Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: gvu trojaner meets truecrypt platte

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 29.06.2013, 10:54   #1
Nighthawk93
 
gvu trojaner meets truecrypt platte - Standard

gvu trojaner meets truecrypt platte



Guten Tag Community,

eure Ratschlaege hab mir in den vergangenen Jahren sehr gute Dienste erwiese doch jetzt bin ich hier da ich mit meinem aktuellen Problem nicht zurecht komme in diesem Sinne Hallo.

Zu meinem Problem : Ich habe eine mit Truecrypt verschluesselte Partition(win7 32bit). Passwort ist mir natuerlich bekannt jedoch habe ich mir gestern den aggresivsten aller GVU Trojaner eingefangen.Dh die abgesicherten Modis sind deaktiviert und auch kein erzwungenes aufhaengen des Systems das dazu fuehrt das der Rat beendet wird ist moeglich. Erschwerend kommt hinzu das meine Platte mit Truecrypt gecryptet ist.
Dh Programme wie kickstart oder windowsunlocker starten zwar aber nur bis zu dem Punkt wo TC ins Spiel kommt und keinen Zugriff auf win zulaesst. Backups hab ich natuerlich immer mal wieder gemacht nur das Problem ist Aktuell das mein letztes 3. Wochen alt ist und ich in der Zeit wichtige Dokumente erstellt habe-.-
Ich hoffe euch reizt es dieses Problem mit mir anzugehn. Defakto ist mir klar zuerst die TC verschluesselung eeg muss bevor die Tools richtig arbeiten koennen.

Mfg Nighthawk93

Alt 29.06.2013, 10:57   #2
schrauber
/// the machine
/// TB-Ausbilder
 

gvu trojaner meets truecrypt platte - Standard

gvu trojaner meets truecrypt platte



Hi,



Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)
Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)
  • Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit
  • Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
  • Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:
Über den Boot Manager:
  • Starte den Rechner neu.
  • Während dem Hochfahren drücke mehrmals die F8 Taste
  • Wähle nun Computer reparieren.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Mit Windows CD/DVD (auch bei Windows 8 möglich):
  • Lege die Windows CD in dein Laufwerk.
  • Starte den Rechner neu und starte von der CD.
  • Wähle die Spracheinstellungen und klicke "Weiter".
  • Klicke auf Computerreparaturoptionen !
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Wähle in den Reparaturoptionen: Eingabeaufforderung
  • Gib nun bitte notepad ein und drücke Enter.
  • Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
    Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
  • Schließe Notepad wieder
  • Gib nun bitte folgenden Befehl ein.
    e:\frst.exe bzw. e:\frst64.exe
    Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
  • Akzeptiere den Disclaimer mit Yes und klicke Scan
Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).
__________________

__________________

Alt 29.06.2013, 11:18   #3
Nighthawk93
 
gvu trojaner meets truecrypt platte - Standard

gvu trojaner meets truecrypt platte



Fettes Danke schonmal. Folgendes hat der Scan ergeben:

FRST Logfile:

FRST Logfile:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 29-06-2013
Ran by SYSTEM on 29-06-2013 12:16:03
Running from F:\
WIN_7 (X86) OS Language: German Standard
Boot Mode: Recovery
Attention: Could not load system hive.
Attention: System hive is missing.

==================== Registry (Whitelisted) ==================

Attention: Software hive is missing.

ATTENTION: Software hive is not loaded.

BootExecute: 

========================== Services (Whitelisted) =================


==================== Drivers (Whitelisted) ====================


==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========


==================== One Month Modified Files and Folders ========


==================== Known DLLs (Whitelisted) ============


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe IS MISSING <==== ATTENTION!.
C:\Windows\System32\winlogon.exe IS MISSING <==== ATTENTION!.
C:\Windows\System32\svchost.exe IS MISSING <==== ATTENTION!.
C:\Windows\System32\services.exe IS MISSING <==== ATTENTION!.
C:\Windows\System32\User32.dll IS MISSING <==== ATTENTION!.
C:\Windows\System32\userinit.exe IS MISSING <==== ATTENTION!.
C:\Windows\System32\Drivers\volsnap.sys IS MISSING <==== ATTENTION!.
C:\Windows\system32\codeintegrity\Bootcat.cache IS MISSING <==== ATTENTION!.
C:\Windows\System32\winsrv.dll IS MISSING <==== ATTENTION!.

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: <===== ATTENTION!
HKLM\...\exefile\DefaultIcon:  <===== ATTENTION!
HKLM\...\exefile\open\command:  <===== ATTENTION!

==================== Restore Points  =========================


==================== Memory info =========================== 

Percentage of memory in use: 13%
Total physical RAM: 3062.68 MB
Available physical RAM: 2660.11 MB
Total Pagefile: 3058.89 MB
Available Pagefile: 2652.32 MB
Total Virtual: 2047.88 MB
Available Virtual: 1910.17 MB

==================== Drives ================================

Drive f: (HITMANPRO) (Removable) (Total:3.81 GB) (Free:3.81 GB) FAT32
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: (System-reserviert) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[System with boot components (obtained from reading drive)]

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (Size: 1863 GB) (Disk ID: A962CC0C)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=-198731366400) - (Type=07 NTFS)

========================================================
Disk: 1 (Size: 4 GB) (Disk ID: 42D33A7F)
Partition 1: (Active) - (Size=4 GB) - (Type=0B)

==================== End Of Log ============================
         
--- --- ---

--- --- ---
__________________

Alt 29.06.2013, 12:11   #4
schrauber
/// the machine
/// TB-Ausbilder
 

gvu trojaner meets truecrypt platte - Standard

gvu trojaner meets truecrypt platte



Nice...

Kannste TC von aussen irgendwie abschalten?
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 29.06.2013, 12:27   #5
Nighthawk93
 
gvu trojaner meets truecrypt platte - Standard

gvu trojaner meets truecrypt platte



Das ist ja das spaßige an der ganzen Sache, ich hab bis jetzt keinen Weg gefunden an TC vorbei dh mein aktueller Ansatz ist da ich ja das PW weiß evtl über einen parallele Ubuntu partition die andere zu entschlüsseln. Allerdings bin ich noch nich sonderlich fit was Linux+Tc angeht. Über hilfe wäre ich dankbar

Edit: Also folgendes so wies aussieht muss ich jetzt unter Linux (Ubuntu) TC installieren und kann dann die Platte mounten jedoch nicht entschlüsseln. Dh ich hab WARSCHEINLICH(nicht sicher) lese jedoch keine schreib Rechte somit könnte ich alle Daten Retten wenns den klappt. Gibts ne möglichkeit trz noch ansatzweise das System zu retten oder ist das unmöglich ? Das ich das System in den nächsten Tagen platt machen muss, ist mir bewusst jedoch wäre es ganz geil wenn es noch paar Tage gehn würde da ichs da brauche.

Ich hab Zugriff auf die Windows Reperatur Konsole koennt ich darueber irgendwie ein Programm einschleusen was spaeter wie der Gvu startet und ihn beseitigt ?HitmanPro braucht leider internet :/


Geändert von Nighthawk93 (29.06.2013 um 12:49 Uhr)

Alt 29.06.2013, 15:02   #6
schrauber
/// the machine
/// TB-Ausbilder
 

gvu trojaner meets truecrypt platte - Standard

gvu trojaner meets truecrypt platte



FRST liest ja eben aus der REcovery auch nur Müll aus.

Kannst Du Regedit und WIndows Explorer aus der Recovery starten?
__________________
--> gvu trojaner meets truecrypt platte

Alt 29.06.2013, 15:18   #7
Nighthawk93
 
gvu trojaner meets truecrypt platte - Standard

gvu trojaner meets truecrypt platte



Regedit laeuft, explorer.exe find ich nicht waere jedoch moeglich das ich es runterlad und es ueber den usb stick draufzieh und starte..Wie wuerde dir das helfen ?

Alt 29.06.2013, 18:59   #8
schrauber
/// the machine
/// TB-Ausbilder
 

gvu trojaner meets truecrypt platte - Standard

gvu trojaner meets truecrypt platte



Wie fit biste am PC und Regedit?
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 30.06.2013, 11:51   #9
Nighthawk93
 
gvu trojaner meets truecrypt platte - Standard

gvu trojaner meets truecrypt platte



Hmmm wie fit sagen wir ich kann zmd alles oeffnen tieferes wissen ueber schad hafte eintraege usw hab ich nicht. Hab schon gegoogelt welche eintraege dieser gvu erstellt allerdings nichts brauchbares gefunden :/

Alt 30.06.2013, 14:37   #10
schrauber
/// the machine
/// TB-Ausbilder
 

gvu trojaner meets truecrypt platte - Standard

gvu trojaner meets truecrypt platte



Navigier mal nach C:\Programdata, dir /p zum Anzeigen des Inhalts, lösche alle Exe-Dateien die komisch aussehen bzw deren Namen Random(zufällig generiert) ist.

Gleiches Spiel mit Dein Useraccount\AppData und AppData\Roaming

Notier dir welche dateien du löschst und schreib es mir hier, dann gehen wir in die Registry.
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 30.06.2013, 20:06   #11
Nighthawk93
 
gvu trojaner meets truecrypt platte - Standard

gvu trojaner meets truecrypt platte



So alles abgesucht leider keine daten gefunden die sonderlich auffaellig sind:/ gibts trz einen ansatz fuer die registry ?

Alt 30.06.2013, 21:10   #12
schrauber
/// the machine
/// TB-Ausbilder
 

gvu trojaner meets truecrypt platte - Standard

gvu trojaner meets truecrypt platte



start menu\programs\startup

dort auch nosch schauen, in deinem Benutzerprofil. irgendwas mit.dat oder LNK (aber klein geschrieben, also lnk)
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 30.06.2013, 21:44   #13
Nighthawk93
 
gvu trojaner meets truecrypt platte - Standard

gvu trojaner meets truecrypt platte



Konnte leider nix loeschen....sah fuer mich alles regulaer und in ordnung aus.. hmm :/ haette auch lieber was geloescht scheint wohl als staende es schlecht um das system.

Alt 01.07.2013, 08:12   #14
schrauber
/// the machine
/// TB-Ausbilder
 

gvu trojaner meets truecrypt platte - Standard

gvu trojaner meets truecrypt platte



Sieht so aus. Truecrypt is halt scheisse in so einem Moment.

Du kannst noch ne Reg-Suche machen nach lnk Dateien, dat-dateien und pad-Dateien.
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 01.07.2013, 20:34   #15
Nighthawk93
 
gvu trojaner meets truecrypt platte - Standard

gvu trojaner meets truecrypt platte



Ja eigt sollte es mich schützen und jetzt sowas... ironie des Schicksals würd ich mal sagen Im mom beschäftige ich mich stark mit der Datenrettung in Verbindung mit Linux und Truecrypt... macht zicken ohne ende -.-

Antwort

Themen zu gvu trojaner meets truecrypt platte
abgesicherten, aktuelle, arbeiten, beendet, deaktiviert, dienste, dokumente, erstellt, guten, gvu trojaner truecrypt, jahre, passwort, platte, problem, programme, richtig, spiel, starten, tools, trojaner, wichtige, win, win7, woche, wochen, zugriff



Ähnliche Themen: gvu trojaner meets truecrypt platte


  1. C Platte wird immer voller, auch wenn ich was lösche! (Trojaner,Virus????)
    Plagegeister aller Art und deren Bekämpfung - 24.07.2015 (10)
  2. Telekom Rechnung mit .exe nito.a Trojaner(?) auf Truecrypt verschlüsseltem Drive
    Log-Analyse und Auswertung - 28.02.2015 (11)
  3. Veracrypt als Nachfolger von TrueCrypt
    Überwachung, Datenschutz und Spam - 05.01.2015 (1)
  4. probleme mit Truecrypt
    Alles rund um Windows - 26.06.2014 (1)
  5. Probleme mit TrueCrypt
    Überwachung, Datenschutz und Spam - 05.04.2014 (17)
  6. Truecrypt Ja oder Nein
    Antiviren-, Firewall- und andere Schutzprogramme - 22.02.2014 (47)
  7. Truecrypt problem
    Alles rund um Windows - 02.12.2013 (1)
  8. Nach Neuinstallation des OS: Wie externe Platte auf Trojaner prüfen?
    Plagegeister aller Art und deren Bekämpfung - 30.11.2012 (1)
  9. Wie kommt der Ucash Trojaner auf die Platte
    Diskussionsforum - 15.09.2012 (11)
  10. Verschlüsselungs-Trojaner auf Win 7 mit verschwundenen Daten auf externer Platte
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (7)
  11. 20TAN-Trojaner auf externer Platte
    Plagegeister aller Art und deren Bekämpfung - 14.12.2010 (9)
  12. TrueCrypt 6.3 veröffentlicht
    Nachrichten - 22.10.2009 (0)
  13. Kaspersky geht nicht! Trojaner auf der Platte!!
    Plagegeister aller Art und deren Bekämpfung - 10.09.2009 (21)
  14. truecrypt schlüssel...wofür?
    Alles rund um Windows - 11.10.2008 (4)
  15. Rootkit bzw. Trojaner noch auf der Platte?
    Log-Analyse und Auswertung - 08.01.2008 (6)
  16. Hilfe: Trojaner ohne Ende auf der Platte
    Plagegeister aller Art und deren Bekämpfung - 23.01.2005 (6)
  17. ISDN Meets Fastpath ????
    Netzwerk und Hardware - 03.12.2004 (2)

Zum Thema gvu trojaner meets truecrypt platte - Guten Tag Community, eure Ratschlaege hab mir in den vergangenen Jahren sehr gute Dienste erwiese doch jetzt bin ich hier da ich mit meinem aktuellen Problem nicht zurecht komme in - gvu trojaner meets truecrypt platte...
Archiv
Du betrachtest: gvu trojaner meets truecrypt platte auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.