Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: decrypt_instruction, cryptowall

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.08.2014, 00:58   #1
hopfenhöhle
 
decrypt_instruction, cryptowall - Standard

decrypt_instruction, cryptowall



Bitte um Hilfe!
Folgendes ist passiert:
Hab mit einem Kumpel geskyped(nebenbei war firefox geöffnet, facebook, google und wiki), dann hat er mir 3 bilder geschickt, während wir geskyped haben(über den chat). er ist fotograph, bilder hat er selbst gemacht. auf einmal ploppte ständig der flashruntimeupdater auf und andere adobe-meldungen, dann irgendein fenster, in dem auf einmal irgendwas von einem download einer xyz.mp4 datei stand. diese auch von irgendeinem merkwürdigen server, der nichts mit skype zu tun hatte.
hab alles immer ge-x-t, weil ich dacht, das hätte trotzdem irgendwie mit skype oder so zu tun, da ich es nur alle paar monate nutze, für besagten kumpel in östereich.
dann ging nichts mehr. hab versucht neuzustarten, dann flackerte der bildschirm paar mal schwarz und weiß. dann fuhr der laptop runter, wieder hoch, hat alles ewig gedauert.
dann hab ich eine fehlermeldung bekommen, das irgendeine "oyubokhelf.dat" nicht mehr funktioniert. hab bei msconfig dann noch mal versucht, sämtliche programme beim hochfahren zu deaktivieren (auch eine gewisse yrkitai.exe, whoami.exe, und irgendein fotostudio, was vorher glaub ich auch nicht drauf war, da ich sowas nicht benutze bzw bilder bearbeite)
hab während des skypens nicht gesurft, nur telefoniert. mein kumpel hatte keine probleme und nur jpeg-dateien verschickt. keine ahnung, was da grad passiert ist, aber eben ist dann der browser von allein aufgegangen und eine meldung von "cryptoWall" erschien, von wegen meine dateien seien jetzt alle mit einer rsa-2048 verschlüsselung "geschützt" worden und ich soll die seite xyz besuchen, blablabla. D:
trau mich weder das ding jetzt ans internet zu hängen, noch ihn auszuschalten, weil sich die dokumente noch öffnen lassen und ich nicht weiß was passiert, wenn ich ihn jetzt ausmache. hab schon mal von so`nem fiesen virus gelesen, bei dem alle verschlüsselten daten dann verloren sind.
sind sehr wichtige unterlagen vom studium, bilder, minecraft(ja ich weiß, trotzdem etliche stunden arbeit;P) usw drauf, die ich nicht verlieren will bzw sonst nicht wiederbekomme...hauptsächlich gehts mir eigentlich um die unterlagen vom studium!!

hab mir zwar auch die ersten 4 schritte durchgelesen, aber mein einziger usb-stick ist zur zeit mein mp3-player und man soll ja auch nicht einfach irgendwas nachmachen, egal was man hier dazu findet. hab jetzt angst, wenn ich den mp3-player ranhänge, um damit die progs für die ersten 4 schritte auf den lappy zu ziehen, das der dann eventuell auch gleich mit draufgeht, falls der lappy jetzt verloren ist.

ach ja, in fast jedem ordner stecken jetzt 3 Decrypt_instruction-datein!

hoffe das irgendjemand so nett ist und mir hilft bzw weiß, was ich jetzt machen soll.
mit dem lappy mach ich sonst nur onlinebanking, besuche facebook, meine email von der uni und halt sichere seiten...kein streamen, spielen oder weiß der geier. kann also kein ergebnis von illegalen aktivitäten sein!

vorallem, sofern jemand die zeit hat mir das zu erklären, wie ist das passiert??
zugegeben, meine kaspersky-lizenz ist abgelaufen(ja ich weiß, schön blöd und selbst schuld eigentlich ), aber ich bin schon kurz davor meinem kumpel ganz böse hass-sms zu schicken...obwohl ich mir zwar nicht vorstellen kann, dass der mir mit absicht irgendwelchen müll schickt(einer meiner besten und langjährigsten freunde), begann das kurz nachdem er mir das erste bild bzw 2 andere hinterher geschickt hat...kann das nur ein blöder zufall sein?? hab nebenbei ja nichts gemacht, nur geskypet Öö

nachtrag...die pdf`s lassen sich doch nicht mehr öffnen, nur die .rtf-dateien usw....ahhhhhhhhhhh D: ....jpg`s sind wohl auch hin, seltsamer weise sind`ne handvoll ok, alle anderen sind "beschädigt"...ich flipp aus...diesem ei, der das ding programmiert hat, müsst man die hände. füße und nase abhacken, damit er nie wieder`ne tastatur benutzen kann
hoffe jemand weiß rat

achso...vergessen zu erwähnen, falls wichtig, habe noch systemwiederherstellungspunkte, die mir zumindest angezeigt werden...bringt das was? hab gelesen, dass diese bei anderen gelöscht bzw nicht mehr angezeigt wurden?! paar jpg`s und dokumente(abgesehen von pdf und office-formaten) sind ja seltsamerweise auch noch ok bei mir...

Geändert von hopfenhöhle (15.08.2014 um 01:13 Uhr)

Alt 15.08.2014, 06:42   #2
schrauber
/// the machine
/// TB-Ausbilder
 

decrypt_instruction, cryptowall - Standard

decrypt_instruction, cryptowall



Hi,

DIe Dateien die noch bauchbar sind sichern. eine kleine befallene Datei (Bild oder Text) hier hochladen:

https://www.decryptcryptolocker.com/
__________________

__________________

Alt 15.08.2014, 19:10   #3
hopfenhöhle
 
decrypt_instruction, cryptowall - Standard

decrypt_instruction, cryptowall



ok...vielleicht doofe frage, aber paar dateien sind ja noch ok...wenn ich da jetzt meinen mp3-player ranhänger, ist der dann auch gleich infiziert bzw infiziere ich dann auch gleich meinen 2. rechner, wenn ich die datei darüber hochladen will??(im internet stand, man soll den befallenen rechner sofort vom netzwerk trennen, da sich der virus sonst ausbreitet...hab von dem ganzen kram keinen blassen dunst ) oder kann ich den lappy jetzt mit dem internet verbinden, ohne das da noch mehr passiert???
wie gesagt, paar textdukomente, bilder und wiederherstellungspunkte sind noch da, der lappy läuft seit gestern nacht, seitdem er vom netz getrennt ist, ploppt auch nichts mehr auf(updater etc)

p.s. riesen dank erstmal für deine antwort und den link!!!!

weiß sonst niemand, was passiert, wenn ich
1. meinen mp3-player ranhäng
oder
2. mit dem lappy ins internet geh?
ansonsten wär ich auch für ein tip für ein anderes gutes forum dankbar
keine ahnung, was ich jetzt genau machen soll, abgesehen von dem tip von schrauber bzw wie ich diesen jetzt am besten umsetzen soll.
(hab gelesen, das man frühestens nach 3 tagen wieder`ne erinnerung posten soll, aber kann den lappy ja jetzt nicht 3 tage laufen lassen, so wie er jetzt hier steht oder mir am sonntag irgendwo einen usb-stick kaufen, falls ich das mit dem mp3-player lassen sollte, zumal ich ihn zum arbeiten brauch, bitte um verständnis)
__________________

Geändert von hopfenhöhle (15.08.2014 um 19:16 Uhr)

Alt 15.08.2014, 19:27   #4
schrauber
/// the machine
/// TB-Ausbilder
 

decrypt_instruction, cryptowall - Standard

decrypt_instruction, cryptowall



ich hab auch noch andere Sachen zu tun

ich weiß zu beidem keine 100%ige Antwort.

Nimm nen Stick den du im moment nit brauchst und lass das Ding vom Internet getrennt.
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 15.08.2014, 19:35   #5
hopfenhöhle
 
decrypt_instruction, cryptowall - Standard

decrypt_instruction, cryptowall



ja klar bzw das denk ich mir...bin auch jedem, der sich zeit für mein problem nimmt, unendlich dankbar...ist ja auch nicht selbstverständlich!!!

ok...dann lauf ich jetzt mal los und kauf nen usb stick, wo ich dann die dateien, die nicht verschlüsselt sind + eine kaputte pdf raufziehe und dann versuch die vom anderen rechner hochzuladen, wenn du auch nichts genaues weißt
ich geb dann noch mal`ne rückmeldung, was passiert ist bzw ob mein großer rechner dann auch befallen wird, damit dann dem nächsten zumindest auskunft gegeben werden kann.
selbst wenn das mit der seite dort funktioniert und ich meine daten entschlüsseln kann, muss ich den laptop bestimmt neu aufsetzen, oder?
(hab beim kauf des laptops nämlich keine sicherungskopie von windoof gemacht bzw keine original-vista-cd, mit den ganzen treibern für den lappy )

nachtrag
hab`s leider nicht mehr rechtzeitig zum laden geschafft, aber werd morgenfrüh dann gleich noch mal hin, falls ich heute keinen mehr anderweitig aufgetrieben bekomme


Geändert von hopfenhöhle (15.08.2014 um 20:10 Uhr)

Alt 16.08.2014, 11:07   #6
schrauber
/// the machine
/// TB-Ausbilder
 

decrypt_instruction, cryptowall - Standard

decrypt_instruction, cryptowall



Man kann das DIng auch bereinigen. Wenn eine Datei entschlüsselt werden konnte bekommste von denen ne Mail mit dem Private Key. Dann Rechner bereinigen, dann andere Dateien entschlüsseln.
__________________
--> decrypt_instruction, cryptowall

Alt 16.08.2014, 16:44   #7
hopfenhöhle
 
decrypt_instruction, cryptowall - Standard

decrypt_instruction, cryptowall



ok, hab mir jetzt`nen stick gekauft und meinen 2. rechner insoweit leer gemacht, dass falls da jetzt was passiert, ich dort zumindest keine daten verlieren kann
werd dann auch gleich die defogger_disable.txt, FRST.txt mit Additions.txt und Gmer.txt fertigmachen, wie in dem anleitungsthread hier beschrieben
soll ich dafür dann in "msconfig" wieder alle progs beim hochfahren einschalten und den lappy neustarten oder spielt das keine rolle für die scans???

NAchtrag:
2. Rechner läuft, virus scheint nicht über den usb-stick weitergewandert zu sein, hab jetzt versucht dort eine verschlüsselte pdf und ein jpg hochzuladen. bei beiden kommt nur folgende fehlermeldung:
The file does not seem to be infected by CryptoLocker. Please submit a CryptoLocker infected file.

zusätzlich zur befrage bezüglich der msconfig-einstellungen bzw des neustarts dann....mal ganz doof gefragt. wenn ich jetzt einfach`nen systemwiederherstellungspunkt von vor einem monat nehme und den ausführe, dann sind die datein bestimmt trotzdem noch kaputt, oder? paar punkte werden mir ja noch angezeigt, aber hab noch nicht probiert, ob das überhaupt funktioniert...wollt erstmal auf abwarten, was hier empfohlen wird

Geändert von hopfenhöhle (16.08.2014 um 16:28 Uhr)

Alt 17.08.2014, 08:22   #8
schrauber
/// the machine
/// TB-Ausbilder
 

decrypt_instruction, cryptowall - Standard

decrypt_instruction, cryptowall



Die Dateien sind dann noch kaputt, aber der Recner könnte clean sein.

Tja, wenn du jetzt noch die gängigen Entschlüsselungstools versucht hast wird es eng.
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 17.08.2014, 20:20   #9
hopfenhöhle
 
decrypt_instruction, cryptowall - Standard

decrypt_instruction, cryptowall



gängige entschlüsselungstools?die da wären??(suchen kann ich mir die ja allein, aber kannst du mir ein paar gute vom namen her empfehlen, die in meinem fall bzw ohne besagten private key besonders nützlich sein könnten?) hab bis jetzt nut deinen link ausprobiert!
wie schaut`s bezüglich meiner amderen frage mit dem neustart bzw msconfig und den scan-tools?? was soll ich denn jetzt wie genau machen, damit es voran geht?

Geändert von hopfenhöhle (17.08.2014 um 20:58 Uhr)

Alt 18.08.2014, 21:46   #10
schrauber
/// the machine
/// TB-Ausbilder
 

decrypt_instruction, cryptowall - Standard

decrypt_instruction, cryptowall



http://www.trojaner-board.de/116851-...tml#post842337

Schau mal hier.

Ja alles wieder einschalten und dann FRST scannen lassen, Logs posten.
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Antwort

Themen zu decrypt_instruction, cryptowall
bildschirm, browser, cryptowall, datei, decrypt_instruction.txt, download, ebanking, email, ergebnis, fehlermeldung, firefox, google, hängen, internet, laptop, mp3-player, nicht mehr, onlinebanking, ordner, probleme, programme, rsa-2048, seite, server, spiele, verlieren, verschlüsselung, virus, öffnen



Ähnliche Themen: decrypt_instruction, cryptowall


  1. CryptoWall 4.0 ransomware entfernen
    Anleitungen, FAQs & Links - 09.11.2015 (2)
  2. HTTP_CRL-CryptoWall-Botnet-Traffic
    Plagegeister aller Art und deren Bekämpfung - 10.10.2015 (7)
  3. Dateien verschlüsselt evt. Cryptowall
    Log-Analyse und Auswertung - 09.09.2015 (4)
  4. Cryptowall entschlüsselungs möglichkeit
    Log-Analyse und Auswertung - 01.09.2015 (2)
  5. 2x|Cryptowall entschlüsselungsmöglichkeit
    Mülltonne - 30.08.2015 (0)
  6. Cryptowall 3.0 - Verschlüsselte JPEGs wiederherstellen mit Vergleichsdateien?
    Plagegeister aller Art und deren Bekämpfung - 17.08.2015 (3)
  7. Win 7: PC und Fileserver von CryptoWall.Trace befallen
    Log-Analyse und Auswertung - 27.07.2015 (35)
  8. Cryptowall 3.0
    Diskussionsforum - 16.07.2015 (41)
  9. Cryptowall Virus - Daten entschlüsseln
    Plagegeister aller Art und deren Bekämpfung - 02.07.2015 (5)
  10. Cryptowall Virus - Daten wiederherstellen
    Plagegeister aller Art und deren Bekämpfung - 12.06.2015 (8)
  11. Windows 7: Verschlüsselungs-Virus CryptoWall
    Log-Analyse und Auswertung - 03.05.2015 (7)
  12. CryptoWall 3.0
    Log-Analyse und Auswertung - 15.04.2015 (1)
  13. Laptop infiziert mit CryptoWall 3.0...
    Plagegeister aller Art und deren Bekämpfung - 13.04.2015 (5)
  14. Cryptowall 3.0 für OSX?
    Alles rund um Mac OSX & Linux - 03.04.2015 (2)
  15. Vermutlich Cryptowall Virus auf XP Rechner
    Log-Analyse und Auswertung - 03.04.2015 (6)
  16. Cryptowall 3.0 Infektion
    Log-Analyse und Auswertung - 01.04.2015 (3)
  17. Verdacht auf [TR/Trash.Gen] infektion und Cryptowall
    Plagegeister aller Art und deren Bekämpfung - 26.03.2015 (10)

Zum Thema decrypt_instruction, cryptowall - Bitte um Hilfe! Folgendes ist passiert: Hab mit einem Kumpel geskyped(nebenbei war firefox geöffnet, facebook, google und wiki), dann hat er mir 3 bilder geschickt, während wir geskyped haben(über den - decrypt_instruction, cryptowall...
Archiv
Du betrachtest: decrypt_instruction, cryptowall auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.