Hallo, leider habe auch ich per E-Mail einen Windows Verschlüsselungs Trojaner abbekommen

Den Anleitungen im Forum folgend habe ich über Malwarebytes Anti-Malware einen Scan durchgeführt und die gefundenen Dateien (3) in Quarantäne gebracht. Leider blieben die Wiederherstellungsversuche der infizierten Dateien mit Hilfe des DecryptHelper von Matthias und Avira Ransom File Unlocker erfolglos. Die Dateien der Formate .xls und .jpeg wurden namentlich verändert (z.B. von 'NYASChevyImpalaReveal159.jpg' auf 'nqEJNQtUGDXsqojNQgUxV') und lassen sich in keinem der üblichen Programme mehr öffnen. Betroffen sind sämtliche Formate. Back-Up der Dateien existieren leider keine :-( Nur einzelne Dateien wären im Original auf einem Stick verfügbar - aber weder mit dem DecryptHelper von Matthias noch mit Avira Ransom File Unlocker konnte ein Schlüssel erkannt werden

Besteht hier noch Hoffnung die Dateien wieder zu entschlüsseln

Vielen Dank schonmal im Voraus für jegliche Hilfe!!!

Viele Grüße,
mec

hi,
1. poste das Malwarebytes log bitte.
2. die infektionsquelle:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

Hallo,

anbei ergänzt das Malwarebytes log:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.03.06

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Michael :: CEI-1 [Administrator]

Schutz: Aktiviert

03.06.2012 20:57:21
mbam-log-2012-06-03 (20-57-21).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 218581
Laufzeit: 28 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|E267D79C (Trojan.Agent.RNSGen) -> Daten: C:\Users\Michael\AppData\Roaming\Yhinb\29AAC782E267D79C699C.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Windows\System32\ALZALZ.BIN (Spyware.Passwords) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\System32\ALZZip.BIN (Spyware.Passwords) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

leider funktionieren meine outlook profile auch nicht mehr - wurden anscheinend ebenfalls verschlüsselt, daher muss ich mir die e-mail direkt von meinem E-Mail Provider mail.com (wenn noch möglich) ziehen...wie wäre dann die weitere Vorgehensweise um diese E-mail "einzuschicken"?

Vielen Dank schon mal und viele Grüße
mec

hi, meistens gehts über öffnen und weiterleiten.
zur daten wiederherstellung shadow explorer:
http://www.trojaner-board.de/115496-...erstellen.html

hallo,

vielen dank für die zahlreichen tips. bisher hat leider keines der tools funktioniert. ich dachte erst shadow explorer würde funktionieren - musste aber leider im nachgang feststellen, dass dem nicht so ist. komischerweise wurden in dem drop-down menü (Datum) beim zweiten versuch weniger auswahlmöglichkeiten angezeigt. zu den jeweiligen terminen waren die dateien aber wohl bereits verschlüsselt

gibts überhaupt noch eine chance die dateien wiederherzustellen?
ich schicke gleich die e-mail mit dem entsprechendem anhang weiter.

vielen dank schon mal und viele grüße
mec

...leider hat Mail.com/gmx die Weiterleitung der E-Mail verhindert -weil im Anhang eine infizierte Trojaner-Datei identifiziert wurde :?
Gibt es einen Weg mit lokaler Abspeicherung, o.ä.? oder einen Weg meine Outlook Profile wieder herzustellen? Mir ist aufgefallen, dass in der Fehlermeldung von Outlook, beschrieben wird, dass das Profil unter dem Pfad .../Users/... Nicht gefunden werden kann bzw. Beschädigt ist. Wenn ich aber mein Probil auf dem Rechner suche finde ich nur Dateien unter dem Pfad .../Benutzer/... Wurde evtl. der ganze Ordner gelöscht oder ist " Benutzer" mit "User" im entsprechenden Pfad "ersetzbar"? Das kann doch nicht sein, oder?
Vielen Dank schon mal für Eure/Deine Hilfe!
Viele Grüße
Michael

...anbei das gmx-protokoll vom sendeversuch:

A virus was detected in the following e-mails sent from your account!

Virus: "Trojan.FakeAV"

File: "Dritte Mahnung.pif"

For this reason, the e-mail was not forwarded to the recipient. We recommend checking your PC with a local virus scanner!

Mail details:
From: "Simi Krauss"
To: virus@trojaner-board.de
Date: Tue, 05 Jun 2012 17:06:53 -0400
Subject: Fw: Mahnung nach Vertragsbruch 21.05.2012


The concerned e-mail has been deleted.

Sincerely
Your GMX Team


hilft das vielleicht weiter?

viele grüße
mec

hi
momentan gibts dann leider keine möglichkeit :-(