You are not logged in.

Thursday, April 24th 2014, 10:38am

Dear visitor, welcome to Avira Support Forum. If this is your first visit here, please read the Help. It explains in detail how this page works. To use all features of this page, you should consider registering. Please use the registration form, to register here or read more information about the registration process. If you are already registered, please login here.

  • "Pokerschlamp" started this thread

Date of registration:
May 9th 2012

Version:
Avira Antivirus Premium

Operating System:
WIN7

  • Send private message

1

Wednesday, May 9th 2012, 4:52pm

Virus verschlüsselt Daten

Hallo Leute,

wir haben mittlerweile 4 Kunden mit folgendem Problem

Ein Virus hat alle Dateien verschlüsselt. Im Gegensatz zu einem Vorgänger sind auch die Dateiendungen willkürlich.

Die Originaldateien sind gelöscht. Ich habe bisher in allen Foren nur von einem ähnlichen Virus gelesen, der 2005 aufgetreten ist. Alle damals beschrieben Versuche sind leider erfolglos.

Das Virus wird uach unterschiedlich verschickt. Wir hatten ihn einmal eine .exe und 3 mal als zip entdeckt

Hat jemand eine Idee????

markusg

Community member

Date of registration:
Mar 12th 2006

  • Send private message

2

Wednesday, May 9th 2012, 5:14pm

hi, ist die namens struktur.
locked-dateiname.engung.vierstellige zufalls endung?

  • "Pokerschlamp" started this thread

Date of registration:
May 9th 2012

Version:
Avira Antivirus Premium

Operating System:
WIN7

  • Send private message

3

Wednesday, May 9th 2012, 5:51pm

Die Dateinamen sind:
locked.dateiname.dok.xxxx
xxxx steht für 4 willkürliche Buchstaben
Also zuerst locked dann alter Dateiname, dann alte Dateiendung, dann 4 Buchstaben

  • "Pokerschlamp" started this thread

Date of registration:
May 9th 2012

Version:
Avira Antivirus Premium

Operating System:
WIN7

  • Send private message

4

Wednesday, May 9th 2012, 5:52pm

Schein genauso zu sein wir du beschrieben hast

markusg

Community member

Date of registration:
Mar 12th 2006

  • Send private message

5

Wednesday, May 9th 2012, 6:17pm

es gibt da mehrere variannten, evtl. kannst du mir die infektions quelle weiterleiten, dann kann ich mal gucken
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
markusg@paules-pc-forum.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

  • "Pokerschlamp" started this thread

Date of registration:
May 9th 2012

Version:
Avira Antivirus Premium

Operating System:
WIN7

  • Send private message

6

Thursday, May 10th 2012, 6:03pm

Wie es aussieht haben wir den Virus erneut. Ein Mitarbeiter hat den Virus in seinem GMX Spam entdeckt. Er wird die MAil weiterleitern. Absender Sebastian Köhler.
Der Virus scheint eine Internetverbindung zu brauchen um sein Unwesen richtig treiben zu können. Ohne Internetverbindung zerstört er dateien wie regedit, sound.exe und ähnliche Dateien. Sobald die Virenexe gestartet wird, löscht sich die original Datei und eine neue Datei wird erzeugt, wird diese wieder geöffnet, beginnt das Spiel von vorne. Dateien werden aber nicht verschlüsselt. Wir werden heute nacht extra eine INet Leitung zum Testen aufbauen. Ergebniss kommt morgen

markusg

Community member

Date of registration:
Mar 12th 2006

  • Send private message

7

Thursday, May 10th 2012, 6:30pm

was meinst du mit zerstört, wieder das ein locked.dateiname.endung.zufallsendung rangehangen wird?
bitte sei bei deinen aussagen dahingehend ein klein wenig präzieser, danke :-)

8

Monday, May 14th 2012, 2:45pm

Hi Pokerschlamp,

habe seit zwei Wochen schon mehrmals den Virus auf Kundengeräten, das Ende vom Lied war bei mir immer eine Neuinstallation.
Zu dem Thema mit den verschlüsselten Daten, habe ich eine hilfreiche Anleitung im Internet gefunden um die Daten zu entschlüsseln.
Alles was du hierzu brauchst ist eine Datei die auf dem Gerät war bevor dieses infiziert wurde, und noch die selbe Datei nach der Infizierung des Virus (sprich verschlüsselt).
Anschließend habe ich mithilfe eines Tools aus beiden Dateien (in meinem Fall eine .exe dich im im Netz nochmal downloaden konnte) einen Schlüssel erzeugt der mir alle Daten entschlüsseln konnte, also wirklich alle ohne Probleme.
Hat also Top funktioniert.
Der Virus wurde immer über eine Mail geöffnet. Hierzu kann ich nur raten bei Bestellbestätigungen niemals den Anhang zu öffnen. Da ich sehr viel Online einkaufe weiß ich dass bisher jeder der Shops mir keine Mail mit Anhang geschickt hat, sondern nur reinen Text mit eventuellen Links zur Homepage, bzw zum Account.
Was noch hilfreich ist, die Mailadresse überprüfen, hier handelt es sich meistens um sehr komische Adressen mit denen man auf den ersten Blick nichts anfangen kann.

Aber die Daten zu retten ist so eine 50/50 Sache, entweder man hat zufälligerweise noch Daten vor dem Virenbefall, oder findet eine Installationsdatei im Internet die ebenfalls infiziert auf dem Rechner liegt.

Meiersen

  • "Pokerschlamp" started this thread

Date of registration:
May 9th 2012

Version:
Avira Antivirus Premium

Operating System:
WIN7

  • Send private message

9

Tuesday, May 15th 2012, 12:54pm

Hallo Meiersen,
wir konnten die Daten mittlerweile wieder herstellen, das mit dem Programm funzt. Die Neuinstallation ist zwingend erforderlich, da dieses Viech sich auch in Treiber und ähnliche Systemprogramme einnistet. Eine normale Neuinstallation hat den Virus aber wieder belebt. Hier scheint es dringend notwendig die Partitionen zu löschen und wieder neu zu erstellen.
Wir haben den Virus mal auf verschiedene PCs mit unterschiedlichen Virenprogrammmen geschickt.
Alle Kaufprodukte haben den Virus geblockt, die kostenlosen haben versagt.

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

10

Tuesday, May 15th 2012, 1:09pm

sehr gewagte Aussage - ich möchte die nicht überprüfen !

Alle Kaufprodukte haben den Virus geblockt, die kostenlosen haben versagt.


Wann habt ihr eigentlich getestet ? - der Zeitpunkt sollte schon erwähnt sein
die Aussage trifft für Avira nicht zu , die Viren Engines sind identisch . in Free und Kaufversion
und es gibt einen Zeitpunkt vor 14 Tagen ca wo sämtliche Scanner versagten -
egal ob free oder Kauf

ausser das Programm Brain.exe - das schlug immer an . :)


Rajo

Date of registration:
Apr 15th 2008

Version:
none

Operating System:
Acer All in On DA241HL Android 4.2.2 /Chrome Browser/Dolphin

  • Send private message

11

Tuesday, May 15th 2012, 1:20pm

Solange der User es nicht lernt ,gewisse Computerkompetenzen zu erlernen, wird alles versagen egal ob Free oder Kaufversion. ;)

In diesem Sinne
KISS for Keep It Simple, Stupid. :thumbsup: :thumbsup: