|
Log-Analyse und Auswertung: BKA Trojaner / Entschlüsselung privater Dateien bisher erfolglosWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
12.06.2012, 10:58 | #1 |
| BKA Trojaner / Entschlüsselung privater Dateien bisher erfolglos Hallo, lieder hat meine Frau eine dubiose Email geöffnet (gefakt von Flirt Fever mit einer Mahung) woraufin sich der BKA Trojaner auf meinem Rechner ausgebreitet hat bzw. sämtliche private Dateien verschlüsselt hat. Angeblich hat sie dabei den Anhang der Mail nicht geöffnet. In der Windows-Download-Liste war die Datei allerdings aufgeführt. Dank Eurer Beiträge konnte ich die Sperre umgehen und auch den Trojaner los werden. Auch ein Scan vom ESET-Online Scanner zeigt keinen Befall mehr an. Leider habe ich nicht von allen privaten Daten Backups und muss hier unbedingt zu einer Wiederherstellung kommen. Die von Euch angeprisenen Entschlüsselungsprogramme (hab alle versucht) konnten keinen Schlüssel erkennen. Im Gegensatz zu anderen Betroffenen kann ich auch nicht erkennen, dass die Dateien zwangsläufig verschlüsselt sind. Andere beschrieben, dass bei den Dateien auch ein Vermerk "locked" zu erkennen ist. Das ist bei mir - glaube ich zumindest - nicht der Fall. Die Files heißen nun z.B. tyEGfUqdxtLsjEo ohne z.B. .jpg und haben immer noch die gleiche Größe wie zuvor. Die Email hat meine Frau noch, die kann ich Euch gern weiterleiten. Ich habe auch Dateien vor und nach der Verschlüsselung mit denen ich die Entschlüsselung bereits versucht habe. Vielen Dank für Eure Hilfe vorab. Anbei das Log von Malwarebytes: Malwarebytes Anti-Malware (Test) 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.06.08.02 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 8.0.7601.17514 Jan :: JAN-PC [Administrator] Schutz: Aktiviert 08.06.2012 12:29:23 mbam-log-2012-06-08 (12-29-23).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 421019 Laufzeit: 52 Minute(n), 32 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 2 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|30DABD87 (Backdoor.Bot.LameNova) -> Daten: C:\Users\Jan\AppData\Roaming\Wbibslf\F9FD24B730DABD871487.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 2 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 5 C:\Users\Jan\AppData\Roaming\Wbibslf\F9FD24B730DABD871487.exe (Backdoor.Bot.LameNova) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\$Recycle.Bin\S-1-5-21-3550453765-2568194808-2432561980-1000\$R05CE9X.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\install\Windows XP KeyGen\XPKey.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Jan\AppData\Local\Temp\aszbnxlpfc.pre (Backdoor.Bot.LameNova) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Jan\Downloads\DecryptHelper-0.5.3.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) anbei eine Datei im Original sowie die verschlüsselte Variante |
13.06.2012, 22:45 | #2 |
/// Helfer-Team | BKA Trojaner / Entschlüsselung privater Dateien bisher erfolglos Hallo und Herzlich Willkommen!
__________________Die einzige Chance deine Daten wiederherzustellen: (Während der Aktion den Rechner vom Internet und Netzwerk trennen!) -> Daten wiederherstellen mit ShadowExplorer kann ich Dir nur viel Glück wünschen auf jeden Fall melde dich und berichte ob es Dir gelingen ist die Daten wieder herzustellen? gruß kira
__________________ |
15.06.2012, 10:55 | #3 |
| BKA Trojaner / Entschlüsselung privater Dateien bisher erfolglos Hallo Kira,
__________________vielen Dank für Deine Hilfe, der Shadow Explorer funktioniert wunderbar und ist sogar kinderleicht zu bedienen. Gestern konnte ich bereits einen Großteil meiner Daten wieder herstellen. Ich gehe mal davon aus, dass es bei den restlichen Daten ebenfalls so gut funktioniert. VG Jan |
15.06.2012, 12:11 | #4 | |
/// Helfer-Team | BKA Trojaner / Entschlüsselung privater Dateien bisher erfolglos auf jeden Fall wenn Du alles erledigt bzw die Daten entschlüsselt hast: 1. damit das nochmal nicht passiert, wie vermeide ich Datenverlust: ► Da sieht man wieder einmal wie wichtig ist, um die regelmäßige Sicherung (wichtigen Daten) zu kümmern Denk daran: dein Hauptsystem ist doch kein Lagerhalle! Wichtige Daten Regelmäßig sichern, am besten 2x an verschiedenen Orten! - Externe Geräte (Festplatte USB-Stick etc) nicht ständig am PC anschließen, sondern nur kurzfristig während Du etwas sichern möchtest E-Mail-Anhang - Öffne keine E-Mail-Anhänge (Attachments), wenn du den Absender nicht kennst! -> Links und Anhang nicht anklicken,, Mails als Text oder in Druckversion anzeigen lassen. Mailprogramm grundsätzlich so einstellen - Vorsicht mit den schon vorhandenen Dateien auf die extern gespeicherten Daten und auch jetzt mit dem Virus infizierte Dateien eine Datensicherung anzufertigen - Am besten alles was dir sehr wichtig, separat (extern) sichern - nicht mischen eventuell früher geschicherten Daten, also vor dem Befall! - Eventuell gecrackte Software nicht sichern und dann auf neu aufgesetztem System wieder drauf installieren! 2. - Vor zurückspielen - bevor du mit deinem PC direkt ins Netz gehst...: - die Autoplay-Funktion für alle Laufwerke deaktivieren/ausschalten -> Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten Die auf eine externe Festplatte gesicherten Daten, gründlich zu scannen von einem suaberen System aus, am besten mit mehreren Scannern-> Kostenlose Online Scanner - Anleitung Absolut empfehlenswerter Scanner: Zitat:
-> Anleitung: Neuaufsetzen des Systems + Absicherung -> Anleitung zum Neuaufsetzen - Windows XP, Vista und Win7 4. Ich würde Dir vorsichtshalber raten, dein Passwort zu ändern z.B. Login-, Mail- oder Website-Passwörter Tipps: Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern) auch noch hier unter: Sicheres Kennwort (Password)
__________________ Warnung!: Vorsicht beim Rechnungen per Email mit ZIP-Datei als Anhang! Kann mit einen Verschlüsselungs-Trojaner infiziert sein! Anhang nicht öffnen, in unserem Forum erst nachfragen! Sichere regelmäßig deine Daten, auf CD/DVD, USB-Sticks oder externe Festplatten, am besten 2x an verschiedenen Orten! Bitte diese Warnung weitergeben, wo Du nur kannst! |
Themen zu BKA Trojaner / Entschlüsselung privater Dateien bisher erfolglos |
80-100, administrator, anti-malware, appdata, autostart, backdoor.bot.lamenova, dateien, dateisystem, email, eset-online, explorer, gelöscht, heuristiks/extra, heuristiks/shuriken, keygen, log, malwarebytes, microsoft, nicht geöffnet., rechner, recycle.bin, roaming, scan, software, speicher, trojan.fakealert, trojaner, unbedingt, verschlüsselung, windows xp |