Guten Abend!

Habe mir ein Verschlüsselungstrojaner "Windows Update" eingefangen.
Kaspersky Internet Security meldete nach einem PC-Neustart den Virus:

Trojan-Dropper.WIN32.Injector.exsw

und entfernte diesen auch.
Anschließend habe ich mal vorsichtshalber den PC mit der CD von www.botfrei.de gescannt: 0 Funde

Der PC startet auch wieder normal, nur wurden alle Dateien aus dem Benutzerprofil umbenannt. Allerdings nicht mit dem "locked-Zusatz" (locked-Bewerbung.docx.fhtz) sondern einfach nur 15 - 20 stellige sinnlose Buchstabenkombinationen (gdgtdGJKOseGfvgnG) ohne Endung. Die Anzeige der Endungen bei "bekannten Dateitypen" wurde in den Ordneroptionen (WIN-Explorer) aktiviert.

Bei den Bilddateien konnte ich 6 Ordner wieder herstellen.
Dazu musste ich die jeweilige Datei nur umbenennen (bild_1) und die Endung ".jpg" anhängen.

Allerdings funktioniert das nicht mit allen Bild-Ordnern und bei den Musikdateien klappt es auch nicht, diese als ".mpg" oder ".wav" umzubenennen.

Das Entschlüsselungstool von AVIRA verlangt unbedingt nach "locked-" Dateien. Die gibt es aber nicht.

Wie kann ich die Dateien wiederherstellen oder sind die Chancen aussichtslos?

Hilft evtl. doch die Bezahlung dieser uCash-Card?
Dann wäre es wohl Leergeld für mich. :-(


Gruß Scarlett

hi,
und selbst wenn das helfen würde, wie weit würdest du es treiben wollen, beim nächsten mal wollen sie dann vllt 500 €
1.
welches betriebssystem nutzt du?
2.
die infektionsquelle war eine mail.
3.
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
makrusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.
4. die genaue kaspersky fundmeldung mit pfadangabe bitte

Zitat:

Zitat von markusg

hi,
1. Welches betriebssystem nutzt du?
2. Die infektionsquelle war eine mail?
3. an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert. wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
makrusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.
4. die genaue kaspersky fundmeldung mit pfadangabe bitte

Hallo markug!

zu 1) WIN7 Home Premium mit SP1 (64 Bit)
zu 2) JA, es war ein E-Mail-Anhang
zu 3) Ich muss mal schauen, ob die Mail überhaupt noch da ist.
zu 4) Kaspersky fand die Dateien hier:

C:\Users\Benutzer\AppData\Local\Temp\ALRALCYYDX.PRE (PDM.Trojan.generic)

C:\Users\Benutzer\AppData\Roaming\Wpruniftc\50A7F18F384039244077.exe (Trojan-Dropper.WIN32.Injector.exsw)

So, ich schau mal, ob die Mail noch existiert im Papierkorb.

Gruß Scarlett

Betreff: Ihr Lieferschein Nummer 31954836


Sehr geehrte Damen und Herren,

Besten Dank für Ihren Einkauf bei Hunters.point, nachfolgend finden Sie Ihre Kaufbestätigung.

Ihre Bezahlnummer: 673993332207
Artikel: Digitus 7853708607 6242,17 Euro
Rechnungsname: Wie in Zahlungsdetails gekennzeichnet


Zahlungsmethode: Mastercard

Versandadresse und detaillierte Zahlungsaufforderung finden Sie aus Sicherheitsgründen im Anhang.

Die Überweisung wurde autorisiert und wird innerhalb 3 Tage entzogen.
Artikeleinzelheiten und Widerspruch Mitteilung finden Sie in Beilage.


Ihr Verkaufsberater

Konsolenprofis GmbH
Hermannstal 03
99534 Augsburg

Telefon: (+49) 782 7023392
(Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr)
Gesellschaftssitz ist Aichach
Umsatzsteuer-ID: DE326950376
Geschäftsfuehrer: Janis Schneider


Anhang: Lieferung.zip (55 kB)

Anhang kommt in Kürze ...

....

Datei wurde soeben verschickt.

Scarlett