Hallo Trojaner Board.

Bin neue in Forum. hbae viel gelesen. Verstehe aber Sachen nicht.

Mein Kumpel hat sich den neuen Trojaner Version 1.170.1 per Email einfangen Win Xp Sp 3. Am Desktop erscheint eine Botschaft bitte lesen.txt:

Sehr geehrte Damen und Herren,

anscheinend wurde das Update Programm vollständig unterbrochen. Jetzt kann das Virus nur manuell beseitigt werden. Dies brauchen Sie um Ihre Dateien benutzen zu können. Falls Sie also die gesperrten Daten brauchen, senden Sie uns bitte 200 Euro Ukash Code an die Email: security-center@inbox.lt, so bald dieser Code geprüft wurde, erhalten Sie ein Update Programm. Falls Sie Ihre Daten nicht brauchen raten wir Ihnen dringend Ihren Computer zu formatieren um den Virus vollständig zu entfernen. Ukash können Sie an einer beliebigen Tankstelle erwerben und auch in mehreren Internetcafes in Ihrer Nähe.

mfG Ihr Security Team

Taskmanager geht nicht. Abgesichter Modus auch nicht. Fotos Dokumente sind Verschlüsselt.

Ich soll das System mit Malwarebytes Anti Malware scannen. der infizierte Rechner soll nicht ins Internet oder? Also soll Malwarebytes auf eine CD brennen oder auf einen USB Stick ziehen und manuell updaten?

Es gibt noch keine Lösung die Daten wiederzustellen wenn ich das richtig lese in diesem Forum

Vielen Dank in Voraus für euere Hilfe.

Gruß Suele

Hallo
war jetzt schon länger nicht mehr on
gibt es mittlerweile ein programm zur entschüsselung von datein die so verschüsselt sind: dhfjfiehfjsdbfi
danke Gruß Ice

Habe mal ne dumme frage obwohl dumme fragen gibt es ja bekanntlich nicht

Ich bin ja auch von dem Windowsverschlüsselungstrojaner der 2 Version befallen....
ist es möglich sich die erste Version des Trojaners zu laden also da wo die datein locked heißen und die dinger so wieder umzubenennen und dann zu entschlüsseln mit den Tools ?

Hallo zusammen,

Also ich bin nun auch ratlos. Habe von einem bekannten ein Rechner bekommen, die genau das selbe bild darstellt wie im ersten post.

Rechner kann ich starten, anmelden dann nach etwa 15-20 sekunden wird der rechner gesperrt, und ich kann nichts machen. Keinerlei abgesicherten modi sind verfügbar - es kommt nur ein bluescreen und startet neu. Win XP repair geht anscheinend auch nicht.

Eigentlich dachte ich ich wäre nicht schlecht in solchen sachen, aber diesesmal komm ich nicht drumherum jemanden zu fragen der sich auskennt.

Wie kann ich überhaupt irgendwelche programme benutzen wenn ich nicht mal in windows reinkomme? Kann ich evtl durch linux eine neue benutzer anlegen?

Ich bin für jede hilfe sehr dankbar.

mfg

Jeremy

Zitat:

Zitat von Ice2000

Hallo
war jetzt schon länger nicht mehr on
gibt es mittlerweile ein programm zur entschüsselung von datein die so verschüsselt sind: dhfjfiehfjsdbfi
danke Gruß Ice

Ich habe bei meinen "verschlüsselten" Dateien mal mit Notepad nachgesehen, um was es sich handelt. Danach umbenannt und den korrekten Dateityp zugewiesen und siehe da: Ich konnte die Dateien wieder öffnen, egal ob excel, elfo, word, pdf usw.

Bitte versucht das mal und gebt Rückmeldung.

Zitat:

Zitat von hm123de

Ich habe bei meinen "verschlüsselten" Dateien mal mit Notepad nachgesehen, um was es sich handelt. Danach umbenannt und den korrekten Dateityp zugewiesen und siehe da: Ich konnte die Dateien wieder öffnen, egal ob excel, elfo, word, pdf usw.

Dann hast du nicht den Trojaner, der verschlüsselt.
Wenn du z.B. eine pdf-Datei mit dem Hex-Editor anschaust, siehst du, wie die beginnt: %PDF-1.4 (je nach Version).
Bei den verschlüsselten Versionen steht nur Datenmüll drin; wenn ich auch nur das erste Byte durch ein Leerzeichen ersetze, ist es keine konforme pdf-Datei mehr.

Ähh, Außerdem: Notepad zeigt (unter XP) bei pdf-Dateien eh nur Datenmüll an; daraus kann man nichtmal den Dateitypen ablesen.

Joh

Zitat:

Zitat von JohX

Dann hast du nicht den Trojaner, der verschlüsselt.
Wenn du z.B. eine pdf-Datei mit dem Hex-Editor anschaust, siehst du, wie die beginnt: %PDF-1.4 (je nach Version).
Bei den verschlüsselten Versionen steht nur Datenmüll drin; wenn ich auch nur das erste Byte durch ein Leerzeichen ersetze, ist es keine konforme pdf-Datei mehr.

Ähh, Außerdem: Notepad zeigt (unter XP) bei pdf-Dateien eh nur Datenmüll an; daraus kann man nichtmal den Dateitypen ablesen.

Joh

Mein Malwarebytes-Log: Hat mir aber ebenfalls bestätigt, dass es der Trojaner war. Mich wundert einfach, weshalb er bei mir nur massenhaft die Dateinamen geändert aber nichts verschlüsselt hat.

Hier das Log:


Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|6AA0BD6D (Trojan.Agent) -> Daten: C:\Users\Helmut\AppData\Roaming\Lleell\3EA9D1616AA0BD6D99B9.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\Users\Helmut\AppData\Roaming\Lleell\3EA9D1616AA0BD6D99B9.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Helmut\1\Mitglied Rechnung 2012 .com (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Helmut\AppData\Local\Temp\ffxxxddttt.pre (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Helmut\Downloads\EEEjjjLLLyyEEE (PUP.OfferBundler.ST) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Grüße ans Board. Bin heute dazugestoßen, weil ich bisher nirgendwo sonst derartig ernsthafte Arbeit am Problem gefunden habe.

Eine Freundin gab mir vor kurzem ihren Laptop (Fujitsu mit Win7), weil sie sich 'irgend nen Virus gefangen' hat.

Hab so was ähnliches schonmal selbst gehabt, aber wesentlich harmloser. Schätze mal, ich habe diesen Ransom unterschätzt.

Habe zunächst mit der Kaspersky-Rescue gearbeitet, was jedoch keine Ergebnisse gebracht hat, da der intergrierte Virenscanner nichts gefunden hat.

Da hab ich mir gedacht, dass es was fieseres sein könnte.
Daher habe ich versucht mit einer Ubuntu-Live auf den Rechner zu kommen und ein paar Daten zu sichern, da auf dem Laptop eine Unmenge Fotos und Musik gespeichert sind. Jedoch keine Chance, bereits alles verschlüsselt.

Im abgesicherten Modus konnte ich schließlich den Rechner starten und siehe da: Textdokument auf dem Desktop. Nachdem ich von meinem Rechner aus gegoogelt habe, bin ich hier gelandet. Ich hoffe, dass hier jemand in naher Zukunft einen neuer Decoder basteln kann.

Ich möchte mithelfen so gut ich kann.

Was mir aufgefallen ist:

Ich habe leider keine Ahnung, was für Musikformate vorher auf dem Laptop waren, aber in den verschiedenen Alben sind fast alle Tracks verschlüsselt. Manche jedoch nicht (weder umbennant noch codiert), teilweise ganze Alben, teilweise einzelne Tracks in gemischten Ordnern. Was diese alle gemeinsam haben: Sie sind Mp3s. Hat jemand mal was ähnliches festgestellt? Ich bezweifle zwar, dass das von Bedeutung ist aber bin im Moment ratlos genug.

Hoffe, bald gute Neuigkeiten zu hören.

Pace
Shravaka