Hallo Zusammen,

auch uns ist es nun passiert, das wir auf einen Trojaner gestoßen sind. Dieser hat die eigenen Dateien (docx; xlsx; jpg; usw.) mit der zusätzlichen Endung ".megamoney" versehen. Also Bild.jpg.megamoney
Nun hatten wir auf einem anderen Rechner noch einige Bilder im Original, und haben damit versucht, mit diversen Entschlüsselungsprogrammen aus diesem Forum den Schlüssel zur entschlüsselung zu generieren. Nur leider kommt die Fehlermeldung, das die Dateigrößen unterschiedlich seine, obwohl im Windowsexplorer bei beiden Dateien die gleiche Größe angezeigt wird.

Vielleicht kann uns einer helfen.

Mit freundlichen Grüßen
Matsch_79

hi,
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die
  OTL.exe
  .
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die
  Textbox.

Code: Alles auswählenAufklappen

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere
  nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hallo Markusg,

ich arbeite zur Zeit von einem sauberen Rechner aus, der Befallene Rechner ist von einem Bekannten von mir und er hat ihn mit einem Trojanerscanner schon gesäubert. nur als er merkte, das die Dateien immernoch verschlüsselt sind hat er sich an mich gewendet.

Falls es noch was bringen sollte werde ich ihm empfehlen, das Programm mal drüber laufen zu lassen, dann kann ich das hier mal hochladen.

Hat vielleicht einer die Möglichkeit, aus einer verschlüsselten Datei und einer Originalen einen Entschlüsseler zu schreiben?

Gruß
Matsch_79

toll, durchs löschen habt ihr uns evtl. die möglichkeit zur analyse genommen.
wo ist das log des scanners?
poste bitte die otl logs.

Hmm, Mist, Text zu lang für dieses Feld, Schicke die Dateien als Zip per Anhang.

Hallo Markusg

hier habe ich nun die Logs von OTL. Sorry das es was gedauert hat, aber da ich den betroffenen Laptop nicht hier vor Ort habe ist es immer etwas aufwendig schnell die erforderlichen Sachen auszuführen.

Habe von meinem Bekannten auch die Logs von " Malwarebytes Anti-Malware " geschickt, dort ist auch was zum Trojaner aufgeführt. Falls das hilft könnte ich die auch noch schicken.

Gruß
Matsch_79

poste alle logs mit funden. also malwarebytes, trojan killer, avira etc

Hallo markusg,

hier die weiteren Logs. Von Aviera ist laut dem Bekannten nichts gefunden worden. Mit dem Trojan Killer hatte er wohl 500 Funde.

Dank dir schonmal für die Mühe.
Gruß
Matsch_79

hi
ob laut dem bekannten nichts gefunden wurde ist uninteressant, bitte gucke ob nichts gefunden wurde.
avira, ereignisse, bzw avira, berichte.

Hallo,
habe nun auch die Avira Datei bekommen. Dann hoffen wir mal das diese weiterhilft.

Gruß
Matsch_79

hi,
bitte mal rechtsklick auf den avira schirm, guard deaktivieren.
dann verwaltung, quarantäne.
ich benötige mal 2 3 dateien, die im temp ordner gefunden werden, wähle dort wiederherstellen in, destkop.
Trojaner-Board Upload Channel
dann dort hochladen, dateien vom destkop löschen, guard wieder einschalten.

Hallo Markusg

habe ein paar Dateien hochgeladen. die bei Trojan Killer im Quarantäne Ordner waren. Der Quarantäneordner non Avira war schon leer. Auch war dort nichts verstecktes/unsichtbares drin.

Aber ich werde morgen mal da sein, und nach den *.qua Dateien suchen, vielleicht finde ich ja noch ein paar Beispieldateien.

Gruß und schönen Feiertag
Matsch_79

ok mit entschlüsseln klappts nicht, so wies aussieht, daten sind wohl futsch.