Wie angeraten mache ich mal ein neues Thema auf. Zitate der beiden anderen Posts haenge ich mal dran.

Zitat:

Zitat von Xynthia

Hallo zuammen,

ich hoffe das ich mit meiner Frage hier richtig bin und diese nicht schon zigmal beantwortet wurde. Ansonsten schonmal grosses Sorry.

Also ich habe mir auch diesen 'tollen' Verschluesslungstrojaner eingefangen, was mich dabei allerdings wundert, ich habe keine fremde Mail geoeffnet. Die einzigen Anhaenge bei Mails, die ich bekommen habe, waren die mir bekannter Versandhaeuser (wo ich auch wirklich was bestellt hatte) und am Freitag ein openoffice-Dokument, auch einer mir bekannten Firma. Ich hab also keine Ahnung woher ich mir den Trojaner gefangen habe.

Aber nun zu meiner eigentlichen Frage:

Das Dateien, die mit einer Gross-Kleinbuchstabenkombi verschuesselt sind, noch nicht wieder entschluesselt werden koennen habe ich rausgelesen. Da reicht es also wenn ich die auf der FP lasse und die Zeit abwarte und darauf hoffe, dass es iwann eine Loesung gibt?

Bei den anderen Dateien, steht der richtigte Dateiname da, aber halt Erstelldatum vom 13.02.1601. Wenn ich diese Bilder nun mittels eine Unlockprogramms wieder herstellen will, reicht es da aus, ein Bild zu haben um fuer saemtliche Ordner die Bilder wiederzubekommen oder muss aus jedem Bilderordner ein Bild vorhanden sein? Und reicht es aus, wenn ich eines der Originalbilder, die ich per ftp-Server hochgeladen hatte fuer eine Webseite, wieder zurueckhole und es damit versuche? Der Name waere ja dann gleich. Auch die Groesse usw. stimmen, da das Bild vor dem Hochladen nicht bearbeitet wurde.

Vielen Dank schonmal fuer eure Antworten.

Zitat:

Zitat von Undertaker

Hallo Xynthia,
das ist das zweite mal, dass ich von einer Infektion, ohne bewusstes Ausführen einer Datei als Mailanhang, höre.
Es wäre sehr interessant, den Infektionsweg zu ergründen.
Du hast nichts dazu gesagt, ob der Ucash-Screen angezeigt wurde und ob Du etwas gegen den Trojaner getan hast.
Ich gehe erstmal davon aus, dass der Trojaner noch auf Deinem System ist.
Zuerst sollte also der Rechner gesäubert werden.
Gehe also zuerst nach dem im Punkt 1, ganz oben unter Hinweise, vor.
Lade Malwarebytes runter und scanne das System.
Noch nichts löschen, nur in Quarantäne schicken.
Dann starte ein eigenes Thema, wie oben beschrieben.

Zu Deinen verschlüsselten Dateien:
Deiner Beschreibung nach, handelt es sich um eine 12k-Verschlüsselung.
Originaldateien in Verbindung mit der dazugehörigen verschlüsselten Datei bringen nichts.
Die daraus generierten Schlüssel sind anders codiert und nur 3kB groß.
Zur Datenwiederherstellung lese die Möglichkeiten, die unter Punkt 3 verlinkt sind.

http://www.trojaner-board.de/116851-...strojaner.html

Selbstverständlich kannst Du die Dateien auch sichern und auf ein Tool der Entschlüsselung hoffen.

Volker

Hallo Volker,

erstmal danke fuer deine schnelle Antwort.

Malwarebytes hatte ich ausgefuehrt und den Trojaner auch in Quarantaene gesteckt.
Da ich nur momentan von einem anderen Rechner aus schreibe, habe ich gerade keinen Zugriff auf die Logdatei. Diese reiche ich allerdings sofort nach dann.

Um vllt. zu helfen den Infektionsweg zu finden, kann ich ja mal kurz beschreiben, was ich gerade gemacht als er aufgetreten ist.

Wie schon oben gesagt, die einzige Mail mit Anhang an diesem Tag war ein OpenOffice-Dokument. Das liess sich auch ganz normal oeffnen, ohne das ich iwelche Anzeichen eines Schaedlings bemerkt habe. Ca. 2 Stunden spaeter hatte ich Google offen, weil ich nach einem Bild recheriert habe. Es war aber nur die Uebersichtsseite von Google, ohne das ich einen Link bereits angeklickt hatte. Und mittendrin dann auf einmal schwarzer Bildschirm und das bekannte Fenster von wegen Windows-Sicherheitstrojaner.

Ich hab den PC dann neu gebootet, er fuhr auch erst ganz normal hoch, Malwareprogramm gestartet und mittendrin ist das dann abgebrochen und wieder schwarzes Bild. Letzlich habe ich nun die Platte ausgebaut und wir konnten sie als Zweitplatte am Rechner eines Freundes (der auch weit mehr Ahnung von sowas hat als ich) anschliessen und haben darueber dann auch den Trojaner entfernen koennen. Edit: Was mir noch einfaellt in der Meldung von Malwarebytes stand was von TrojanClicker .

Das Tool, um jpg's wieder herzustellen, haben wir auch versucht zu nutzen. Allerdings bringt es leider keinen Erfolg, egal welche Bilder ich versuche zu entschluesseln. Auf Schattenkopien kann ich leider nicht zurueckgreifen, da ich noch XP als Betriebssystem habe und meine gelesen zu haben, das es dafuer nicht geht?

Darum war nun meine Hoffnung, wenn ich mit der Hilfe von Originalbildern einen Schluessel generieren koennte und so wenigstens einen Teil schonmal wieder herstellen koennte. Denn so wie ich es sehe, habe ich ja 2 verschiedenen Arten der Verschluesselung drauf, einmal dieses Buchstaben-Zahlen-Gemisch und halt die anderen, wo noch erkannt wird, das es ein.jpg ist und nur das Erstelldatum und kurioserweise das Datum der letzten Aenderung sich geaendert haben. Ich denke mal das Datum der letzten Aenderung bezieht sich dann auf den Moment wo der Trojaner eingegriffen hat und es verschluesselt hat.

Ohne die Logs von Malwarebytes und Co wird das hier nichts.
Alles von Malwarebytes (und evtl. anderen Scannern) muss hier gepostet werden.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log