die bekante email verschlüsselt(pDvoUsUjEpNvXTs) habe das mit den 0.5.3 nach anleitung versucht zu machen fehlermeldung schlüssel nicht erkant das von gehe ich da von aus das es ein neuerer ist wo es noch kein program gibt kann euch gehren eine verschlüsselte datai und eine die ganz ist schicken

Öhm ja ok...ich weiß warum ich Dir nicht folgen kann, weil Du einfach zu konfus schreibst und ich zu alt und zu müde bin um mir das jetzt korrekt zu denken.

Ich nehme an dieser Hinweis hat noch Bestand und klinke mich jetzt hier aus.

So isses.

Nicht nötig.
Du kannst aber die Mail mit dem Virus im EML-Format speichern und an uns schicken.
Der Link steht gleich hier unter diesem Text.

habe sie nicht mehr leider

Hallo, ich habe da viele Fragen und auch Fragezeichen:kloppen::headbang:

1.) Mithilfe von Cosinus habe ich meinen Rechner von dem Trojaner befreit.

2.) Dann lese ich hier, dass man den Virus hier posten soll; ich weiß nicht wie ich das machen soll. Die Mail mit dem Dateianhang habe ich noch in meinem Postfach.

3.) vier .jpg - Dateien und ihr jeweils verschlüsseltes Pendant ("WckUshfgmvcoenDGKsvowf...." usw.) habe ich ausfindig gemacht.

Verstehe ich das richtig: Kann ich, mithilfe eines tools der 8 gezeigten, den Schlüssel erstellen, der aus Originaldatei die verschlüsselte Datei gemacht hat? Und der verschlüsselungsalgorithmus wird mithilfe eines dieser tools ausfindig gemacht?

Soll ich jetzt beispielsweise mit dem "DecryptHelper" dort die Originaldatei und die verschlüsselte Datei eingeben, und der "DecryptHelper" generiert dann einen Schlüssel, mit dem ich wieder entschlüsseln kann?

Also ich könnte es mir vorstellen, dass es so ähnlich irgendwie geht, aber da ich alles andere als Computerfreak bin, habe ich nicht die geringste Ahnung, wie ich nun vorgehen soll. Habe schon vieles durchgelesen, aber kapieren tu ich's nicht :confused:

Kann man davon ausgehen, dass .jpg-, .bmp-, .pdf-, .mp3- usw. - DAteien, alle mit einem anderen algorithmus verschlüsselt wurden? Oder dass sogar jede einzelne Datei einen anderen Verschlüsselungsalgorithmus "durchlaufen hat"?

Hallo Matthes,

Nein, nicht hier posten, sondern die Mail mit dem Virus als *.eml Datei speichern und an uns senden.
Nur zur Analyse der Entwicklung des Trojaners.

Nein, das verstehst Du falsch.
Oben unter Punkt 3 der Hinweise steht eindeutig:

Bei Dateien wie locked-<DATEINAME>.<ENDUNG>.wxyz entschlüsseln: Übersicht der 8 Entschlüsselungs-Tools

Deine Dateien sehen aber nicht so aus, sondern so: ("WckUshfgmvcoenDGKsvowf...." usw.)

Damit scheiden die 8 Tools zur Entschlüsselung aus.
Das ist aber schon hundertfach und eindeutig beschrieben.
Dir helfen nur die Möglichkeiten, die unter http://www.trojaner-board.de/116851-...strojaner.html beschrieben sind.

Nein, der Algorithmus ist der gleiche, wahrscheinlich RC4, wobei der Virus aber weiterentwickelt wird und die Verschlüsselung auch anders erfolgen kann.
Allerdings erhält jede Datei ihren eigenen Schlüssel, unabhängig vom Format.

Volker

Was ist eine .eml - Datei? Und wie geht sowas, eine .eml - Datei erstellen?:confused:

Manche Mailprogramme, wie TheBat! oder Outlook Express bieten die Möglichkeit die Mail als {Mailname}.eml zu speichern.
Also, Speichern unter --> eml.
Diese Datei dann als Anlage an die Adresse im Link mailen.
Wenn Dein Mailprogramm keine eml-Datei erzeugen kann, dann an die Adresse im Link weiterleiten.

Gruß Volker

Outlook und so benutze ich gar nicht. Hab deshalb jetzt einfach die beiden mails incl. Anhang an "virus@trojaner-board.de" weitergeleitet. Hoffe , dass das ok ist.

Der Rechner bootet wieder normal - ohne Fehlermeldungen.
Scheinbar sind keine system-wichtigen Dateien verschlüsselt worden.

Zum Zeitpunkt vor der "Reinigung" bootete der Rechner nicht im abgesicherten Modus und im normalen Modus wurde er ja gleich eingefroren, so daß Regedit und Taskmanager nicht möglichwaren.

Auf der Festplatte sind einige Bilder / Foto's gespeichert, für die es keine Sicherung gibt - aber soooo wichtig scheinen diese auch nicht.

Die Festplatte ist eine MAXTOR DiamondMax Plus 8 ATA/133 mit 40 GB.
Ich kann / darf euch diese überlassen, wenn sie für eine Analyse hilfreich ist.

MfG
NF-Olaf

Hallo Olaf,
für die Bilder, falls es sich um JPGs handelt, bestehhen berechtigte Chancen der Wiederherstellung.
Schau mal nach JPEGSnoop oder JPEG-Recovery unter http://www.trojaner-board.de/116851-...strojaner.html

Das mit der HDD ist mir unklar.
Ist das die noch befallene System-HDD?

Volker

Die HDD ist noch die originale mit den verschlüsselten Dateien - aber eben an einem Win7-PC als externe Platte angeschlossen und mit Malwarebytes geprüft - jedoch ohne den Virus zu finden.

LG Olaf

Dass Malwarebytes nix gefunden hat sagt noch nichts aus, wenn sie nicht als System gemountet ist, sondern nur an einem Win7-System hängt.
War Malwarebytes aktuell oder hast Du nur den Quick-Scan gemacht?

Wenn Du willst, kannst Du mir die Platte schicken.
Außerdem könnst Du mir die Datei B4F02758323053570000.$02 zukommen lassen.

Volker

Hallo Volker, danke für Deine Nachrichten, ein paar Fragen hätte ich noch:

ich habe vor wenigen Tagen beide Mails incl. Anhang einfach hier als Antwort an virus@trojaner-board.de geschickt, kam das an? Oder habsch da was falsch gemacht?

Ja, es scheint so, dass nix von alledem greift. Wie gesagt: Ein Mal hatte es geklappt, habe nur hinten ".jpg" angefügt, da wurde das Bild angezeigt. Jetzt kommt immer nur ne Fehlermeldung, es fehle ein grafikimportierer und so.

Den shadow-explorer, soll ich den, als Sicherungstool für meine Daten, vorsichtshalber auch installieren?



Also ich möchte sagen, dass ich ein beinahe absoluter Laie in Sachen Computer bin und deshalb die eine oder andere dämliche Frage stelle :wtf:

Mit shadow-explorer und den anderen tools konnte ich nix erreichen... also ich gehe mal davon aus, dass ich alles löschen kann, was der Trojaner da verschlüsselt hat, stimmt's?

Ich würde mir am Liebsten das komplette Betriebssystem neu drüberschmieren, da sich im Lauf der Jahre sowieso manch komische Spirenzchen des PC bemerkbar machen, Fehlermeldungen beim Runterfahren, langes verharren in unerkenntlichen Hintergrundtätigkeiten, dann immmer lange Zeit zum Hochfahren (jetzt nach der Trojaner - Attacke nochmal doppelt so lange mit lauten "Kratzern" in der Windows - Standard - Startmusik). Überhaupt ist er sehr lahm geworden. andere Anwendungen (z.B. das Fernsehbild) laufen auch nicht mehr "flüssig", sondern es stockt mal mehr, mal weniger. Der Willkommensbildschirm beim Hochfahren zeigt immernoch die durch den Trojaner veränderten Buttons (sind jetzt Schachfiguren), mit denen man sich auf dem entsprechenden Konto anmeldet.

Da hätte ich auch eine Frage dazu: Kann ich bei eBay eine sog. OEM - Version von WinXPprof besorgen, oder was soll ich machen?

Glücklicherweise habe ich viele Daten vorher gesichert und kann se dann neu druffspielen.

Vorletzte Frage: habe zu dem SATA-Systemlaufwerk eine weitere Festplatte über IDE-USB - Konverter installiert, eine von beiden hat nur die halbe Kapazität, also eine hat 40GB, die andere 80GB; Das System sollte auf die kleinere, kann/muss man das auch im BIOS einstellen?

Und noch als letztes: Wie tue ich die CD rein? Muss ich da - also zum drüberschmieren - einfach die WinXP - CD rein, im BIOS bootreihenfolge ändern, dass zuerst CD-ROM-Laufwerk steht, oder muss ich da manuell etwas formatieren?

P.P.S.: Möglicherweise muss ich mich an verschiedene Foren für das spezielle Problem jeweils wenden, ich weiss aber nicht, an welches, und dann kommen da wieder von irgendwelchen Moderatoren u.a. Leuten Shitstorms, dass man wieder mal einen crossposter gefunden hätte und so. Deshalb frage ich hier im Trojanerboard mal als erstes.