Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Verschlüsselungstrojaner, alle Dateien "locked" Verfahrensweise?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 05.06.2012, 13:16   #1
Praderma
 
Verschlüsselungstrojaner, alle Dateien "locked" Verfahrensweise? - Standard

Verschlüsselungstrojaner, alle Dateien "locked" Verfahrensweise?



Hallo Zusammen,

ich bin schon einmal auf dieses Forum gestoßen und konnte mir Hilfe erlesen.
Jetzt hab ich allerdings ein Problem und wurde so zum registrierten Benutzer.

Ich hab gerade eben einen Systemproblem bekommen mit einem vermutlichen Trojaner und habe versucht ihn zu beseitigen, so wie es demletzt auch funktioniert hat.
Nachdem "Malwarebytes" abgeschlossen war, hab ich die Dateien gelöscht und danach gesehen, dass sämtliche Dateien ge"locked" sind.

Darauf hab ich mich hier noch einmal umgesehen und nach Tipps gesucht, komme aber nun nicht mehr weiter. Habe gelesen, dass ich die Dateien, nicht hätte löschen sollen und habe jetzt Angst, dass alles verloren ist.

"Malewarebytes" läuft nun gerade im Intensivmodus und ich hoffe, dass ihr mir helfen könnt um die Dateien wieder zu entschlüsseln und den Trojaner komplett zu beseitigen.

Bis hierhin erstmal.

Gruß

Philipp

Alt 05.06.2012, 20:18   #2
markusg
/// Malware-holic
 
Verschlüsselungstrojaner, alle Dateien "locked" Verfahrensweise? - Standard

Verschlüsselungstrojaner, alle Dateien "locked" Verfahrensweise?



hi, poste beide Malwarebytes logs.
sind die dateien nach diesem chema benannt.
locked.name.endung.vierer zufalls endung?
dann hilft das hier:
http://www.trojaner-board.de/114548-...e-dateien.html
für die zukunft:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.
__________________

__________________

Alt 06.06.2012, 00:56   #3
Praderma
 
Verschlüsselungstrojaner, alle Dateien "locked" Verfahrensweise? - Standard

Verschlüsselungstrojaner, alle Dateien "locked" Verfahrensweise?



Hey,

also das ist ja super.
Nachdem ich mich ein wenig belesen habe, hab ich erstmal angefangen mit dem DecryptHelper. Ein Dateienpäärchen war schnell gefunden und mit nur wenigen Ausnahmen konnte ich schon viel Dateien wieder herstellen.
Als ich dann heute Abend deinen Hinweis mit dem scareuncrypt-Programm gelesen habe, habe ich dieses Programm verwendet um den Rest zu entschlüsseln.
Es ist grade in den letzten Zügen und ich bin vollends begeistert.
Wenn die Entschlüsselung abgeschlossen ist, lass ich Malewarebytes nochmal im Intensivmodus laufen und schaue ob noch irgendwo etwas sitzt.


Zum Anfang der Geschichte kann ich aber auch sagen, dass es bei mir keine Mail war, die ich geöffnet habe. Der Rechner ist grad hochgefahren, die Datenverbindung mit dem Internet baute sich auf und schon war alles kaputt. Ich weiß also nicht wo der Trojaner bei mir gesessen hat und wie ich ihn bekommen habe.

Es ist alles bereinigt Super Sache hier. Vielen Dank
Im Anschluss noch die beiden LogDateien.
Die erste ist von dem Moment als ich merkte, dass ich infiziert bin.
Die zweite ist von dem Moment, nachdem der Entschlüsselungsprozess beendet war.


PHP-Code:
Malwarebytes Anti-Malware (Test1.61.0.1400
www
.malwarebytes.org

Datenbank Version
v2012.05.24.01

Windows Vista Service Pack 2 x86 NTFS 
(Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Rade 
:: RADE-PC [Administrator]

SchutzDeaktiviert

05.06.2012 13
:24:52
mbam
-log-2012-06-05 (13-24-52).txt

Art des Suchlaufs
Quick-Scan
Aktivierte Suchlaufeinstellungen
Speicher Autostart Registrierung Dateisystem Heuristiks/Extra HeuristiKs/Shuriken PUP PUM
Deaktivierte Suchlaufeinstellungen
P2P
Durchsuchte Objekte
205563
Laufzeit
7 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte1
HKCU
\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|DC401644 (Trojan.Agent.RNSGen) -> DatenC:\Users\Rade\AppData\Roaming\Mkpwm\61A6B012DC4016446B4A.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien1
C
:\Users\Rade\AppData\Roaming\Mkpwm\61A6B012DC4016446B4A.exe (Trojan.Agent.RNSGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(
Ende


PHP-Code:
Malwarebytes Anti-Malware 1.61.0.1400
www
.malwarebytes.org

Datenbank Version
v2012.06.05.04

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Rade 
:: RADE-PC [Administrator]

06.06.2012 03:26:25
mbam
-log-2012-06-06 (03-26-25).txt

Art des Suchlaufs
Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen
Speicher Autostart Registrierung Dateisystem Heuristiks/Extra HeuristiKs/Shuriken PUP PUM
Deaktivierte Suchlaufeinstellungen
P2P
Durchsuchte Objekte
385284
Laufzeit
2 Stunde(n), 14 Minute(n), 31 Sekunde(n)

Infizierte Speicherprozesse0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien2
C
:\Users\Rade\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44\7a0e3f2c-16656ba0 (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Rade\Downloads\DecryptHelper-0.5.3.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(
Ende
__________________

Alt 07.06.2012, 18:50   #4
markusg
/// Malware-holic
 
Verschlüsselungstrojaner, alle Dateien "locked" Verfahrensweise? - Standard

Verschlüsselungstrojaner, alle Dateien "locked" Verfahrensweise?



hi,
die dateien lassen sich auch öffnen?
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 07.06.2012, 20:39   #5
Praderma
 
Verschlüsselungstrojaner, alle Dateien "locked" Verfahrensweise? - Standard

Verschlüsselungstrojaner, alle Dateien "locked" Verfahrensweise?



Hey,
ja, alle Dateien lassen sich wieder öffnen und es funktioniert augenscheinlich wieder alles.

Was hat es mit dem Combofix auf sich? Soll ich es trotzdem noch übers System laufen lassen?

Gruß Philipp


Antwort

Themen zu Verschlüsselungstrojaner, alle Dateien "locked" Verfahrensweise?
beseitigen, dateien, dateien gelöscht, entschlüsseln, forum, funktioniert, gelöscht, gesuch, gesucht, hallo zusammen, hoffe, komplett, löschen, malwarebytes, nicht mehr, problem, registrierte, schlüsseln, systemproblem, sämtliche, tipps, trojaner, verloren, vermutliche, versucht, zusammen




Ähnliche Themen: Verschlüsselungstrojaner, alle Dateien "locked" Verfahrensweise?


  1. Reparaturanleitungen für Dateien vom Verschlüsselungstrojaner "12 kB / neue Version"
    Diskussionsforum - 15.05.2017 (193)
  2. "Deutsche Post(eMail-Anhang)" Alle "EXE(Programme)" werden blockiert "WIN 7 Defender"
    Plagegeister aller Art und deren Bekämpfung - 27.12.2012 (3)
  3. "The document has moved. Redirecting"+"Popup unten rechts"+"Nicht alle Links anklickbar"
    Plagegeister aller Art und deren Bekämpfung - 24.10.2012 (38)
  4. wie "Locked" dateien entschlüsseln?
    Plagegeister aller Art und deren Bekämpfung - 10.07.2012 (1)
  5. Alle Dateien versteckt - Befall mit "trojan.fasagent" und "PUM.Hijack.StartMenu"
    Log-Analyse und Auswertung - 09.07.2012 (29)
  6. Entschlüsseln von Dateien die nicht "locked" im Namen haben
    Plagegeister aller Art und deren Bekämpfung - 29.06.2012 (1)
  7. Verschlüsselungstrojaner ohne "locked"
    Plagegeister aller Art und deren Bekämpfung - 20.06.2012 (2)
  8. Verschlüsselungstrojaner ohne "Locked"/ Dateien verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 15.06.2012 (1)
  9. Dateien bleiben Verschlüsselt "Windows Update Verschlüsselungstrojaner"
    Plagegeister aller Art und deren Bekämpfung - 14.06.2012 (1)
  10. Pay-/Verschlüsselungs-Trojaner -- Ohne "locked" Dateien ?
    Plagegeister aller Art und deren Bekämpfung - 12.06.2012 (1)
  11. UKash - Dateien verschlüsselt, aber NICHT "locked" oder wirre Namen
    Plagegeister aller Art und deren Bekämpfung - 07.06.2012 (3)
  12. Verschlüsselungstrojaner "Windows Update" (Rechnung.zip) incl. Sperrung aller Dateien
    Log-Analyse und Auswertung - 31.05.2012 (3)
  13. Verschlüsselungstrojaner hat zugeschlagen - Dateien sind ohne "Lock" Bezeichnung
    Plagegeister aller Art und deren Bekämpfung - 30.05.2012 (1)
  14. Verschlüsselungstrojaner - ohne "locked" - im Dateinamen
    Log-Analyse und Auswertung - 24.05.2012 (2)
  15. locked-Dateien - Verschlüsselungstrojaner?
    Log-Analyse und Auswertung - 03.05.2012 (1)
  16. Dateien nicht "locked--" sondern QWCiPhErEd
    Diskussionsforum - 01.05.2012 (3)
  17. Alle Dateien weg, "windows - delayed write failed" usw.
    Log-Analyse und Auswertung - 06.11.2011 (3)

Zum Thema Verschlüsselungstrojaner, alle Dateien "locked" Verfahrensweise? - Hallo Zusammen, ich bin schon einmal auf dieses Forum gestoßen und konnte mir Hilfe erlesen. Jetzt hab ich allerdings ein Problem und wurde so zum registrierten Benutzer. Ich hab gerade - Verschlüsselungstrojaner, alle Dateien "locked" Verfahrensweise?...
Archiv
Du betrachtest: Verschlüsselungstrojaner, alle Dateien "locked" Verfahrensweise? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.