|
Neue Verschlüsselungs-Trojaner Variante im Umlauf Liste der Anhänge anzeigen (Anzahl: 1) Neue Verschlüsselungs-Trojaner Variante im Umlauf Nach analyse neuer Samples ist eine neue Variante des Verschlüsselungs-Trojaners aufgetaucht. Die Verschlüsselung scheint geändert worden zu sein. Wir halten euch auf dem laufenden, wie diese gerettet werden können. Die neue Variante ist bereits unter folgenden Versionsnummern aufgetaucht: Version 1.140.1 Dateien werden verschlüsselt Dateiname wird komplett geändert: C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\Blue hills.jpg C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\TxoXdJptaEoQUvpsnED C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\Sunset.jpg C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\UvTVeXquOelXALNtQeD Version 1.150.1 Dateien werden verschlüsselt keine Umbenennung mehr UPDATE: Eine Neuerung gibt es bei den SPAM-Mails die versendet werden. Der Trojaner befindet sich nun in einem mit Passwort gesichertem Archiv. Die Mails enthalten folgenden Abschitt: Zitat:
Version 2.00.11 http://www.trojaner-board.de/117117-...ner-2-0-a.html http://www.trojaner-board.de/attachm...1&d=1337107870 Der Trojaner versucht sich mit folgenden IPs zu verbinden: 59.108.115.113 polskamaskas.com 173.194.35.5 google.com 173.194.35.184 google.de ogutors-free.com ogutors-free.com/a.php polskamaskas.com/a.php spatbe-w.com/a.php qua-a.com/a.php horad-forum.com/a.php spatbe-web.com/a.php qua-acc.com/a.php horad-fo.com/a.php Zitat:
Der Trojaner sperrt den Rechner und hinterlässt auf dem Desktop eine Botschaft (bitte lesen.txt): Zitat:
Graphische Darstellung der Verschlüsselung (McAffee): http://blogs.mcafee.com/wp-content/u...2/05/blog6.jpg WICHTIG: Keine unbekannten Anhänge öffnen! Bei Befall, bitte Thema eröffnen und die Datei einsenden! http://www.trojaner-board.de/69886-a...-beachten.html |
Hallo. Ich hatte ja bereits unter den Posts http://www.trojaner-board.de/115006-...tml#post828670 und http://www.trojaner-board.de/115006-...tml#post828886 meine Erfahrungen mit dieser neuen Variante berichtet. Nun habe ich versucht, den Bösewicht nochmal zu aktivieren. Auf einer anderen XP-Installation sowie auf dem PC der bereits verseucht war, aber von mir schon bereinigt wurde. Auf beiden Rechnern wurde er zwar im System aktiviert, beim PC kam auch wieder die Meldung, beim Notebook kam keine Meldung, aber bei beiden waren die Registryeinträge da. Vor dem Aktivieren habe ich eine Verzeichnisstruktur mit Bildern (Bilder mit gleichem Inhalt sowie auch Bilder mit gleichem Namen und Kombinationen daraus) erstellt, die verschlüsselt werden sollte, um anschließend etwas über die Verschlüsselung zu erfahren. Jedoch wurde nichts mehr verschlüsselt, die Dateien sind noch im Original vorhanden. :confused: Da ich bisher keinen Netzwerksniffer laufen hatte, stelle ich mir die Frage, ob die Zieladressen, wo weitere Schädlinge nachgeladen werden, evtl. nicht erreichbar sind? Wenn jemand was neues weiss, bitte posten. Ich muss erst meine virtuelle Maschine neu aufsetzen. Michael |
hi du hast ne andere variannte, oder hat deine, bzw der dropper (installer) in den eigenschaften als datei typ .pif ? die kam erst gestern als mail bei mir an, ist also noch neu. weiterhin gilt, damit wir weiterhin schnell über so was berichten können: an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert. wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ: .eml einstellen. dann mail an: http://markusg.trojaner-board.de dort die soeben erstellte datei anhängen. wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders. bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen. sie können dann dorthin solche verdächtigen mails senden. diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig. |
Guten Morgen zusammen, ich bin ebenfalls von dieser neuen Variante des Verschlüsselungs-Trojaners betroffen. Ich bin bei GMX, wie kann ich die erforderlichen Daten zukommen lassen? Gruß MateriaMan |
Moin Zitat:
http://markusg.trojaner-board.de und/oder du lädst den Anhang nach dieser Anleitung hoch http://www.trojaner-board.de/54791-a...ner-board.html vielen Dank dafür MFG |
Hab dann auch mal wieder meine neuste Trojaner-Mail an Markus weitergeleitet. Interessant: Absender "wrslupus@web.de" und der Versandhandel macXperts Zitat:
Zitat:
|
Hallo Ich bin seit heute ebenfalls mit diesem Trojaner infiziert.. Wie kann ich die verseuchten Datein wieder herstellen??? |
Hallo, ich habe mich gerade infiziert :( Ich bin total unglücklich. Wie kann ich meine Dokumente wieder herstellen und den Trojaner vernichten ? (Ich kenne mich mit sowas nicht aus) Bitte um Hilfe !!! Ach ja das ist die Email: Sehr geehrte/r Kunde/Kundin, Vielen Dank für Ihren Vertrag mit teemarktplatz.de, nachfolgend finden Sie Ihre Bestellbestätigung. Deine Gebotsnummer: 031263883430 Artikel: BareBone 7453487975 5378,14 Euro Rechnungsname: Wie in Rechnungsdaten mitgeteilt Zahlungsmethode: Bankeinzug Versandadresse und detaillierte Vertragsdaten finden Sie aus Sicherheitsmaßnahmen in beigefügter Datei. Die Überweisung wurde autorisiert und wird innerhalb 4 Tage abgetragen. Artikeldetails und Widerspruch Mitteilung finden Sie im Anhang. Ihr Kundenberater Kraus GmbH Hermannstal 41 10501 München Telefon: (+49) 471 6618632 (Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr) Gesellschaftssitz ist Alzenau Umsatzsteuer-ID: DE100030436 Geschäftsfuehrer: Victoria Seidel |
Mail ist raus. Hoffe so bei der Lösung des Problems helfen zu können :party: Gruß MateriaMan |
@VannyJoan lies post 3, und sende mir die mail zu. nach welchem chema sind die verschlüsselten dateien benannt? sind sie umbenannt worden wie hier als beispiel angegeben. haben sie ein locked vor dem datei namen oder sind sie gar nicht umbenannt worden? |
Also wenn ich das Dokument öffne steht da i.was chinesisches und dann will ich auf Freigeben für, aber da ist ein Schloss und das ist bei "Niemand". |
ich möcht wissen, ob die datei umbenannt wurde, oder den original namen hatt, bzw wenn sie umbenannt wurden, wie. nen beispiel reicht |
Nein nein. Sie heißt noch wie immer. Nur der Inhalt ist halt weg. |
ok. wir warten hier leider noch auf infos, welche verschlüsselungs art genutzt wurde und ob es entschlüsselungsmöglichkeiten geben wird. wenn wieder solche mails eintreffen, bitte weiter leiten |
ich habe ebenfalls diesen Trojaner, habe schon mehrfach mit der spezial CD gebootet und die Logfiles erstellt. kann ich hier die mal eben posten irgendwie brauche ich wohl nun die Hilfe eines Menschn um das Scriptfile fix.txt zu erstellen, sehe ich das richtig ? wie kontrolliere ich ob meine OTLPE Version neu genug ist ? |
Ok ... ich merke gerade, das ich meine Bilder, Musik usw. auch nicht öffnen kann ... Bin gerade echt geschockt. Hoffe jemand findet bald die Lösung :( |
logs bitte im unterforum logfiles posten |
Hallo Väter! :party: Ich habe eine Testreihe von kleinen (gleichen!) Bildern in unterschiedliche Ordner gepackt, ihnen u.a. unterschiedliche Namen gegeben und in der VM die "Rechnung.pif" gestartet. Das Ergebnis ist desaströs. Alle Dateien wurden unterschiedlich verschlüsselt. Kein Dateiname ist gleich, kein Inhalt mit einem anderen Vergleichbar. Die Dateien habe ich angehängt. Die Pif-Datei habe ich auch gerade an Markus geschickt. Michael |
Hallo Leute. Seh ich das richtig, dass es in diesem Thread auch um den Ransom geht, aber in einer anderen Variante? Bei mir ist´s der Effekt, dass die Dateien an sich nicht verschlüsselt sind, wohl aber die Dateinamen. Die Namen sind auf den ersten Blick völlig wirr. Mit Groß- und Kleinbuchstaben. Jedoch immer OHNE Erweiterung wie .doc, .xls, jpg, .pdf usw.. Das macht es mir schwer, die Dateien wiederherzustellen. Es "geht schon". Aber es ist halt ein Riesen-Aufwand bei 20.000 Dateien. Schön wäre hier ein Tool, das den Dateityp erkennt und danach wenigstens die Endung wiederherstellt. Ich weiß nicht, ob der Dateiname völlig zufällig generiert wurde oder ob auch hier System dahinter steckt. Weiß hier jemand mehr darüber? LG Andreas |
Hi, mein Bruder hat den Trojaner heut eingefangen und kommt nun weder ins netz noch an seine Dateien da die Fehlermeldung bzw. diese Verschlüsselung immer schneller greift! Was kann ich tun um den Trojaner zu löschen bzw. um wenigstens an seine Daten zu kommen? Warum greift da eine Anti Virus Software nicht? Danke und viele Grüße, Anita |
Guten Abend liebes trojaner board ;) Ich habe auch gerade einen Laptop von einer Bekannten hier, mit dieser Variation des Ukash Trojaners. Kein programm das es hier gibt hat zum entschlüsseln funktioniert. Ich habe das dann so gelöst: Auf dem Laptop war Vista Home drauf. Ich habe erstemal Malewarebyte und andere Antivirus Programme im abgesicherten Modus laufen lassen, keins der Tools hat aber etwas gefunden. Also habe ich mal einen Systemwiederherstellungspunkt geladen, dann konnte ich schonmal normal ins Windows. Dann habe ich mit dem Shadow Explorer von allen relevanten Dokumenten eine Schattenkopie bzw Vorgängerversion auf eine Externe HD gespeichert und dann alles Platt gemacht ;) Also wenn man die Schattenkopien bzw Wiederherstellungspunkte von Windows aktiviert hat, wäre das eine möglichkeit an die Daten wieder ranzukommen. |
Geht aber nur für jede Datei einzeln, oder? Und - macht die auch Dateinamensänderungen rückgängig? Ich glaub nicht. |
Hallo, meine Freundin hat sich dieses Ding heute auch eingefangen. Nach Entfernung konnten wir sehen was passiert ist :) Auf LW C sind die verschlüsselten Dateien nicht zu öffnen, haben aber noch die gleichen Dateinamen. Auf LW D sind die Dateien auch nicht zu öffnen, haben allerdings auch kryptische Dateinamen (z.b. tLsOXdnegqdvexqTJEGr, sNLfJDUjaQqtNpxL usw.) Ein Vergleich eines Windows-Standard-Bildes zeigt das der Anfang der Datei verändert ist, der Rest der Datei aber nicht. von (00000 bis 03000 sind die Dateien anders, der Rest ist gleich) Versuche gleich nochmal zu schauen ob ich an die Email rankomme wo es drin war und werde sie an Markus schicken. Was mich wundert ist das auf LW C die Dateien die Originalnamen haben, auf LW D aber umbenannt worden sind. Grüße edit : Die ACHTUNG-LESEN.txt wie leahciM hatten sie auch auf dem Desktop liegen. |
@fischer_andy Nein, man kann direkt ganze Ordner wiederherstellen |
Und was steht in der "achtung lesen.txt" ? |
steht auf der ersten Seite im ersten Post ;) |
Hallo nochmal, folgende Einträge gab es von Malware.... Zitat:
Zitat:
Grüße |
Ich habe nochmal die VM zurückgesetzt und das gleiche Bild in 128 nummerierte Ordner kopiert. Leider sind alle 128 Dateien unterschiedlich, auch der Dateiname unterscheidet sich in allen Dateien. Vorher noch einen Registryabzug gemacht und dann "Rechnung.pif" gestartet. Nachher wieder einen Abzug der Registry. Die beiden Dateien lade ich gerade per Upload hoch. edt: Sind fertig, kann man das irgendwie sehen? Da kam keine Meldung. Michael |
Moin zusammen, wie das so ist, komme mittags vom Dienst und unterdessen ist die Frau Gemahlin in die Falle getappt... :mad: Nun habe ich verschiedene Threads zu dem Thema gefunden, ich schreibe jetzt einfach mal hier rein, hoffe das ist so richtig. "Unser" Trojaner ist offenbar von der Variante 1.140.1, d. h. die Dateinamen sind nun eine wirre Zeichenfolge. Eine befallene Datei, die ich mit dem Original vergleichen konnte (mit Windows Editor geöffnet), ist am Anfang unterschiedlich, weiter hinten jedoch wieder gleich. Entschuldigt bitte daß ich das jetzt nicht in Bits und Bytes ausdrücken kann, so gut weiß ich damit leider nicht Bescheid... Wie stellt sich der Schaden dar: Der Trojaner kam per Mail mit einem vermeintlichen Rechnungsanhang. Die Mail ist nun nicht mehr zugänglich, weil verschlüsselt. Der Rechner lief wohl noch eine Zeit lang normal weiter, irgendwann kam das Fenster mit der Zahlungsaufforderung per Ukash. An dieser Stelle hat meine Frau nichts weiter getan und die Finger davon gelassen. Die Maus ließ sich noch bewegen, aber die Tastatur reagierte nicht mehr (wollte mal probehalber was in eins der Eingabefelder schreiben). Rechner ausgeschaltet und neu gestartet. Der Anmeldebildschirm, wo man das Nutzerprofil anwählen kann, erschien ganz normal, ich konnte mich mit meinem Profil anmelden. Auffällig: Mein Hintergrundbild war weg, konnte ich aber über Rechtsklick > Eigenschaften > Desktop wieder zurückholen. Vier oder fünf meiner Desktopverknüpfungen waren verschlüsselt und zerstört. Die Symbole (Bildchen) für "Arbeitsplatz", "Netzwerkumgebung" und "eigene Dateien" sind nicht mehr da, die Verknüpfungen funktionieren jedoch weiterhin. Auf allen 4 Laufwerken (C: System, D: Programme, E: Daten, F: Backups) sind zahlreiche Dateien befallen. Auffällig: Meine Backups auf F:, erstellt mit Paragon Drive Backup, wurden, vom Zeitstempel her (08:12 Uhr) als erstes vom Trojaner bearbeitet, alles andere während der folgenden 4 Minuten. Hauptsächlich wurden Dateien in "Dokumente und Einstellungen" verschlüsselt, allerdings auch sämtliche Ordner unserer Homebanking-Software Star-Money (was ganz besonders ärgerlich ist...). Interessant: Dateien mit den Endungen .dat, .ini, .inf, .log, .db wurden offenbar verschont, auch innerhalb ansonsten komplett verschlüsselter Ordner. DecryptHelper.exe und Avira Ransom File Unlocker konnten nichts ausrichten. Avast Antivirus und Malwarebytes Anti-Malware haben nichts gefunden. Vom "sauberen" Laptop, auf dem Avira Antivirus installiert ist, komme ich übers Netzwerk nicht auf den befallenen Rechner (kostenlose Programmversion geht nicht mit Netzlaufwerken), so daß ich mir nicht sicher bin ob der Trojaner nun noch auf dem "großen" Rechner ist oder nicht. Die Festplatten auszubauen, hatte ich noch keine Zeit (und, um ehrlich zu sein, noch keine Nerven). Ach ja, der Vollständigkeit halber: Der infizierte Rechner läuft mit Win XP SP3, zwei Benutzerkonten eingerichtet. Mit meinem kann ich halbwegs arbeiten, schreibe ich auch gerade von. P.'s Nutzerkonto habe ich bislang nicht versucht aufzurufen, traue mich jetzt irgendwie auch nicht, ebensowenig wie den Rechner nochmal neu zu starten. Ich hoffe, ich konnte mit der Schilderung vielleicht ein klein wenig beitragen, das Problem einzugrenzen und vielleicht gar zu lösen. Falls zweckdienlich, kann ich gern ein paar Dateipaare (kaputt - heile) beisteuern, wenn gewünscht, wie stelle ich's am besten an? Per Mail an Markus, oder besser hier irgendwie hochladen? Sorry, in der kürze der Zeit konnte ich mich noch nicht so eingehend einlesen, wie sich das eigentlich gehört wenn man neu in einem Forum ist... So, jetzt gehe ich schlafen, aber nicht, ohne mich GANZ HERZLICH bei allen zu bedanken, die hier ihre kostbare Zeit drangeben, um uns mit unseren Problemen, welcher Art auch immer, zu helfen!!!! Gute Nacht und viele Grüße Uwe |
Ich habe mir jetzt mal erlaubt, in der Delphi-Praxis ein Posting zu setzen, welches um Hilfe bittet und auf dieses Posting verweist. Mein Aufruf: hxxp://www.delphipraxis.net/168380-verschluesselungs-trojaner-hilfe-benoetigt.html |
Hallo ich habe einen Debugger und Urlaub. Gibt es einen Downloadlink oder kann mir jemand den Virus zuschicken? Viele Grüße Marcus |
Hi, hier haben wir noch die Mail gefunden.. Folgender Text : Zitat:
Schich mir mal deine Email-Adresse, dann schicke ich sie dir zu. Grüße |
Hallo Marcus Bei mir sieht das auch aus wie von Forrest beschrieben. Der trojaner war wohl in der Datei Rechnung.com hinterlegt. Wenn du mir deine Mailadresse gibts kann ich dir das Mail weiterleiten. Danke mfg SamF |
unsere Mail lautet folgend: (Unsere Astaro hat am frühen Donnerstag Morgen den Trojaner NICHT erkannt) Zitat:
|
Hallo nochmal :) also die Mail haben wir ja nun noch im Hotmail-Postfach.. Jedoch lässt sich die Datei weder runterladen (Hotmail erkennt nun den Virus "unbekannter Virus") und weiterleiten lässt sie sich auch nicht. Habe nun den kompletten Quelltext der Mail (Die Datei scheint dort auch drin zu sein) an Markus geschickt, hoffe er kann damit so etwas anfangen. Ansonsten bitte einfach mal erklären (wer kann) wie ich diese Datei trotzdem runtergeladen und verschickt bekomme. Grüße |
hat jemand die mailadresse von marcus? dann kann ich versuchen den trojaner zu versenden? |
Hi Sam den Virus hab ich bereits (Danke Ben!) und arbeite konzentriert daran. Es ist nicht einfach. Bitte habt Geduld. |
Wie es aussieht hab ich den Trojaner bei mir wieder entfernt, es wurden auch keine Dateien verschlüsselt. Nachdem ich anfangs gar keinen Zugriff auf mein System mehr hatte (auch nicht mehr über den abgesicherten Modus), hab ich mir eine 2. Windows-installation gemacht. Mit dieser hab ich dann die 1. Installation mit den neuesten Updates von Avira geprüft, und siehe da es wurde 2x der Trojaner Matsnu.A.19 gefunden. Nach der Entfernung der Trojaner komme ich wieder in die ursprüngliche Windows-installation rein, und habe bisher keine Fehler oder veränderungen gefunden. Werde mir die 2. Installation einfach für den Fall behalten daß so etwas wieder mal vorkommt. mfg SamF |
Ich habe nochmal ein Testreihe mit reinen ASCII gefahren. Im Anhang. Edit: Die Dateien unterhalb ASCII_unlesbar sind die vom Trojaner veränderten Dateien, die Dateien unterhalb ASCII_lesbar sind die Originaldateien. Auch wenns nicht danach aussieht, alle Dateien haben Textinhalt. Michael |
@ leahciM: Hast Du die unbefallenen Dateien vom Virus verändern lassen? Oder hast Du die veränderten Dateien wieder zurückkonvertiert in richtige Dateinamen? Wäre sehr hilfreich, wenn´s so wäre. Bei einem meiner Kunden hat´s heftig viele Dateien erwischt. Andreas |
@uwenru wegen der pc bereinigung, bitte thema in logfiles eröffnen. @Mar melde dich per pm bei mir. dann können wir das sicher regeln. @Forrest74 * @SamF @Ben8472 an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert. wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ: .eml einstellen. dann mail an: http://markusg.trojaner-board.de dort die soeben erstellte datei anhängen. wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders. bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen. sie können dann dorthin solche verdächtigen mails senden. diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig. |
@fischer_andy Ich habe eine Textdatei erstellt mit A..Z, a..z und 1..9. Die habe ich kopiert und ihr andere Namen gegeben. Dann in die virtuelle Maschine und den Trojaner ausgeführt. Das Ergebnis kannst Du dort sehen. |
Auch mich bzw. meine Mutter hat der Virus erwischt. In einer Mail war der Trojaner als Anhang dabei und meine Mutter hat aus Unwissenheit und mit der Angst vor einer offenen Rechnung von über 5000€ die .zip auch noch aufgemacht. Nun haben wir den Salat. Die Daten konnte ich mittels Ubuntu Live CD retten jedoch sind sie wie auch bei vielen anderen hier verschlüsselt mit wirren Groß- und Kleinbuchstaben und ohne Dateiendung. Ich habe versucht die Mail an Markus weiterzuleiten jedoch bekam ich dabei von GMX eine Meldung, dass die Mail Viren beinhaltet. Wenn mir wer sagen kann wie ich die Mail dennoch an ihn schicken kann wäre ich sehr dankbar. Hier wäre der Text von der Mail an sich: Zitat:
|
|
moin moin Edivion, einfach weiterleiten ist nicht gut. Ich speichere die Dinger aus TheBat! als EML-Datei. Vorsichtshalber zippe ich die nochmal und schicke die ZIP dann an Markus. Gruß Volker |
Hallo Leute, ich habe hier auch einen Rechner sthen, welcher mit dem besagten Trojaner über eine email infiziert wurde. Die Dateien sind in dieser Art : TxoXdJptaEoQUvpsnED verschlüsselt. Wenn ich ein verschlüsseltes Bild umbenenne, also einfach so:TxoXdJptaEoQUvpsnED.jpg kann ich das Bild ganz normal öffnen. Da es bei diesem PC hauptsächlich um die Fotos geht, würde mir eine Möglichkeit weiterhelfen wie ich mehrere Datein auf einmal umbenennen kann zB. Bild1.jpg, Bild2.jpg etc. Wäre schön wenn mir jemand helfen könnte. Vielen Dank im Voraus! polodriver |
Ich kann das Mail auch nicht weiterschicken, wäre besser wenn GMX das heute morgen schon verhindert hätte. Bin ich eigentlich der einzige bei dem keine Daten verschlüsselt wurden? Wenn ja, stellt sich die Frage warum ich dieses Glück hatte... |
Glaut Ihr, dass der Dateiname so verschlüsselt wurde, dass er auch wieder hergestellt werden kann? Oder dass der Dateiname in den Datei-Inhalt geschlüsselt wurde? Alles Andere wäre sehr sehr schlimm. Es wurden ja nicht nur .jpg´s und sonstige gebräuchliche Datei-Endungen zerschossen, sondern auch so "banale" Dinge wie eMail-Datenbanken (Mozilla), FritzFax (Datenbank) usw... Es hängt also viel mehr dran, als aufgrund des Inhalts die Datei-Endung wiederherzustellen. Der frühere Dateiname wäre fast schon "existenziell wichtig". (Jetzt bitte keine Diskussionen über Backups usw... Es handelt sich um Rechner von Kunden, die betroffen sind. Ich kann nix dafür) |
mich hat es heute auch erwischt und ich bin noch verzweifelt am stöbern. kenne mich als weibchen nur minimal mit der marterie aus, deshalb hoffe ich hier bald einen thread eröffnen zu können. zum glück funktioniert mein abgesicherter modus noch. ich werde mal versuchen die mail hier reinzukopieren: Guten Tag sehr geehrter Kunde, Sie haben gerade bei TERRAPflanzenhandel die Premiummitgliedschaft erworben. Die Zahlung in Höhe von 127,89 EUR wird in den folgenden Tagen von Ihrem Girokonto abgeschrieben. Sie sind jetzt für die nachfolgenden 18 Monate Star-Mitglied und können in voller Größe die Starangebote nutzen. Zahlungsaufforderungen sind aus Vorsichtsgründen laut dem $ 6f, 8d BDSG, aus dem beigefügtem Anhang zu konrollieren. Die Stornierung der Sonderdienste, ist mit der im zugefügtem Zip Ordner mitgelegten Wiederrufungserklärung an Jonas@Heinrich-kanzlei.de zu mailen. Ihr E-Mail-Support Buzzcube GmbH Bergmannring 53 66808 München Tel: (+49) 126 93657286 (Mo-Fr 8.00 bis 18.00 Uhr, Sa 9.00 bis 17.00 Uhr) Gesellschaftssitz: Bad Berleburg Umsatzsteuer-Id: DE651662247 Geschäftsfuehrer: David Lang Als Anhang gibt es eine zip datei... ich bin echt sauer :( hoffentlich kann ich das wieder hinbekommen! |
Hallo zusammen! Es scheint, das mein PC ebenfalls diesem neuen Verschlüsselungs-Trojaner zum Opfer gefallen ist. Auf grund des tollen Forums hier habe ich es geschafft meinen PC wieder zum laufen zu bringen (und das als Laie), aber meine Dateien (.doc, .pdf etc.) lassen sich nicht entschlüsseln. Auch nicht mit dem DecryptHelper. Die Verschlüsselung sieht genauso aus wie beschrieben. Bilder sind jedoch nicht betroffen. Würde Euch gerne die Email zukommen lassen nur was muss ich tun, da ich auf dem PC nicht an sie rankomme und sie noch auf dem Server des Providers vorhanden sein müßte. |
hallo ich ahbe auch eine m ail bekommen und bin mit den nerven seit heute früh am ende. meine war Sehr geehrte Damen und Herren, Besten Dank für Ihren Vertrag mit Blumenbutler, nachfolgend finden Sie Ihre Vertragsbestätigung. Ihre Auftragsnummer: 896548154152 Artikel: Nikon 3854964463 5444,34 Euro Rechnungsname: Wie in Vertragsdaten gekennzeichnet Zahlungsmethode: Lastschrift Versandadresse und detaillierte Zahlungsdetails finden Sie zwecks Sicherheitsmaßnahmen im Zusatzordner in der E-Mail. Die Überweisung wurde autorisiert und wird innerhalb 4 Tage abgetragen. Kaufeinzelheiten und Widerspruch Erklärung finden Sie in beigefügter Datei. Ihr Kunden-Team Alster GmbH Horner Stieg 86 41073 Keiserslauter Telefon: (+49) 334 8745384 (Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr) Gesellschaftssitz ist Aulendorf Umsatzsteuer-ID: DE023395120 Geschäftsfuehrer: Charlotte Lang so kam nun nicht mehr inpc rein und probierte es mit windows defender. nun bin ich bei problem 2 mit sehr geehrte damen und herren usw da hilft irgendwie garnix mehr. lasse gerade malewarebytes durchlaufen und schau was der sagt. mit DecryptHelper 0.5.3 kenne ich mich nicht aus und avira ransom auch nicht wirklich habe musik auf dem rechner das sind nur noch zahlen und die bilder auch nur noch zahlen und weiss eben nicht wie was ich nun mit decrypt bzw avira machen soll kann leider auch kein englisch mfg karin und vielen dank im vorraus hallo habe schon alles probiert und kenne mich leider nicht aus habe musik auf meinen rechner des sind nur noch zahlen wegen dem trojaner und weiss nicht wie ich schlüssel usw erstellen kann. habe auch schon avira probiert kann aber leider kein englisch und kenn mich auch sonst nicht so aus mit denen programmen. beispüielbilder und musik habe ich auf dem anderen nicht infizierten rechner noch drauf aber das klappt nicht weil datei unterschiedlich gross oder identisch stehe auf dem schlauch. lieben gruss karin |
Hallo Racheengel, ich bin kein Profi in Sachen PC, doch bei mir hat folgendes funktioniert: - Starten im Abgesicherten Modus - Malewarebytes installiert und im Anschluss laufen lassen. Hat Trojaner gefunden und gelöscht. - Im Anschluss auf den Windows-Button (Windows7) und bei „Ausführen“ msconfig eingegeben. - Dort auf den Reiter „Systemstart“ und dann bei einer mir nicht bekannten Datei (bestand aus Zahlen und Buchstaben) das Häckchen entfernt und den PC im Anschluss neu gestartet. Seitdem fährt er wieder normal hoch und ich kann ich nutzen, doch die Dateien (.doc, .pdf etc.) können gegenwärtig nicht entschlüsselt werden. Leider auch nicht mit dem DecryptHelper. Habe dann zur Sicherheit noch mal Malewarebytes und meinen Kaspersky durchlaufen lassen, wobei der Kaspersky wohl durch das deaktivieren der o.g. Datei folgende Datei gefunden hat Trojan-Dropper.Win32.Injector.exnc. Meine Bilder, Musik und Videodateien sind jedoch vollständig und nutzbar. Vielleicht hilft Dir die Information ja weiter. |
hallo, bitte erst mal keine mails an die von mir genannte adresse senden. es sieht so aus als währen wir mit der arbeit jemandem auf die füße getreten, mein postfach wird im moment zugespamt, ich habe heute bereits rund 46000 nutzlose mails bekommen, infos über die neue adresse folgen. |
hallo widder :) habe das nun probiert mal schauen obs klappt. habe die verschlüsselte datei und dir original datei mit decrypt probiert da schrieb er konnte keinen schlüssel machen usw :( warum auch immer das malware habe ich auch probiert aber im normalen modus nicht im abgesicherten. im normalen fand er einen trojaner den entfernte ich. im systemstart habe ich nichts auffälliges gefunden und die musikdatein sind immer noch verschlüsselt weil das mit decrypt nicht funktioniert. :( mfg karin |
@Racheengel erstell für dein Problem bitte hier einen eigenen Thread und poste nicht in die Threads von anderen TOs. Danke |
Ist jemand von euch schon weiter gekommen? Zum Glück besitze ich Windows 7 und WHS 2008 - dadurch sind alle meine Speicherorte aufn Server und darauf scheint der Virus nicht zugreifen zu können. Leider habe ich vergessen meine PST Dateien zu sichern... das kommt wenn man zu neugierig ist und faul seine Sandbox zu starten... Na ja der Mac machst ja noch^^ Somit bezieht sich das Ding nur auf lokale Pfade - auf andere Benutzer kann das Ding auch nicht zugreifen - oder habt ihr was anderes beobachtet? Außerdem ist das Vieh bei mir nur auf die persönlichen Ordner beschränkt - also Desktop, Fotos, Videos, Dokumente - ausgehend von den Systemvariablen. Falls jemand noch was anderes gesehen hat, wäre es gut zu wissen, weil ich wie bekloppt suche, wo sich das Ding sonst so noch ausgetobbt hat. |
Neue Verschlüsselungs-Trojaner Variante im Umlauf Hallo an ???, Bin Neu hier. leider bin heute auch darauf reingefallen. Hab mich sehr geärgert, dass ich diese Mail geöffnet habe. Nun weiß ich nicht weiter. War heute in einer Computerwerkstatt und sie haben den Trojaner angeblich entfernt? Ich bin mir nicht sicher. Kann Word nicht mehr öffnen. Also meine ganzen Dateien. Und auch alle Bilder. Internet geht noch. Und ich habe nicht viel Ahnung. Könnt ihr mir helfen? Oder muss ich die 200,- bezahlen? Danke! Regina Sehr geehrte/r Kunde/Kundin, > > Danke für Ihre Bestellung bei Onlineweinkeller, nachfolgend finden Sie > Ihre Kaufbestätigung. > > Deine Transaktionsnummer: 492736579956 > Artikel: ChiefTec 8348589150 5078,00 Euro > Rechnungsname: Wie in Zahlungsaufforderung abgebildet > > > Zahlungsmethode: Paypal > > Versandadresse und detaillierte Vertragsdetails finden Sie aus > Sicherheitsgründen in beigefügter Datei. > > Die Zahlung wurde autorisiert und wird innerhalb 2 Tage entzogen. > Artikelauflistung und Widerruf Erklärung finden Sie in beigefügter > Datei. > > > Ihr Mail-Support > > Schubert GmbH > Derbyweg 60 > 77124 Köln > > Telefon: (+49) 441 8282578 > (Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr) > Gesellschaftssitz ist Bad Arolsen > Umsatzsteuer-ID: DE144705448 > Geschäftsfuehrer: Helena Koch |
ja ich sehe auch gerade es ist nur auf desktop sachen gegangen bilder auch unbrauchbare datein. habe es schon probiert mitm decrypter und avira aber funktioniert nicht trotz original und verschlüsselter datei schreibt er das er keinen schlüssel erzeugen kann warum auch immer :(:headbang: regina wie widder schon sagte er konnte word datein auch nicht mehr reparieren. komischerweise sind die bei mir nicht betroffen. nur die bilder und musikdatein was auf dem desktop waren :( |
das hebt die Theorie aber nicht auf, bei mir hat er auch ein paar DOCS und TXT Dateien übersprungen, in anderen Ordnern sich aber ausgetobbt. Ich habe Ihn unterbrochen, vielleicht hast du auch was gemacht? Oder er hat nur eine gewisse Laufzeit, wo er Dateien ändern darf bis er selbst aufhört. ZUmindest hat er Dateien bei mir übersprungen, obwohl im gleichen Ort/Ordner Dateien verändert wurden und verschlüsselt. Mal eine dumme Frage am Rande, hat jemand der das hier liest bezahlt und mal geguckt, ob sich der Trojaner selbst entfernt hat - nur zum Spaß/Test? |
Hallo, bei mir hat der Trojaner auch zugeschlagen. Habe den Trojaner durch Anti malware löschen können und kann mit dem System wieder arbeiten. Jedoch kann ich die verschlüsselten Dateien mit keinem hier vorgestellten Programm entschlüsseln. Zeigt an, dass er keinen Schlüssel erstellen kann. Gleiche Symthome wie bei "Racheengel" |
ScareUncrypt findest hier im forum zum downloaden. hat mir ein bisschen zumindest geholfen. konnte mp3 schlüssel generieren aber als ich dann den ordner klkickte und unterverzeichniss und kopie häckchen drinnen war passierte bei mir nix. aber vielleicht hast du glück :) lieben gruss karin |
Hallo, mich hat es heute auch betroffen. Bekannte Email - mit Sperrung des PCs. Die lies sich relativ leicht wieder beheben. Aber alle Dateien sind verschlüsselt. AVIRA hat den TR/Injector.MI.2 identifiziert. Die Dateien sind verschlüsselt und mit den 6 bekannten Tools nicht wieder herstellbar. Beispiel: Win7 Beispielbild Wüste = JQaXfdAqslJQonVUg Bin für jeden Hinweis dankbar, da alle unsere Fotos und Dokumente betroffen sind. Gruß skumelum |
Hallo ich hab den Virus auch, bei mir ist auch einiges beschädigt. Aber ich kann keine Verschlüsselung erkennen, alle Daten sehen normal aus. Videos, Fotos usw. sie funktionieren auch noch. Jetzt könnte man denken ich hätte Glück gehabt, aber mich hat es leider doch sehr hart getroffen... ich bin Filmemacher und habe ein Schnittprogramm welches auf 12 Terabyte Daten zurückgreift und es wurden die Verweise auf die Filmdaten in einem sogenannten (Domain Header) umgeschrieben oder beschädigt. Ich habe keinen Zugriff mehr auf die Daten. Da ich grad an einem Diplomfilm arbeite ist die Arbeit von 6 Monaten unwiederbringlich weg bzw. nicht aufrufbar. Es sind teils unwiederbringliche Aufnahmen dabei. Weiß jemand von euch was es mit dem Domain Header auf sich hat und woran ich erkennen kann was mit den Daten passiert ist ? Ich habe schon öfter Probleme mit Viren gehabt aber das ist jetzt das Schlimmste was mir je passiert ist. Ich bin ziemlich ratlos :-( |
Hallo nochmal, habe nun den ersten Punkt wie beschrieben durchgeführt, mit der Anti-Malware. Das ist nun dabei rausgekommen. Ich hab keine Ahnung, was das bedeutet. Jedenfalls wurden viele bösartigen Dateien gelöscht. Ich soll das Ergebnis mitteilen, ist das richtig? Morgen probiere ich das Entschlüsseln der Word-Dateien. Mal schauen. LG Regina Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.05.18.08 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Regina Gottschlich :: MEINLAPTOP [Administrator] 19.05.2012 00:15:07 mbam-log-2012-05-19 (00-15-07).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 272264 Laufzeit: 2 Stunde(n), 45 Minute(n), 6 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 9 HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB} (PUP.MyWebSearch) -> Keine Aktion durchgeführt. HKCR\TypeLib\{1D4DB7D0-6EC9-47a3-BD87-1E41684E07BB} (PUP.MyWebSearch) -> Keine Aktion durchgeführt. HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB} (PUP.MyWebSearch) -> Keine Aktion durchgeführt. HKCR\FunWebProductsInstaller.Start.1 (PUP.MyWebSearch) -> Keine Aktion durchgeführt. HKCR\FunWebProductsInstaller.Start (PUP.MyWebSearch) -> Keine Aktion durchgeführt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (PUP.MyWebSearch) -> Keine Aktion durchgeführt. HKLM\SOFTWARE\FunWebProducts (PUP.MyWebSearch) -> Keine Aktion durchgeführt. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 2 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 5 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Bösartig: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\6CB683FE8CEADD423506.exe,) Gut: (userinit.exe) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. Infizierte Verzeichnisse: 4 C:\Programme\FunWebProducts (PUP.MyWebSearch) -> Keine Aktion durchgeführt. C:\Programme\FunWebProducts\Installr (PUP.MyWebSearch) -> Keine Aktion durchgeführt. C:\Programme\FunWebProducts\Installr\1.bin (PUP.MyWebSearch) -> Keine Aktion durchgeführt. C:\Programme\FunWebProducts\Installr\2.bin (PUP.MyWebSearch) -> Keine Aktion durchgeführt. Infizierte Dateien: 9 C:\Dokumente und Einstellungen\Regina Gottschlich\Eigene Dateien\Downloads\SoftonicDownloader_fuer_malwarebytes-anti-malware (1).exe (PUP.ToolbarDownloader) -> Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Regina Gottschlich\Eigene Dateien\Downloads\SoftonicDownloader_fuer_malwarebytes-anti-malware.exe (PUP.ToolbarDownloader) -> Keine Aktion durchgeführt. C:\Programme\FunWebProducts\Installr\1.bin\NPFUNWEB.DLL (PUP.FunWebProducts) -> Keine Aktion durchgeführt. C:\Programme\FunWebProducts\Installr\2.bin\NPFUNWEB.DLL (PUP.FunWebProducts) -> Keine Aktion durchgeführt. C:\System Volume Information\_restore{79CF2C47-7C1F-4F55-919E-F88A822ADA89}\RP50\A0012942.DLL (PUP.FunWebProducts) -> Keine Aktion durchgeführt. C:\System Volume Information\_restore{79CF2C47-7C1F-4F55-919E-F88A822ADA89}\RP50\A0012943.DLL (PUP.FunWebProducts) -> Keine Aktion durchgeführt. C:\System Volume Information\_restore{79CF2C47-7C1F-4F55-919E-F88A822ADA89}\RP50\A0012944.DLL (PUP.FunWebProducts) -> Keine Aktion durchgeführt. C:\System Volume Information\_restore{79CF2C47-7C1F-4F55-919E-F88A822ADA89}\RP50\A0012945.DLL (PUP.FunWebProducts) -> Keine Aktion durchgeführt. C:\Programme\Freecorder\tbFre1.dll (Adware.Shopper) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) |
guten morgen, habe mir auch diesen virus eingefangen :heulen: hier mal eine anmerkung: ein fotoordner deckblatt= 000000.jpg - jetzt AdfoLjOdTTuqNVoLjOd umbenannt in 000000.jpg - kann nicht geöffnet werden, defekte datei in diesem ordner befinden sich die dateien al-000.jpg - al-119.jpg die verschlüsselungen sind sowas von "konfus", nichts weisst auf eine gemeinsamkeit hin :stirn: gestern hat der it-fachmann von der telekom "malwarebites" installiert und durchlaufen lassen = ok. eben habe ich es nochmal getan = 4 inf. dateien. ein wort noch an die vollpfosten, die diesen trojaner versandt haben: ich bin eine alte frau und habe alle erinnerungsfotos verloren, könnt ihr mit eurem wissen nichts nutzvolles tun?:daumenrunter: |
@Goldy Hallo , ich hatte das gleiche Problem meine Bilder waren auch mit diesem "komischen Buchstabensalat" versehen. Ich habe daraufhin einfach mal ".jpg" hinten angehängt. Die Bilder waren dadurch wieder lesbar. Dann habe ich sie mit einem Programm mit dem man komplette Ordnerinhalte nach bestimmten Kriterien umbennen kann umbenannt z.B.: vorher: AgfdshccgvzZh jetzt April20111, April20112, April20113 usw. Bilder sind soweit alle wieder brauchbar und den Rechner werde ich neu aufsetzen. Vielleicht hilft´s Dir ja auch. Gruß polodriver |
@all keine logs in diesem thread posten, der ist für eine diskusion gedacht, logs ins passende unterforum wenn ihr probleme habt, nicht schreiben, geht nicht, kann nicht etc. sondern vernünftige sätze mit denen man arbeiten kann. wenn eure dateien verschlüsselt sind, schreibt uns, nach welchem chema. infizierte mails an uns weiterleiten: an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert. wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ: .eml einstellen. dann bitte lesen: makrusg - trojaner-board.de und mir die soeben erstellte datei zukommen lassen. wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders. bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen. sie können dann dorthin solche verdächtigen mails senden. diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig. |
Habe den Virus auch gehabt, hab es aber hinbekommen ihn (hoffentlich ganz) zu entfernen. Einfach TaskManager öffnen ( [Strg] + [Umschalt] + [Esc] ), da ist der Prozess dwm.exe doppelt. Den beenden und den explorer.exe auch. Danach auf Anwendung -> Neuer Task... -> "explorer" eingeben und man hat wieder zugriff auf den PC :). Habe den Virus dann mit CCleaner ausfindig gemacht, da er im Autostart war. https://lh4.googleusercontent.com/-Q.../Unbenannt.png |
naja, hoffendlich ist nicht grad was, worauf man sich verlassen sollte. lass deinen pc bitte hier untersuchen, eröffne also ein thema im passenden unterforum |
Benutzt zum wiederherstellen der Fotos doch einfach die Vorgängerversion Option von Windows, wie ich auf Seite 3 schon beschrieben habe ;) Für andere Windows-Versionen: http://www.trojaner-board.de/115496-...erstellen.html . |
hi flicke :) also die datei hatte ich auch doppelt und habe mit ccleaner gelöscht. mal schauen ob es nun past. zugriff habe ich eh nur die musik und bilddatein sind noch in ner unbrauchbaren zahglen buchstaben kombination :) aber super und :dankeschoen: für den tolle tip. habe nun bei den zgihuguigzh datein mp3 dran gehängt nun ist es wieder eine mp3 das proiblem nur sie heisst trotzdem noch so und man kann 2500 lieder durch rätseln und umbennen wer was wie wo singt :( ABER man kann die komischen datein trotzdem mitm windows mediaplayer öffnen einfach auf weiter klicken trotz fehlermeldung dann zeigt er das lied und den künstler an. gut das ich alles auf der externen egspeichert habe und nur die letzten 3 monate musik auf dem rechner sind :( ps habe housecall, antivir, malware usw drüber laufen lassen er findet anscheinend nichts mehr. wie soll ich ihn hier anschauen bzw durchsuchen lassen ? die komische dvm datei ist auch im gesunden rechter in prozesse zu finden ?! verstehe nun garnichts mehr. habe beim kranken laptop den prozess beendet und cccleaner benutzt aber nach neustart war sie wieder da. aber wie egsagt ist sie auch auf dem gesunden pc :( |
Hallo, gestern hat es mich leider auch erwischt. Genau wie oben beschrieben stellt sich der Trojaner bei mir dar. Versuche derzeit mit Avira Rescue System den Trojaner zu finden und auszuschalten. Aber wenn danach Dateien beschädigt oder verschlüsselt sind bin ich schon arg getroffen. Ich weiß mir da keinen Rat. Da ich mehr Anwender als Computerfachman bin, hab ich von diesen Dingen keine Ahnung und benötige HILFE. Ich habe keinen Plan wie ich den Trojaner wieder los werde und wie ich die Dateien oder Verzeichnise dann wieder Entschüsseln muss oder kann. Hier die Mail: Peter Ihre Bestellung 53902273620 Von: hlfhye@cox.net Gesendet: Freitag, 18. Mai 2012 18:06 An: Peter <xxxxxx@freenet.de> Anlagen: 1 Rechnung.zip (56.1 KB) Sehr geehrter Peter, unser Logistikzentrum hat Ihr Paket mit der Bestell-Nr 12039975796 zur Lieferung an DHL AG übergeben. Im Anhangsordner befindet sich die Abrechnung und Zustell Adresse als PDF-Datei. Sie dürfen die Abrechnung jederzeit selbständig über den online Shop abrufen. Folgende Informationen werden benötigt: - Email-Adresse und die Bestellnummer und - die Vertrags-Nr. und die Geräte-Id Bestellnummer: 40090463655 Geräte Serien-Nr.: 35951683467 Rechnungshöhe: 532,65 euro Ihre Bestellung ist hiermit abgeschlossen. Mit besten Grüßen Ihr Kundendienst _____________________________________ Poike Technik Aktiengesellschaft mit Sitz in Bremen Vorstand: Andreas Scholz, Helga Peters Aufsichtsratsvorsitzender: Heinz Eder Gesellschaftssitz: Keiserslauter 49292 _________ Habe in dem Ordner Virusverdacht 2 weitere ähnliche Mails gefunden. Ich nutze Freenet und würde die Mails gern an markusg weiter leiten. Nur müsste mir jemand erklären wie ich das machen kann. Für jede Hilfe bin ich sehr dankbar. LG Peter |
Zitat:
Sie startet den Desktopfenster-Manager (DWM). Er verhilft Windows zu den grafische Effekt wie Livevorschau und glasähnliche Rahmen um Fenster (Aero-Glas). @Pommi, schau mal nach einem Beitrag von markug, er erläutert fast in jedem Posting, wie man ihm den Virus samt Mail zukommen lassen kann. |
Hallo Racheengel, ich hätte vielleicht erwähnen sollen das der Prozess dwm.exe vom System ist, und der Trojaner sich als diesen ausgibt und der Prozess dann 2 mal angezeigt wird :) |
Hallo zusammen, ich habe seit gestern einen Rechner vor mir, der sich auch mit diesem Windows Verschlüsselungs-Trojaner verseucht hat. Es scheint sich dabei aber um eine ganz neue oder andere Version zu handeln, als hier beschrieben wurde/wird.... zum einen, hat dieser Trojaner auch alle angeschlossenen USB-HDD´s befallen... zum andern, werden/wurden die Dateien "nicht" Umbenannt....... alle Namen und Endungen...bleiben erhalten... und trotzdem kann keine Datei mehr geöffnet werden...... wenn es nur C:\ gewesen wäre...hätte man ein Image zurückspielen können.... aber auf einer HDD mit 1000GB voller Dokumente und Bilder kommt einem dieser Zwischenfallsehr teuer zu stehen... ich habe mit den von euch hier beschriebenen Tools (Avira, bzw DecryptHelper-0.5)versucht die Dateien wieder herzustellen.... aber wie soll ich das machen, wenn er die Namen der Dateien nicht verändert......bzw. das mit den org. Beispielbilder nicht hinhaut...... vielleicht habt Ihr eine Lösung?! Danke für eure Mühe und Hilfe Didek |
Eine Lösung kann ich zumindest für die Outlook-Datendateien präsentieren. Es gibt ein Tool von Microsoft, welches die Outlook-Datendatei scannt und reparieren kann. Da ja "nur" die ersten 12 kB verschlüsselt wurden, kann evtl. der Header wieder hergestellt werden. Das Tool heisst "scanpst.exe" und ist zu finden unterhalb "C:\Program Files\Common Files\System\MSMAPI\1031". Beim Kunden von mir, wo die Datendatei 1,3 GB groß war, hat es funktioniert. Die Outlook-Datei liegt in der Regel unter "C:\Dokumente und Einstellungen\Benutzer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook", dort einfach die vorhandenen Dateien kopieren (!) und nach "Outlook.pst" umbenennen. Dann das Tool starten und die eben umbenannte Datei auswählen. mfg Michael |
Hallo zusammen, ich bin neu hier im Forum und hatte ebenfalls den neuen Trojaner. Karspersky bezeichnet diesen als "Trojan-Ransom.Win32.PornoAsset.gal". Der Trojaner ist gelöscht, aber die Dateien sind bei mir auch durch eine wirre Buchstabenfolge verschlüsselt. Sobald jemand von euch weiß, ob es schon einen passenden Unlocker (z.B. von Avira) gibt, meldet euch doch bitte. Vielen Dank vorweg. Grüße, Manuela |
hi, habe mich grade bei euch angemeldet. erst mal vielen dank für die vielen tipps und tricks die ihr so auf lager habt :) bin auch befallen von dieser "neuen variante". dank dieser seite kann ich mich immerhin wieder auf meinen desktop bewegen. die dateien sind aber noch alle verschlüsselt. habe alle 6 tools ausprobiert aber es ließ sich kein schlüssel generieren. habe die original email noch falls ihr sie haben möchtet. hoffe ihr findet was um diese wieder zu entschlüsseln. |
Ich hab mir auch diesen Dropper.win32.Injector eingefangen, und kann seitdem den größten Teil meiner JPG und AVI nicht mehr öffnen, wer kann mir dabei behilflich sein dies wieder herzustellen? Hallo, ich habe mich auch mit dem Dropper.win32.Injector Infiziert. Nun kann ich den größten Teil meiner nicht mehr öffnen. Wer kann mir bei diesem Problem behilllich sein. Das blöde an der ganzen ist, das mein Kumpel so ein Mail bekommen hat wo beschrieben ist das er was gekauft hätte. Da er mit dieser Mail nichts anfangen konnte, er er sie einfach an mich weitergeleitet, ohne mich drüber zu Informiere. Als ich die Mail bekommen hatte, habe ich Anfangs wirklich geglaubt das sich mein Kumpel was gekauft hätte, und wollte sehen was, Zack das wars, tolle Freunde. Besteht die Möglichkeit meine Bilder wieder herzustellen? Sind einige schöne von meinen Kidis und Hochzeit dabei. Danke schon mal im Vorraus.... PS: Ich weiß, ich hätte sie Sichern sollen. |
Wie Backups erstellen damit der Trojaner nicht drauf zugreifen kann. Hallo ich hatte auch ein PC mit dem oben beschriebenen Trojaner. Konnte ihn leicht über eine Linux-CD entfernen. Über die Windowssicherung auf eine zweite Partition konnte ich auch alle Daten wieder einspielen. Jetzt eine allgemeine Frage dazu. Es soll auch Varianten geben die auch auf Netzlaufwerke und USB-Laufwerke die Daten verschlüsseln. Wie kann ich in Zukunft dann noch ein automatisches Backup erstellen wenn die Gefahr ist, das das Backup auch verschlüsselt wird. Reicht es bei Netzlaufwerke wenn ich die alle trenne (Also keine Laufwerksbuchstaben mehr im Explorer habe). Ich könnte direkt über die Netzwerkadresse auf mein NAS oder Backup-PC zugreifen (z.B \\Backup-NAS\Backup-Pfad\usw). Oder findet der Trojana auch alle am Netzwerk verbundene Geräte auch wenn man ohne Netzlaufwerk auf sie zugreift. Falls ja fällt mir bei einen NAS dann nur noch Zugriff per FTP ein. Also wie könnte man besten automatisch ein Backup auf ein NAS oder zweiten PC erstellen ohne das ein Verschlüsselungs-Trojaner auf dieses Backup zugreifen kann. Bei Backup auf USB-Platten fällt mir nur ein "Ausschalten". Aber das ist für automatische Backup's ungeeignet. ich hoffe auf rege Vorschläge. Alex |
Zitat:
JUHUUUUUUUUUUUUU habe eine lösung gefunden habe an den jdiuwahdfiuw datein mp3 dran gehängt nun erkennt er es wieder als lied. das problem ist den artist und den titel vom lied erkennt der windows mediaplayer aber da wirste arm mitm schreiben. habe dazu mp3tag genommen erkennt lied und interpret einziger nachteil man muss alle leider einzeln einfügen aber das ist es mir wert hauptsache lieder sind wieder da :applaus::applaus::applaus: freu mich wie ein uhu nach nem waldbrand :glaskugel: |
@Racheengel, prima wenn das bei Dir klappt. In irgendeinen der zahlreichen Beiträge hat das ein anderer User berichtet, diese Variante auch Erfolgreich bei einigen MP3s und JPGs durchgeführt zu haben. Hast Du bei den MP3s auch M3Us? Die müsste man doch anhand der Größe deutlich von den MP3s unterscheiden können. Vielleicht kann man aus den M3Us die Namen rausnehmen. |
Hallo, also ich habe, glaube ich mit dem Scan der Anti-Malware den Trojaner entfernt. Aber leider kann ich mit sämtlichen Programmen nichts mehr machen, also word, exel, power-point. Als wenn diese Programme deistalliert wurden. Die Dateien sind alle noch da, Namen stimmen, kann sie aber nicht öffnen. Was kann ich tun? Sollte ich den Laptop vollständig platt machen und alles neu aufspielen? Solche Verbrecher. LG Regina |
Hallo, bei einigen Musikdateien klappt das, "mp3" anzuhängen, bei manchen aber auch nicht; trotzdem danke für den Tipp! Übrigens funktioniert das bei Bildern noch nicht, wenn ich "jpg" anhänge. Kann man bei Bildern noch etwas anderes anhängen, "gif" vielleicht? Hat jemand einen Tipp, um Word-Dateien zu entschlüsseln, oder muss man auf ein neues Unlocker-Programm von Avira warten? Sorry für die vielen Fragen, bin nicht so versiert und auf Hilfe angewiesen. Grüße, Manuela |
Bei Worddateien scheint der trickt nicht so funktionieren. Bei den MP3 Dateien konnte ich jetzt auch nachstellen, dass einige sich unbeeindruckt zeigen von der Verschlüsselung und der Inhalt (obwohl geändert) trotzdem von gängigen Playern gespielt werden können. Bilder, PST-Dateien und besonders Word Dateien werden gerne komplett geschrottet. Das mit PST repair mit Windows Boardmitteln will ich auch noch mal probieren, ob dies auch für Office 2010 gilt. Melde mich dann auch noch mal. |
Danke für die schnelle Antwort, darkange. Meine Dateien wurden umbenannt in eine wahllose Abfolge von Buchstaben. Es wäre eine Katastrophe, wenn die Word-Dateien alle geschrottet wären, habe leider nur wenige Dateien auf anderen Medien gespeichert. Ich hoffe dann wenigstens, dass es doch irgendwann ein Unlocker-Programm gibt. |
Zitat:
ich weiss nicht ob da m3Us dabei waren :( bis auf 5 lieder konnte der windows media player bzw vlc player alle erkennen der rest ist schrott. jetzt noch gescheites antiviren program was am besten auch gleich die email sperrt und gut is :pfeiff: |
TXT Dateien sollten auch kein Problem sein, da der nur was am Dateianfang hinzufügt. Habe jetzt mal mit Office 2010 (verschieden große PST Dateien und Archive 100mb, 500mb und 2GB) mit scanpst durchlaufen lassen. Das funktioniert wirklich ohne Probleme! Benutzt also bitte diesen Weg, wenn ihr neuere Office Versionen (ab 2007) nutzt. hxxp://office-blog.net/post/Outlook-2010-PST-Datei-mit-ScanPST-reparieren.aspx Versucht mal DOC Dokumente und DOCX Dokumente von Office reparieren zu lassen. hxxp://support.microsoft.com/kb/826864/de Ich check gerade ein paar Wege, um JPEG zu reparieren. Zitat:
kannst du bitte mir eine kaputte MP3 Datei von dir zu kommen lassen, damit ich was vergleichen kann. Bitte keine reparierte - am besten verschlüsselt und umbenannt. (am besten per Sharehoster hochladen und mir den link kurz zukommen lassen) Danke und Grüße |
Ich habe jetzt mein System neu aufgespielt, weil ich das Gefühl hatte das der Trojaner weitere Daten vernichten könnte. Die Bilder sind wohl noch vorhanden,. jedoch kann ich sie nicht öffnen. Unter Acdsee steht Quelldatein kann nicht geöffnet werden, unter Windos kommt die meldung ungültiges Format. Gehe mal davon das die Bilder mit dem Trojaner verschüsselt worden sind. wie kann ich sie wieder herstellen. HILFE.... Wenn ich die Bilddatein recht Anwähle und unter Eigenschaften gehe, dort weiter unter Details, sehe ich das die Ganzen Bildinformationen nicht mehr vorhanden sind, ist das jetzt ganz schlecht, oder geht da eventuell noch was? |
Moin zusammen, hab im Forum von Chip.de einen Link gesehen: hxxp://www.threatexpert.com/report.aspx?md5=301647257d81e8ad5d7ff7c167cc0c06 Mir sagt das alles nicht wirklich was, aber möglicherweise können die Experten was damit anfangen... Gruß, Uwe |
Hallo, danke für die Antwort, aber selbst ich bin nur von der HS auf Real... gewechselt weil mein Notendurchschnitt es zugelassen hat. Mit Binärenzahlen oder sonstiges hab ich kein Plan. |
Guten morgen, ich hatte auch diesen Trojaner....mein Freund hat eine Mail geöffnet über eine Rechnung von 6000 €uro von mystofftier.de. Bei mir sind auch die Bilddateien (zum Glück, hatte ich erst letzten ein Sicherheitsupdate mit meiner externen Festplatte gemacht) verschlüsselt (Dateityp: Datei), Word geht nicht mehr und was für mich das schlimmste ist, dass mein Outlook nicht mehr geht....die pst Dateien wurden auch verschlüsselt. Kann mir jemand sagen, wie ich mein Outlook wieder hinbekommen? LG Adhideva |
mögliche Lösung? Hallo, Ich hatte auf meinem Windows 7 diese neue Version de Verschlüsselungstrojaners, welche die ganzen Dateinamen unerkennbar macht. Hab mir dann eine Strategie aus verschiedenen Foren zusammengebastelt. Vielleicht hilft sie dem einen oder anderen weiter. Oder sieht jemand der besser draus kommt Risiken an dieser Lösung? 1. Windos Defender Offline runtergeladen, und darauf gebootet. 2. Widows Starthilfe fragte mich, ob „Sie“ das System einige Tage zurückstellen soll. Hab ich dann gemacht. So bin ich wieder ins Widows gekommen, aber erschrocken, dass alle Daten noch verschlüsselt sind. 3. ShadowExplorer konnte alle Daten wieder einwandfrei herstellen. 4. PC neu aufsetzen (windows cd booten). -> Wäre nicht zwingend nötig, wird aber dringlich empfohlen. Zudem mag vertraue ich dem System nicht mehr, wenn es einmal sich so selbständig gemacht hat... lg basil |
@azystems: Zitat:
Abhilfe ist in diesem Fall nur über abstecken,ausschalten oder USB-Platte über einen Script nach Ende des Backup vom Rechner abmelden (entfernen). Komfortabler ist auf jeden Fall die Sicherung auf Fileserver/NAS, wo die Laufwerke erst bei Beginn der Sicherung mit Passwort gemountet werden, und nach Ende des Backups getrennt. Auch in diesem Fall würde ich über entsprechende Rechtevergabe dafür sorgen, daß auf die älteren Backups nur Read-only zugegriffen werden kann. Das A und O und der beste Schutz ist, niemals als Administrator im Internet zu surfen bzw. Mails zu lesen/öffnen. Die Sicherung z.B. würde als Task unter Administrator ausgeführt, der normale Benutzer hätte nur Leserechte. Somit kann kein Schadprogramm mehr die Sicherungen verändern/löschen/verschlüsseln. Auch wenn ein Schädling dann die Eigenen Dateien/Bilder usw. verändert, wären diese dann schnell vom Backup wiederhergestellt.:daumenhoc gruss Rainer |
moin moin, BackUp, ein schnuckliges Thema. :daumenhoc Der Sony VAIO meines Kundes hatte ja seitens der Werkskonfiguration seine versteckte Recoverpartition zur Wiederherstellung der Werkseinstellungen (F10). Der Virus hatte da keine Chance. Ich denke hier liegt der Ansatzpunkt für relativ sichere Backups. Backup and Restore von Acronis bietet beispielsweise auch die Option, die Sicherung auf eine spezielle Secure Zone zu legen. Wenn es die Zeit zuläßt, werde ich den Virus auf einem so konfigurierten System mal testen. Gruß Volker |
Hallo zusammen, gibt nicht sowas wie einen Hex-Editor, mit dem ich die Informationen von PDF, jpg, doc´s usw. auslesen kann ( früher haben wir das auch mit hdd´s gemacht um die zurück zu stellen), um diese dann händisch zu ändern bzw. anzupassen....... ich denke, da das Problem in den ersten Zeilen bzw. in den letzten Zeilen der Dokumenteininformation liegen müsste.....könnte man versuchen diesen fehler zu beheben....denn an den beschädifgten Dokumenten kamm man eh nicht mehr viel falsch machen...... Gruß Didek |
Hallo zusammen, bisher hatte ich leider mit allen hier aufgeführten Tipps wenig Erfolg. Nur ein paar Musikdateien habe ich durch Anfügen von "mp3" wieder herstellen können. Habe Windows XP, meine Dateien sind durch eine Buchstabenkette (ohne "locked" davor) umbenannt worden und nicht zu öffnen. Am wichtigsten ist die Wiederherstellung der Word-Dateien (habe Word 2003). Da funktioniert der Avira Unlocker bei mir nicht. Also, auf ein Update von Avira warten oder hat jemand noch einen anderen Tipp?? Grüße, Manuela |
Hallo an Alle Betroffenen. Ich habe auch gerade so einen Trojaner beseitigt. Die Dateien waren im Schema fjXOodyasVAplDa verschlüsselt. Zum Glück lief der Dienst Windowswiederherstellung. Dazu den Ordner mit den verschlüsselten Daten rechtsklicken-->Eigenschaften wählen dort den Reiter Vorgängerversionen klicken und ein Datum vor dem Trojanerbefall auswählen. Die Originaldateien werden zusätzlich zu den verschlüsselten Dateien zurückgeschrieben... alle Dateitypen bei mir. Gruß DevilTH PS:BS Windows7 |
Hallo DevilTH, einen Wiederherstellungspunkt konnte man vor dem Trojanerbefall nicht finden. Ansonsten habe ich nur bei Eigenschaften die Reiter "Allgemein, Freigabe und Anpassen" finden können. Trotzdem danke für den Tipp! Gruß, Manuela |
Zitat:
Gruß DevilTH |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:39 Uhr. |
Copyright ©2000-2025, Trojaner-Board