und/oder du lädst den Anhang nach dieser Anleitung hoch
http://www.trojaner-board.de/54791-a...ner-board.html

vielen Dank dafür

MFG

Hallo, ich habe auch den neuen Trojaner erwischt. Hat alle Daten verschlüsselt. Keine der hier aufgeführten "Reparaturmethoden" schlägt an.
Die email habe ich nicht mehr. Sie kam am 17.05.2012 und hat im email Ordner alle Einträge vom 17.05.2012 gelöscht.
Die überschriebenen Daten habe keine Endung. Egal ob JPG PDF MP3. Alle Ordner sind befallen. Den Trojaner haben wir durch verschiedene Reinigungsprogramme entfernen können. Die Verschlüsselung besteht jedoch weiterhin. Das System XP Serv Pack 3 startet wieder. Beim Hochfahren erhalten wir einen Fehler:SipaHost.exe - Komponente nicht gefunden. Die Anwendung konnte nicht gestartet werden, weil DVCCDBBasic100.dll nicht gefunden wurde." Wenn 15x OK gedrückt wird, verschwindet die Fehlermeldung. Einen Screenshot übersende ich. Weiterhin habe ich eine verschlüsselte Datei und eine Original Datei beigefügt. Die Größe der Dateien bleibt indentisch. Allerdings sind alle verschlüsselten Dateien "erstellt am 13. Februar 1601". Wichtig ist auch noch, dass es keinen Zugriff auf Wiederherstellungspunkte gibt. Es ist nicht möglich, vor der Infektion auf Wiederherstellungspunkte zuzugreifen. Vielleicht helfen diese Beobachtungen bei der Lösung des Problems

Hallo,

einige meiner Fotos konnte ich eben mit dem O&O MediaRecovery wieder reparieren.

LG Adhideva

Wenn jetzt noch jemand wüßte, wie man die Emails in Thunderbird wiederherstellt?

Scheinbar habe ich einen Weg gefunden: http://www.trojaner-board.de/115496-...erstellen.html

Ich hoffe, dass es klappt, was ich grade mache mit dem ShadowExplorer:

Leeren Ordner auf dem Desktop erstellen, dann über den ShadowExplorer die Thunderbird-Daten folgendermaßen finden:

C - Users - Medion (bei mir, bitte euren User selbst raussuchen) - AppData - Roaming - Thunderbird

und dann in den leeren Ordner exportieren.

Den Ordner z.B. auf eine leeren ext. Festplatte sichern.

Ich hoffe, dass ich dann die "kaputten Daten" mit den gesicherten Daten ersetzen kann.

Beim Thunderbird gibt es auch eine Lösung ohne Shadow.

Man suche sein Profileverzeichnis (C:\Users\Benutzer\AppData\Roaming\Thunderbird) und dort die "Local Folders". Da sind in der Regel die Maildateien. Es gibt immer zwei zusammengehörige Dateien, z. B. Inbox und Inbox.msf. Das gilt für Sent, Trash, usw.

Nun öffne man mit einem Editor (z.B. Notepad++ o.ä.) diese Dateien.
Wenn man nun besagte 12288 Bytes runtergeht, muss man Inhalt in dieser Form finden:

Code: Alles auswählenAufklappen

ATTFilter

From - Sun May 11 15:55:53 2008
X-Account-Key: account2
X-UIDL: 0MKqlY-1JvBvt2Qhw-0002qN
X-Mozilla-Status: 0000
X-Mozilla-Status2: 10000000
X-Mozilla-Keys:                                                                                 
Return-Path: <info@asdfg.de>
Delivery-Date: Sun, 11 May 2008 15:49:49 +0200
Received: from m2.goneo.de (m2.goneo.de [82.100.220.83])
	by mx.kundenserver.de (node=mxeu4) with ESMTP (Nemesis)
	id 0MKqlY-1JvBvt2Qhw-0002qN for asdfg@hjkl.de; Sun, 11 May 2008 15:49:49 +0200
Received: from localhost (localhost.goneo.de [127.0.0.1])
	by scan.goneo.de (Postfix) with ESMTP id 675DA130C7B
	for <asdfg@hjkl.de>; Sun, 11 May 2008 15:49:45 +0200 (CEST)
[..]
         

Diese Datei ist dann eine Maildatei.

Da neue Mails immer unten angehängt werden, kann alles was darüber steht, gelöscht werden. So kann man die Datei wiederherstellen.
Wenn ihr die Dateien dann in der Form "Maildatei1", "Maildatei2", usw. umbenennt und dann Thunderbird startet, findet ihr Ordner dieses Namens in der Oberfläche.
Dann diese Mails markieren und in die entsprechenden Ordner (Posteingang, gelöscht,... -diese automatisch wieder angelegt) verschieben.

Die restlichen Einstellungen wie Mailadresse, Server, usw. müssen von Hand neu angelegt werden, das sie vermutlich zerstört wurden.


Michael

Hallo ich bins nochmal,

also das mit der Schattenkopie hat irgendwie nicht funktioniert....er zeigt mir die Dateien die Betroffen sind nicht an...entweder bin ich zu blöd dafür oder es geht wirklich nicht....

Das es für Textdateien noch keine Lösung gibt das weiss ich....


@ Markus

Kann ich die infizierte Mail nicht einfach an dich weiterleiten, dann müsstest du die doch auch bekommen oder?

weil wenn ich die mail markiere, kann ich nicht speichern....


Ich hab grad gesehen das ich in meinem anderen E-Mail Acount auch wieder so eine habe...also ich kann jetzt zwei anbieten...einmal bei gmx und einmal bei web

Zitat:

Zitat von Kleene8611

Hallo ich bins nochmal,

also das mit der Schattenkopie hat irgendwie nicht funktioniert....er zeigt mir die Dateien die Betroffen sind nicht an...entweder bin ich zu blöd dafür oder es geht wirklich nicht....

Das es für Textdateien noch keine Lösung gibt das weiss ich....


@ Markus

Kann ich die infizierte Mail nicht einfach an dich weiterleiten, dann müsstest du die doch auch bekommen oder?

weil wenn ich die mail markiere, kann ich nicht speichern....


Ich hab grad gesehen das ich in meinem anderen E-Mail Acount auch wieder so eine habe...also ich kann jetzt zwei anbieten...einmal bei gmx und einmal bei web

@Kleene,

hast Du Dir die Videos von @pcab50 angesehen?

http://www.trojaner-board.de/115551-...tml#post835551

Dann kannst Du nachvollziehen ob Du unwissend bist oder ob Schattenkopien bei Dir vorhanden sind.
Hast Du Dir den ShaowExplorer runter gekaden?

Hallo an alle Experten und Betroffenen,

nachdem ich hier nun seit gestern fleissig mitgelesen habe, wollte ich doch auch endlich mal meinen Senf dazuabgeben.

Es erwischte mich dummerweise gestern Abend, konnte das Fenster mit der Zahlungsaufforderung im abgesicherten Modus mit Netzwerk umgehen und habe mir dann Malewarebytes heruntergeladen, laufenlassen und nach dem Fund, war es zumindest erstmal wieder möglich den Laptop normal zu starten.

Blieb also noch das grosse Problem mit den verschlüsselten Daten!!! Denn auch ich hatte leider nie eine Sicherung gemacht!
Meine Verschlüsselungen waren rein wirre Buchstabenkombis ohne Endungen ( vorher mp3,mp4,odt,txt,jpg usw.) und kein Tool konnte da irgendwas lösen.
Die Funktion Schattenkopien war leider ausgeschaltet....und bevor ich es endgültig aufgeben wollte, versuchte ich den Shadow Explorer und siehe da:
Ich konnte doch glatt meine Daten ( Fotos, Songs, Texte, Firefoxlesezeichen usw.) wiederholen!!! War zwar etwas Zeitaufwand, aber es hat sich für mich gelohnt. Also versucht es bitte mal damit! Vielen Dank möchte ich hiermit pcab50 aussprechen, dass er das so toll im Videoformat erklärt hat!

Mir ist übrigens ausgefallen, dass sich diese Buchstaben überall mit hereingeschlichen haben....habe mal hier und mal da was gesehen und auch mit Shadow Explorer ausgetauscht. Letzlich zeigt mir weder AntiVir, noch Malewarebytes etwas Schlechtes an, ich bin mir aber irgendwie nicht sicher, ob dieser Virus nun von mir gegangen ist oder nicht!?

Gibt es eine Möglichkeit zu sehen, ob ich nun clean bin??? Möchte mir natürlich gerne das Neuaufspielen usw. gerne sparen.

Vielen herzlichen Dank für eine Antwort und haltet weiterhin tapfer durch und ärgert euch nicht zu sehr!

Liebe Grüsse, LadySa

HAllo du hast eine PM schau es dir mal an Gruß