Trojaner-Board - Verschlüsselungstrojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)

- - Verschlüsselungstrojaner - neue Welle (https://www.trojaner-board.de/119168-verschluesselungstrojaner-neue-welle.html)

Also, ich habe auch auf einer "harmlosen" Fahrschulseite gesurft, als es mich erwischte! Nach Googlen erfuhr ich, dass sich der Trojaner GEMA Trojaner schimpft. Antivir hatte gewarnt und geblockt, trotzdem hatte er schon versucht den Flashplayer zu installieren, was ich abgewehrt habe. Hatte sich dann in die Registry und Taskmanager als auch in den Autostart verfressen, alles gelöscht...
Hieß laut malwarebytes trojan.phex.thagen6 und antivir warnte mich vor bds.zeroaccess

gema trojaner ist was anderes, eröffne ein thema dann gucken wir uns den pc an.
die fahrschulseite hätte ich gern als private nachicht
@reggie
leite sie einfach weiter, dass passt auch

Leider kommt die mail zu mir zurück, da dein Mailprogramm den Schädling scheinbar erkennt oder so ähnlich was da steht...

Zitat:

*** ATTENTION ***

Your e-mail is being returned to you because there was a problem with its
delivery. The address which was undeliverable is listed in the section
labeled: "----- The following addresses had permanent fatal errors -----".

The reason your mail is being returned to you is listed in the section
labeled: "----- Transcript of Session Follows -----".

The line beginning with "<<<" describes the specific reason your e-mail could
not be delivered. The next line contains a second error message which is a
general translation for other e-mail servers.

Please direct further questions regarding this message to the e-mail
administrator or Postmaster at that destination.

--AOL Postmaster

----- The following addresses had permanent fatal errors -----
<markusg@trojaner-board.de>
(reason: 550-This e-mail is considered spam. Therefore, the server rejects
it.)

----- Transcript of session follows -----
... while talking to mail.variomedia.de.:
>>> DATA
<<< 550-This e-mail is considered spam. Therefore, the server rejects it.
<<< 550 (150741::1346309451-000059B1-72FA18C3/3646280149-0/0-3)
554 5.0.0 Service unavailable

Habe die mail in deinem Profil genommen.

Soll ichs wo anders probieren??

Übrigens haben heute ettliche andere leute auch eine dieser Mails erhalten, scheinbar haben die heute mal wieder einen Massenversand gestartet...

dann wird das gute stück schon erkannt, einfach bei der nächsten noch mal probieren :-)

Die nächste:

Zitat:

Sehr geehrter Kunde,

bei der Überprüfung der Rechnungen stellten wir fest, dass Sie die Rechnung
Nummer 9157114/2012 noch nicht beglichen haben.

Artikel: Leica TN3E 1823,79 Euro

Hiermit bitten wir Sie erneut, Ihre nicht bezahlte Forderung zu begleichen und
damit weitere juristische Kosten einzusparen.

Wir müssen Ihnen 14,00 Euro ebenfalls zu der noch offenen Forderung als Mahnung
in Rechnung stellen.
Wir bitten Sie, die nicht bezahlten Kosten bis zum 07.09.2012 auf das angegebene
Konto zu übersenden.

Der Zahlschein und die Artikel Liste liegen dieser E-Mail als Beilage bei.

Mit besten Grüßen

WinklerVersand GmbH Bad Bergzabern
Geschäftsführer: Jonah Schreiber
Fimen-Nummer: DE666118571

Das tolle daran mein Mailprogramm (Aol) sagt mir die Mail sei Virenfrei, könne bedenkenlos den Anhang downloaden.

Will ich sie aber dem Markus schicken, geht es nicht, der Virus wird als solcher erkannt ! (Von Aol!)
? Aber mich es downloaden lassen wollen , tzzz...

Hallo gibt es mitlerweile ein Tool was die Daten entschlüsselt wie Exel, Word und Bilder Dateien?

mfg

Zitat:

Zitat von feuersturmnf (Beitrag 920301)

Hallo gibt es mitlerweile ein Tool was die Daten entschlüsselt wie Exel, Word und Bilder Dateien?

Ja, gibt es, dein Backuptool holt deine vorher regelmäßig gesicherten Daten aus dem letzten Backupset unverschlüsselt wieder raus! :daumenhoc

SCNR

Sry aber meinst du nicht auch, bei so einer bahnbrechenden neuen Erkenntnis würde längst der fette Hinweise ganz oben im Trojaner-Board schon anders aussehen!? :rolleyes: :D

Zur Not tuts auch ein Torrent Backup:

Daten packen, verschlüsseln, Datei umbenennen in "Brittni_Spiers_nackig.jpg" und ab ins Torrent-Netz damit.

So kann man die Daten in zig Jahren noch zurückholen.

Zitat:

Zitat von stefanbecker (Beitrag 920812)

#

Nur, nur wirds dann schwierig sein eigenes Backup-Set bei der Flut an nackigen Britneys wiederzufinden :rofl: :lach: :D :applaus:

kann ja nichts schaden, sich nen paar mehr von denen zu laden

Zitat:

Zitat von markusg (Beitrag 921020)

kann ja nichts schaden, sich nen paar mehr von denen zu laden

Also mir würde ja schon ein Bild einer nackigen Schreckschraube zu viel sein :balla: :crazy:
Außerdem wenn das meine Freundin wüsste :nono:

Zitat:

Zitat von cosinus (Beitrag 921271)

Außerdem wenn das meine Freundin wüsste :nono:

Darfst du keine Backups machen?:aufsmaul:

Zitat:

Zitat von stefanbecker (Beitrag 921284)

Darfst du keine Backups machen?:aufsmaul:

Ich muss meine backups aber nicht als britney.nackt.tar.gz tarnen :lach:
Eher ist das andersrum, dass jmd eine nackte Schreckschraube als backup.zip.avi tarnt :applaus:

Hallo Leute,

bei uns hat es auch einen PC erwischt, allerding fing es ein wenig anders an:
- Windows XP - nach anmelden in der Domäne - keine Desktopicons
- die üblichen Verdächtigen ausprobiert - nach Anmelden wird sofort der User wieder abgemeldet

OK, also nicht lange gefackelt, Rechner aus dem Image wiederherstellen, dauert 20 min und alles ist wieder schön - denkste! Nach Rückspielen der Daten aus dem Backup lässt sich keine Anwendungsdatei öffnen.

Die ersten 12287 bytes sind verändert. Ich lade mal 2 Sätze jpg Dateien hoch, evtl. hat noch jemand Lust den Algorithmus zu suchen.

Viele Grüße aus Berlin
Mario

Zitat:

Zitat von divermario (Beitrag 922535)

evtl. hat noch jemand Lust den Algorithmus zu suchen.

Zum 1000. Mal durchgekaut :balla:
Es gibt keine Möglichkeit zur Entschlüsslung! :kloppen: