Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Thema geschlossen
Alt 07.05.2012, 12:26   #466
Diebaer
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Hallöchen.

Habe auf der Seite (Wiederherstellung der verschlüsselten Dateien nach Trojan.Encoder) alles so gemacht und läuft auch durch, allerdings werden keine Dateien Wiederhergestellt.

hxxp://www.fotos-hochladen.net/uploads/unbenannt1swzporfc7.jpg

Wie zu sehen, waren es mal alles PDF-Dateien. Bei wir war es ein Anhang in der E-Mail, das ich was gekauft hatte.
Nach Neustarten war Rechner durch Bild und Eingabe von Codes für Zahlung gesperrt.

So ging ich vor, um das zu beseitigen:

Zitat:
Daran zu Erkennen, das sich dieser immer unter: Windows 7 unter: C:\Users\Username\AppData\Roaming was ja dann unter Speicherort zu sehen ist.


...
Achtung! Der Bösewicht nennt sich jedes mal anders. Aber zu sehen im Systemstart, da er sich ja nur an diesen Tag Installiert hat.


...
Was wichtig ist,unter Start im Suchfenster eingeben: msconfig und dann Enter. Im neuen Fenster dann beim Reiter "Systemstart" diese Datei suchen: 783BE9DE Hacken entfernen und dann System neu Starten. So, das ding Speichert sich unter Windows 7 unter: C:\Users\Username\AppData\Roaming\Jfecaynxif. Diesen Löschen. Fertig!
Erst jetzt gemerkt, das seit dem PDF-Dateien und Bilder auf Desktop verschlüsselt sind und habe es mit dieser Anleitung versucht, aber es läuft durch, ändert aber nichts.
Zur Zeit läuft: Malwarebytes Anti-Malware durch, aber bis jetzt nichts gefunden.
Ach ja, wenn ich: Avira Ransom File Unlocker anklicke, stürzt Rechner ab und erzählt mir, das keine HDD da ist. Zwangsrunterfahren und neustarten reichte aus, habe das sofort gelöscht. Habe aber Windoof 7.

Wer weiß weiter? Die Forumsuche bringt mich ja nur hier her.

Danke für die Hilfe.
GLG........Diebaer

Geändert von Diebaer (07.05.2012 um 12:29 Uhr) Grund: Tante Edit.

Alt 07.05.2012, 12:29   #467
Schrotti76
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Hallo,

Ich habe eben festgestellt, das ich auch mit meinem kleinen Netzwerk nicht von nem Anderen nicht infizierten Rechner auf diesen zugreifen kann.

Der Trojaner verändert anscheinend auch Daten im Windows.

Soll ich mal 2 Dateien per Mail senden in original und Locked?
__________________


Alt 07.05.2012, 13:10   #468
Diebaer
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



So, habe ja nun getestet.

Das Problem, es wird immer eine Original Datei verlangt und die gleiche als verschlüsselt. Nur habe ich keine Originalen Dateien, den es wurden ja alle verschlüsselt.

Was kann man da machen???
__________________

Alt 07.05.2012, 13:16   #469
make_fun
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Guckst Du mal hier ( http://www.trojaner-board.de/114115-...tml#post820441 )

LG

make_fun

Alt 07.05.2012, 14:44   #470
Diebaer
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



So, habe doch noch eine Originale Datei gefunden und somit konnten Daten wiederhergestellt werden.

hatte auch suchen lassen mit: Malwarebytes

Hier die Logdatei bzw. der Bericht:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.07.01

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Baerchy :: BAERCHY-HP [Administrator]

Schutz: Aktiviert

07.05.2012 12:44:34
mbam-log-2012-05-07 (12-44-34).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 472971
Laufzeit: 2 Stunde(n), 51 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 14
HKCR\Typelib\{B035BA6B-57CD-4F72-B545-65BE465FCAF6} (Adware.ShoppingReport2) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Typelib\{D44FD6F0-9746-484E-B5C4-C66688393872} (Adware.ShoppingReport2) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{0EB3F101-224A-4B2B-9E5B-DF720857529C} (Adware.ShoppingReport2) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\ShoppingReport2.HbAx (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\ShoppingReport2.HbAx.1 (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\ShoppingReport2.HbInfoBand (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\ShoppingReport2.HbInfoBand.1 (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\ShoppingReport2.IEButton (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\ShoppingReport2.IEButton.1 (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\ShoppingReport2.IEButtonA (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\ShoppingReport2.IEButtonA.1 (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\ShoppingReport2.RprtCtrl (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\ShoppingReport2.RprtCtrl.1 (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 4
HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{EB620C54-E229-4942-87CE-E717109FC8C6} (Adware.ShoppingReport2) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping|{EB620C54-E229-4942-87CE-E717109FC8C6} (Adware.ShoppingReport2) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{DB38E21A-0133-419d-92AD-ECDFD5244D6D} (Adware.ShoppingReport2) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping|{DB38E21A-0133-419d-92AD-ECDFD5244D6D} (Adware.ShoppingReport2) -> Daten: 2 -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)


Geändert von Diebaer (07.05.2012 um 14:44 Uhr) Grund: Tante Edit

Alt 07.05.2012, 14:52   #471
markusg
/// Malware-holic
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



hier ist nicht das forum für logfiles, die werden bitte in extra themen gepostet, danke
__________________
--> Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)

Alt 07.05.2012, 15:02   #472
jimpanse1977
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Hallo,


ich hatte das PRoblem auch. Ist mitlerweile alles wieder gut, dank eurer Hilfe.
Habe aber gerade ein Interesantes Video gesehn welches sich mit dieser PRoblematik befasst. Es ist kein allheilmittel, jedoch für die kommenden Varianten vieleicht ganz nützlich um sich dagegen ein wenig zu schützen. Den Trojaner kann man sich immernoch einfangen, allerdings wird durch eintragen folgenden Daten in die Host-Datei das landen der Schadsoftware mit der anschliesenden Verschlüsselung der Daten verhindert.
Eintragen muß man folgenden:
127.0.0.1 qoa-a.com
127.0.0.1 horad-fo.com
127.0.0.1 spatbe-w.com
127.0.0.1 dns.msftncsi.com
127.0.0.1 msftncsi.com

Zu sehen ist das ganze unter: Video

Ich hoffe ein wenig helfen zu können, denn ein versehentliches erneutes öfnen einer solchen Datei ist nicht ausgeschloßen :-)

Alt 07.05.2012, 15:07   #473
markusg
/// Malware-holic
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



nur solange sie die server nicht wechseln klappt das.
das nur als anmerkung, und bei malware ist damit zu rechnen :-)
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 07.05.2012, 15:44   #474
carpe--diem
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Hat schon jemand eine Entschlüsselungs-Lösung für die neue matsnu1 Variante gefunden?

Alt 07.05.2012, 16:08   #475
DerTechniker
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Zitat:
Zitat von carpe--diem Beitrag anzeigen
Hat schon jemand eine Entschlüsselungs-Lösung für die neue matsnu1 Variante gefunden?
Bisher nicht,

Markusg braucht eine Original E-Mail in der der Auslöser-Anhang noch drin ist.
Hier noch einmal seine Adresse: http://markusg.trojaner-board.de

Gruß

Alt 07.05.2012, 16:20   #476
J3ss3Blu3
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Hy, sitz grad am rechner meiner Mutter, die leider diese dubiose rechnung geöffnet hat, soweit sieht alles ganz gut aus. Die meisten Dateien(eigentlich alle)wurden Fehlerfrei wiederhergestellt. Habe nun aber noch folgendes Prob:
Wenn ich MSOOutlook2007 öffne möchte dieser ein Kennwort,Wie behebt man das?
Danke im Voraus
J3ss3

Alt 07.05.2012, 16:51   #477
markusg
/// Malware-holic
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



hatt sie denn ein kennwort festgelegt? ist das ne abfrage von outlook oder eine abfrage des mail kontos?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 07.05.2012, 16:58   #478
HPS
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



hallo, habe mir ebenfalls einen Verschlüsselungstrojaner eingefangen. laut virenscanner handelt es sich um den win32/watsnu.c, (microsoft engine) der laut google seit dem 04.05.12 unterwegs ist. Habe das System schon gebügelt und neu aufgesetzt.(Habe natürlich vorher ein Snapshot gemacht) Leider ist das Backup mit den unverschlüsselten Daten einen Monat alt. Gibt es schon neuere Encrypter? Freue mich auf jede Antwort.

Alt 07.05.2012, 16:59   #479
J3ss3Blu3
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Sie hatte nie ein Kennwort festgelegt, das is ne Abfrage von Outlook, scheint um die Persönlichen Ordner zu gehen, kann leider nur mit abrechen weiter danach schließt sich outlook. Es geht nicht um das Kennwort vom EMail-Konto zum abrufen der Mails.

Schliesst sich dann mit in etwa folgender Meldung: outlook 2007 kann nicht getartet werden... fenster kann nicht geöffnet.. ordnergruppe kann nicht geöffnet werden, server steht nicht zur verfügung, wenn Problem fortbesteht, wenden sie sich an Administrator.

Alt 07.05.2012, 17:11   #480
HPS
 
Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Standard

Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)



Handelt es sich um Outlook oder Outlook Express ?
Wenn Outlook, hast du schon versucht die Outlook.pst mit Scanpst.exe zu reparieren ?
Oder wenn das nicht funktioniert die alte *.pst umbenennen und eine neue Outlook.pst (rechtsklick neu persönliche Ordner-Datei) am gleichen Ort erstellen. Danach versuchen die alte *.pst über Datei Import/Export wieder mit einzubinden.
gruß HPS

Thema geschlossen

Themen zu Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)
abrechnung.zip, applikation, beliebige, bytes, dateien verschlüsselt, decrypthelper, ebenfalls, locked, log-analyse und auswertung, neue, ransomware, realtecdriver, rechnung.exe, sie haben sich mit einen windows-verschlüsselungs trojaner infiziert, tr/crypt.xpack.gen, tr/injector.lo, trojan.crypt.ebj, trojan:w32/ransomcrypt, trojan:win32/ransom.opv, verschlüsselt, verschlüsselte dateien, verschlüsselung, wiederherstellung, windows update virus



Ähnliche Themen: Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)


  1. Dateien (vermutl. durch Trojaner) verschlüsselt, wiederherstellung möglich?
    Plagegeister aller Art und deren Bekämpfung - 07.03.2015 (5)
  2. gefälschte Rechnung von Vodaphone mit falschem Link zur angeblichen .pdf-Rechnung
    Plagegeister aller Art und deren Bekämpfung - 18.12.2014 (9)
  3. Win 7 64Bit rECHNUNG:EXE TROJANER KEINE VERSCHLÜSSELTEN DATEIEN
    Log-Analyse und Auswertung - 04.05.2014 (7)
  4. Trojan.Ransomcrypt.F in c:\users\XXX\appdata\roaming\{112c4a02-1112-2f13-0e22-00181b0b15df}.exe: Wiederherstellung verschlüsselter Dateien
    Plagegeister aller Art und deren Bekämpfung - 21.09.2013 (5)
  5. Wiederherstellung von durch neuen Tojaner verschlüsselten Dateien
    Plagegeister aller Art und deren Bekämpfung - 06.03.2013 (15)
  6. Benötige Hilfe beim entschlüsseln meiner durch den Virus verschlüsselten Dateien
    Diskussionsforum - 29.01.2013 (4)
  7. Trojaner verschlüsselt Dateien und hängt Endung .police an - Wiederherstellung möglich?
    Plagegeister aller Art und deren Bekämpfung - 25.09.2012 (5)
  8. Bundestrojaner/Bundespolizei Virus mit verschlüsselten Dateien
    Plagegeister aller Art und deren Bekämpfung - 22.09.2012 (10)
  9. Dateien sind alle umbenannt in z.b. aeDepXDTssXlaTsX durch einen Anhang von einer E-Mail (Rechnung)
    Plagegeister aller Art und deren Bekämpfung - 05.09.2012 (1)
  10. Wiederherstellung/Entschlüsselung von Dateien
    Plagegeister aller Art und deren Bekämpfung - 07.06.2012 (5)
  11. (xpost) neuer Verschlüsselungstrojaner mit teils unveränderten aber trotzdem verschlüsselten Dateien
    Mülltonne - 07.06.2012 (3)
  12. Verschlüsselungstrojaner "Windows Update" (Rechnung.zip) incl. Sperrung aller Dateien
    Log-Analyse und Auswertung - 31.05.2012 (3)
  13. Trojaner? Rechnung.exe geöffnet aus Email, Dateien nun locked
    Plagegeister aller Art und deren Bekämpfung - 30.04.2012 (12)
  14. Aufnahme in "zu entschlüsselnde User"-Liste (Realtecdriver.exe / locked-?.wxyz)
    Log-Analyse und Auswertung - 27.04.2012 (2)
  15. Wiederherstellung der verschlüsselten Dateien nach Trojan.Encoder
    Anleitungen, FAQs & Links - 25.04.2012 (1)
  16. .exe-Dateien + Task-Manager öffnen nicht, Sys-Wiederherstellung klappt nicht
    Log-Analyse und Auswertung - 11.05.2011 (3)
  17. Erpressung mit verschlüsselten Dateien
    Plagegeister aller Art und deren Bekämpfung - 07.12.2010 (1)

Zum Thema Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) - Hallöchen. Habe auf der Seite (Wiederherstellung der verschlüsselten Dateien nach Trojan.Encoder) alles so gemacht und läuft auch durch, allerdings werden keine Dateien Wiederhergestellt. hxxp://www.fotos-hochladen.net/uploads/unbenannt1swzporfc7.jpg Wie zu sehen, waren es mal - Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)...
Archiv
Du betrachtest: Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.