Hallo Liebe Community,

mein Vater hat vor kurzem eine seriös klingende Email (Mahnung + Zahlungsaufforderung für etwas, dass er nicht gekauft hat) mit einem Anhang "Kaufvertrag.zip" erhalten. Er hat den Anhang leider geöffnet :-(.

Seitdem kann er seine privaten Dateien nicht mehr öffnen: .doc, .jpg, .avi, .txt, .xls, .scn, usw.

Die Dateien sind weiterhin unter dem ursprünglichen Namen vorhanden, die Datei-Größe scheint identisch zu sein.

Er benutzt Avira Free Antivirus, dieses hat am selben Tag folgenden Fund angezeigt:
TR/PSW.Zbot.208896

Am Tag darauf hatte mein Vater dann das Problem mit den Daten bemerkt. An diesem Tag wurden von Avira folgendes gefunden:
TR/Injector.zaa
TR/PSW.Zbot.208896

Habe daraufhin im Internet recherchiert und bin auf das Trojaner-Board gestoßen. Habe die Anweisungen zum Vorgehen bei Verschlüsselungstrojaner befolgt.

Habe eine kleine Hoffnung, dass die Verschlüsselungsmethode doch schon bekannt bzw. "behandelbar" ist: da mein Vater leider keine Backups von den Daten hat (und es sind leider eine Menge privater Filme und Bilder von der Familie dabei), wäre es echt super und extrem cool, wenn jemand aus Eurer Community weiß, wie man die Daten retten kann.

Würde mich freuen von Euch zu hören und hilfreiche Tips zu bekommen !

Viele Lieben Dank für Eure Mühe !
rob500

PS: die Log files folgen mit separaten Posts.
PPS: OS: Microsoft Windows XP (Service Pack 3)

Hallo zusammen,

es folgen hier die Avira Reports:

Viele Grüße und Danke,
rob500

Hallo zusammen,
hier die Locks von OTL und Gmer.
Grüße,
rob500

hi
schau mal hier:
http://www.trojaner-board.de/115551-...e-version.html

Ok, Gmer.txt scheint zu lang: hier eine gezippte Version:

hi wenn du dir übrigens selbst antwortest, ist das thema in bearbeitung, hast glück gehabt das ich reingeguckt hatte, sonst hättest evtl. länger warten müssen, es gibt die Funktion bearbeiten nicht umsonst bzw immer alle logs auf einmal posten, falls zu groß, zippen und anhängen.
bitte weiter mit meinem Link von oben

Und hier noch das mbam-log:

Viele Grüße und Danke,
rob500

hallo, lies bitte was ich geschrieben hab.

Hallo markusg,

ok, danke für den Hinweis und den Link:
- leider funktioniert Jpegsnoop bei den .jpg nicht :-(
>>NOTE: File did not start with JPEG marker. Consider using [Tools->Img Search Fwd] to locate embedded JPEG.<<
Das "Vorwärtssuchen" klappt leider auch nicht

Leider kann ich auch schon folgendes berichten:
- keine Schattenkopien vorhanden :-(
- Dateinamen sind nicht "locked-*' sondern die Originalnamen: habe trotzdem die unter "die 8 Entschlüsselungstools" genannten Helfer ausprobiert --> alle leider nicht erfolgreich
- Recuva findet leider auch keine alten Versionen auf der Platte nach einem "Tiefenscan"

Bin für jeden weiteren Tip dankbar !

Viele Grüße und Danke,
rob500

hi
es gibt nur das unter dem von mir geposteten Thema, alle anderen Daten sind futsch.

Autsch :-(

Oje, oje, klammere mich gerade noch an die Hoffnung, dass irgendwer vielleicht in ein paar Monaten herausfindet, wie man die Verschlüsselung durch diesen Virus wieder rückgängig machen kann. Was würdet Ihr mir raten aufzuheben, damit eine Entschlüsselung überhaupt eine Chance auf Erfolg haben könnte (neben den verschlüsselten Dateien selber) ? Kompletter Dump der Platte ?

Und noch eine kurze Frage zum Trojaner Virus: Mein Vater hat nichts von einem "Erpressungsversuch" mitbekommen. Sind die Dinger mittlerweile so "transparent" bei ihrem Tun geworden ? In der Log Datei von Avira und Malwarebytes ist die Rede von TR/PSW.Zbot. 208896, TR/Injector.zaa, Trojan.Banker, Hijack.Regedit, Stolen.Data, Malware.Trace, Backdoor.Agent.......steckt hinter einem von diesen der Verschlüsselungscode ? D.h. würde gerne rausbekommen ob dieser Verschlüsselungstrojaner schon einen bekannten Namen hat...

Vielen Dank für Eure Hilfe,
rob500

Hi
da wird nichts gehen, es gibt seit 8 monaten keine entschlüsselung und das wird technisch auch nicht möglich sein.
die Malware war aktiv.
TR/Injector.zaa ists.

Hi markusg,
ok, danke für die Info und Deine schnellen Antworten !!
Grüße,
rob500

Hi,

wie Markus schon sagt, die Dateien sind futsch. Den Rechner können wir versuchen zu bereinigen. Da brauch ich nur ein Kommando von Dir