Hallo,
EMSI findet Name: Trojan-Dropper.Win32.Injector!E2 auf System-Platte \WINDOWS\system32\46B5A8FEB43FBC4C0C47.exe

WINDOWS\system32\wini.exe ist: Trojan.Win32.Bublik.AMN!E1

Die Winter.jpg aus dem Beispielordner von AllUsers mit 104 KB kann man umbenennen in rGTyvdepAufloN.jpg aber ich habe hier kein Glück, daß nur der Name der Datei verstümmelt wurde, Die Datei ist so erst ein mal unbrauchbar.

Gibt es schon ein Entschlüsselungsprogramm für Win32.Injector!E2 ???
Oder bewahrheitet sich die Befürchtung, daß es hier nicht mehr um Verschlüsselung geht, sondern um Zerstörung?

Wenn ich hier was finde, womit ich die eMail anhängen kann und die Zip-Datei mit hochladen kann, dann mach ich das jetzt.

Hoffe es hilft vielleicht doch Euch Korifähen einen Algorythmus zu finden.
MfG Croco

Hmm, mit dem Anhängen oder Hochladen hab ich gerade nichts gefunden, muß ich noch mal nachsehen, wie das gemacht werden sollte - Habs gefunden und an virus"at"trojaner-board.de gesendet als 7z-gepackt

Um die Entschlüsselung solltest du dich kümmern wenn der Rechner wieder frei von Schädlingen ist

Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Hallo Cosinus, danke, daß Du Dir die Zeit nimmst.
Hab den PC heute noch nicht bei mir. Aber mal für mich zum Verständnis:
1. Helfen Euch die LogFiles als Erkenntnisse über den Virenbefall und seine Spuren? z.B. um den Entschlüsselungs-Mechanismus zu bekommen?
2. Ich behandelte bisher immer einen Befall in der Art, daß ich die HDD ausbaue und an meinen Speziellen PC mit VirtualMachine hänge und von dort Scanne und bereinige . Davor habe ich eine Dockingstation und Clone die Festplatte auf eine zweite. Also ich meine, die zweite wird dann behandelt mit Scan und bereinigen.
Ihr schreibt immer nicht, ob die scanns unter einem anderen-sauberen Betriebssystem durchgeführt werden sollen, oder ob es das original eigene Betriebssystem sein soll. Es ist glaube ich z.B. nicht sinnvoll einen scan mit Combofix unter einem anderen Betriebssystem zu machen.

Jedenfalls werde ich auf jeden Fall, egal was kommt, den PC restlos neu aufsetzen und dann die entschlüsselten individuellen Dateien wieder dazupacken.(wenn die zu entschlüsseln gehen)
Weiterhin habe ich noch nicht klären können, ob Datensicherungen vorhanden sind, weil ich für meinen erkrankten Freund eingesprungen bin, (die betroffenen Chefs sich bei dem schönen Wetter verpissen), und dachte, ok 2 mal hab ich schon helfen können mit entschlüsseln, dann ist das 3 Sunden und eine Nacht für´n PC und gut is.
Hättet Ihr nun Nutzen von den Logs, oder ist das für meine arbeitsweise, der ich den PC sowieso neu aufsetze dann eher eine sinnlose Belästigung?

Wie gesagt: wenn die zu entschlüsseln gehen?
Es wurde doch in Forums-Beiträgen gemutmaßt, daß es durchaus sein kann, daß hier sinnloser Vandalismus betrieben wurde, weil die eMail darauf schließen ließe, daß gar kein Zahlungsempfänger existiert.
Ist das so, daß man bei diesen Befalls-eMails früher erkennen konnte, daß eine Bankverbindug da ist, und daher die Bezahlung Sinn machen würde und ein Entschlüsselungs-Code wohl wahrscheinlich existiert?

Ich schickte Euch ja die eMail samz Anhang, in der Hoffnung, hier zu allererst eine Beurteilung über Hoffnung und Schicksal-wegen-eigener-Dummheit abzuwägen.

Also gesetzt den Fall, da wurden einige VirenSchreibAbzocker gefangen und das System (die Masche) ist zusammengebrochen und beendet. Dann gibt es noch ein paar freie Freunde und die sagen dann, "OK- wenn Ihr uns den Geldhan zudreht, dann lassen wir euch auch bluten - jetzt wird einfach nur noch zerstört - basta!, wenn einer von uns ins Gras beißt, nimmt er mindestens Zehne mit, weniger ist keiner von uns nicht wert."
-- ja, so sprechen die, auch mit doppelter Verneinung und meinen es doch ernst --

MfG Croco

Zitat:

1. Helfen Euch die LogFiles als Erkenntnisse über den Virenbefall und seine Spuren? z.B. um den Entschlüsselungs-Mechanismus zu bekommen?

Siehe oben
Neue Varianten sollten per Mail eingeschickt werden, aus eigenem Interesse des Betroffenen damit man eine neue Verschlüsselung knacken kann

Zitat:

2. Ich behandelte bisher immer einen Befall in der Art, daß ich die HDD ausbaue und an meinen Speziellen PC mit VirtualMachine hänge

Davon rate ich Laien ab, zu kompliziert und aufwändig einem Laien das mit einer VM zu erklären und ohne VM wäre das Risiko für die 2. saubere Maschine zu groß
Außerdem haben wir auch andere Wege zB Live-Rescue-CDs wie OTLPE oder solche von verschiedenen Virenscanner-Herstellern oder gar sowas wie desinfec't

Zitat:

und von dort Scanne und bereinige .

Das ist u.U. eine schlechte Idee - vor einiger Zeit hatten wir Rootkits, die random eine sys-Datei innerhalb system32/drivers gepatcht hat. In dieser war dann logischerweise Schadcode. Wird die vom Live-System erkannt und gelöscht oder umbenannt, so bootet das installierte Windows nicht mehr
Grundsätzlich ist aber die Idee mit einer Rescue-Disc nicht schlecht

Zitat:

Ihr schreibt immer nicht, ob die scanns unter einem anderen-sauberen Betriebssystem durchgeführt werden sollen, oder ob es das original eigene Betriebssystem sein soll. Es ist glaube ich z.B. nicht sinnvoll einen scan mit Combofix unter einem anderen Betriebssystem zu machen.

Doch das geht aus der Anleitung hervor
Außerdem ist das sinnfrei bis kontraproduktiv ein sauberes System, das die Platte des verseuchten Rechners als reine Datenplatte angehängt hat, mit Combofix und OTL zu scannen. Solche Tools sind KEINE Virenscanner sondern Analysetools die Logs mit wichtigen Informationen erzeugen - diese tauchen dann logischerweise im sauberen System nicht auf! Wenn sieht man höchstens infizierte Dateien auf der Platte vom anderen Rechner

Zitat:

Wie gesagt: wenn die zu entschlüsseln gehen?

Geduld haben und hoffen, siehe obige Hinweise
Neue Verschlüsselungstrojaner werden gerade analysiert, an Lösungen wird gearbeitet
Und zudem muss man in Zukunft noch stärker auf Backups Hinweisen

Hallo noch mal,
Grundsatz-Aufklärung wird hier nicht betrieben, und meine Neben-Fragen also nicht beantwortet.
OK verständlich, wenn alle Zeit und Kraft darauf verwendet wird, die neuartige Verschlüsselung zu knacken.
Also bei meinem Patienten gibt es noch einige nicht-gesicherte Dateien, bei denen es schön wäre, wenn die entschlüsselt und wieder hergestellt werden könnten.
Da die Platte geclont ist, und mich eine Säuberung nicht sonderlich interessiert, bis auf die in Quarantäne gestellten Dateien, würde ich doch irgend wie in mitbekommen wollen, wenn es so weit ist, die Verschlüsselung des neuartigen befalls knacken zu können.
Dazu ist aber die Haupt-Seite "verschluesselungs-trojaner-tools-ubersicht.html" nicht sehr gut geeignet.
Ich konnte mitbekommen, daß die Zahl von 7 auf 8 Tools gestiegen ist.
Was fehlt ist: welche Art von Verschlüsselung mit welchem Tool behoben werden kann.
Also hinter jedem Tool ein paar Dateinamens-Beispiele
Wie es aber aussieht, scheint die Art Dateiname "rGTyvdepAufloN" noch nicht entschlüsselt zu werden?

MfG Croco

Zitat:

Grundsatz-Aufklärung wird hier nicht betrieben, und meine Neben-Fragen also nicht beantwortet.

Keine Ahnung wovon du da redest

Zitat:

Also bei meinem Patienten gibt es noch einige nicht-gesicherte Dateien, bei denen es schön wäre, wenn die entschlüsselt und wieder hergestellt werden könnten.

Soll ich es nochmal erklären?
Klar wäre es schön aber wenn es für die Variante noch kein Entschlüsselungstool gibt?
Im Prinzip hat jeder der kein Backup vorher gemacht hat selbst schuld. Datenverluste könnte auch durch versehentllich Lösung oder defekte Festplatten aufreten

Zitat:

Wie es aber aussieht, scheint die Art Dateiname "rGTyvdepAufloN" noch nicht entschlüsselt zu werden?

Die ist klar, dass das random Zeichenfolgen sind?

Danke Cosinus, und Entschuldigung.
Deine doch gute Grundsatz-Aufklärung vom 24.5.2012 hatte ich nicht mitbekommen, keine Ahnung wie mir das passiert ist.

Ansonsten, klar, warten wegen der neueren Verschlüsselung, wo der Dateiname nicht locked.Dateiname.xyz sondern in der markant anderen Form, z.B. "rGTyvdepAufloN" ohne DateiNamensErweiterung erscheint.

Wünsche Euch viel Kraft und Erfolg
Gruß Croco