Hallo !

Auch ich bin von dem Verschlüsselungstrojaner oder einem seiner Verwandten betroffen und bitte um eure Hilfe.

Ich bekam gestern folgende email :

<<<<<email Anfang

Betreff eine Datingwebseite-Vertragsrechnung NR: 437734395
Text :Vielen Dank für Ihren Auftrag,

Sie haben heute bei der Flirtseite www.Meinestadt.de die Starmitgliedschaft gekauft. Der Betrag in Höhe von 335,79 EUR wird in den nächsten Tagen von Ihrem Konto abgetragen. Die Abrechnung erfolgt durch Rokyment GmbH.


Sie sind jetzt für die nächsten 24 Monate Premiummitglied und können in vollen Umfang die Premiumangebote nutzen.
Entnehmen Sie die Vertragsdaten bitte der beigefügter Datei, dort finden Sie auch die Vertragsdaten und Stardienstvorteile. Falls Sie die Premiummitgliedschaft nicht mehr wollen, mailen Sie die Widerrufung, mit der in dem zugefügtem Zip Ordner, beigelegten Widerrufserklärung.

Das Team wünscht dir viel Spaß!

Mit freundlichen Grüßen Josef Weber
Support-Team


Potsdam 82485 Deutschland
Phone: +49-947-91128635

Geschäftsleiter: Hans Brunner
Inhaltlich Verantwortlicher gemäss § 6 MDStV: Werner Lechner
Datenschutzbeauftragter: Elisabeth Egger
UST-Nr.: DE3811232152
Amtsgericht Essen

<<<<<email ende

die Email hab ich an virus@trojaner-board.de per mail geschickt.

Im Anhang war dann das Schadprogramm was sich als abmelden.zip und darin ein angebliches Word.dok war ...

Ich war leider so dumm und hab mich mit meinem Virenschutz zu sicher gefühlt und das Dok geöffnet .
Nach ein paarmal Bildschirm aufflackern war dann die Aufforderung, angeblich von Windows update, da ich solle bezahlen.

Sa genauso aus wie hier : http://www.trojaner-board.de/attachm...e-variante.png

Ich hab daraufhin sofort den Rechner ausgeschaltet und bei einem reboot ein anderes Benutzerkonto genommen. Was auch funktionierte. Hab dann mit Malwarebytes Antimalware einen Scan durchgeführt.

Der Scan fand auch 4 Dateien die er in Quarantäne gesetzt hat ... (logdatei im Anhang)

Ein weiterer Scan fand nichts mehr . Ich konnte zunächst nicht viel zerstörtes feststellen. Keine verschlüsselten Dateien gefunden. Nur ein paar Programme machen jetzt Zicken oder funktionieren nicht mehr :

1.Google Chrome hat das Benutzerprofil zunächst nicht mehr gefunden und ich schien keine Erweiterungen mehr zu haben ... Lies sich dann nach aber nach der Aktivierung eines weiteren Profils aber alles wieder herstellen.

2. Eraser ist nicht mehr startbar es rshceint nur die Fehlermeldung "Eraser funktioniert nicht mehr" es wird nach einer Lösung für das Problem gesucht. Eine Löschung und Neuinstallation bringt den selben Fehler . Ich weiss nicht woran das hakt ...

3. Dropbox kann sich anscheinend nicht anmelden ich hab es erst mal gelöscht ...
4. Ein Spiel lässt sich zwar starten aber die Spielstände sind weg ...

5. Ein anderes Programm scheint zu starten aber das Fenster ist so klein das man nicht machen kann (nichts zum Anklicken usw...) (RTL Game-Center)

Es könnte ja sein das der Trojaner gerade angefangen hat zu verschlüsseln als ich den Rechner ausgeschaltet hab ... Und deswegen jetzt diese Fehler auftauchen ...

Ansonsten scheint bisher alles zu funktionieren ...

Ich hab dann noch die Logs von dds GMER und Malwarebytes angehängt. Die trojanermail ist an euch abgeschickt.

Ich hoffe Ihr könnt mir helfen. Vielen Dank im voraus auch wenn Ihr mir nicht helfen könnt. Aber auf jeden Fall macht Ihr hier einen Super Job ! Respekt dafür !

mit freundlichen Grüßen

Rufius alias Martin K.

sorry hab vergessen :

mein Hauptsystem ist auf Laufwerk H: und ist windows 7 32 bit

hi
da deine daten ja in ordnung sind, würd ich dir vorschlagen, mache kurzen prozess, setze den pc neu auf, anleitung gebe ich dir gern, und sichere ihn dann ab.
damit bist du auf der sicheren seite.

OK ich habs mir schon fast gedacht . Ich werde ihn dann neu aufsetzen. Ist zwar schade weil das system noch gar nicht so lange lief. Und nun schon wieder alles neu soll.
Anleitung gibst Du gern ? Hmm. Eine Windows Installation mit Virenschutz und Firewall bekomme ich wohl hin. Oder meinst Du darüber hinaus noch etwas ?

Ich möchte mich für dein/euer Engagement und die Hilfsbereitschaft bedanken ! Wünsche weiterhin viel Erfolg beim Kampf gegen die Malware.

Gruss Rufius

hi, wenn du mir sagst, von welchem hersteller das gerät is, bzw ob du weist wie man neu aufsetzt, das normale prozedere reicht dabei, dann reicht ja die anleitung zum absichern.

Gut dann kriege ich das ohne weitere Hilfe hin. Vielen Dank !

Thread kann, von mir aus, geschlossen werden.

Ohje ! hoffentlich nerve ich jetzt nicht zu sehr aber ich musste gerade fetsstellen das der Trojaner bei mir doch einige Dateien verschlüsselt hat.

Ich habe es zunächst nicht bemerkt weil er die Dateien auf einer externen Festplatte, die ich nicht häufig brauche verschlüsselt hat. Die Platte hatte ich zur Sicherheit zunächst abgestöpselt. Die Dateien sind zum Grossen Teil Fotos die ich zum Teil auch im Orginal unverschlüsselt habe.
Die verschlüsselten Dateien haben alle kryptische Namen. Hier ein Beipsiel :

die Datei "P1000968_optimized.JPG" heisst jetzt "lssGfUOONqnEaaXVsxvJ" ohne Dateiendung.

Hab es mit dem Decrypthelper und Avira Ransom File Unlocker versucht es klappte aber nicht einen Schlüssel zu finden. Ich habe wohl die neue Variante wo ihr noch an einer Lösung arbeitet ...

Wäre toll wenn es eine Möglichkeit zur Entschlüsselung gibt .