hallo Cosinus,

Vielen Dank für Deinen unermüdlichen Einsatz

Zwei Fragen zu den bevorstehenden Aufgaben:

1) bin ich richtig in der Annahme, dass ich auch dieses Mal zuvor alle Security Programme ausschalten soll?

2) habe ich beim ESET Scanner die Möglichkeit einzugreifen, bevor irgendwelche Dateien gelöscht werden?

Grund für die 2. Frage: ich mache mir Sorgen, dass der Scanner mehr löscht als mir lieb ist, und ich damit Gefahr laufe, selbst mit dem Encrypter (falls ich den überhaupt bekomme) die Dateien nicht mehr entschlüsseln zu können. Es wäre ja denkbar, dass ein Schlüssel bereits irgendwo auf der Platte liegt und mit den Scanner gelöscht wird.

Ich bin nun auch ziemlich sicher, dass es bei mir wie bei nachtaktiv (sorry, nicht nachtschwärmer wie im Beitrag 1 benannt) der Crypto Wall 3.0 war (bzw. ist), denn die Bilder auf dem nachfolgenden Link entsprechen exakt den Bildern, die in jedem meiner verschlüsselten Ordner liegt: hxxp://nabzsoftware.com/types-of-threats/cryptowall-3-0

Ich habe heute endlich ein Konto online und mithilfe eines angenehmen "chats" in London eröffnen können, dass auch für die von mir benötigte Summe genehmigt wurde (liegt über doppelt so hoch wie üblicherweise für Erstkunden zulässig). Das Bankkonto liegt in München und das Geld ist per SEPA aus der Schweiz unterwegs. Morgen sollte es eintreffen, bevor ich die Bitcoins kaufen und erst danach an die notwendige Wallet (andere Gesellschaft) verschieben kann. Erst wenn die Coins in der Wallet sind, kann ich den Transfer auf das anonyme Konto der Erpresser veranlassen. Für eine Laien wie mich extrem kompliziert, nervenaufreibend und magenschädigend.

Ich bin wirklich sehr froh, dass es Leute wie Euch gibt, die so hilfsbereit und tatkräftig Unterstützung bieten, ohne auch nur irgendwie dafür entschädigt zu werden. Vielen Dank

Bitte lies die Anleitung gründlich durch. Beide Fragen werden da beantwortet. Wichtig ist der Screenshot dazu wie du ESET einstellen sollst.

Hallo Cosinus

ich habe die beiden Tests noch nicht durchgeführt, werde dies später nachholen. Siehe auch Beitrag http://www.trojaner-board.de/168116-...d-zahlung.html angegeben.

ich habe den Decrypter zuerst im betroffenen Ordner der DiskStation entpackt und war guten Mutes mich nun an die Dechiffrierung zu machen.

Als ich die zip.Datei zusätzlich (später) auf den Desktop lud und entpackte, schlug gleich EMSISOFT Alarm. Erst später bemerkte ich, dass von den 3 entpackten Dateien nur noch die beiden "Schlüssel" im Ordner sind. Die exe Datei ist automatisch in Quarantäne-Ordner verschoben worden (was ja auch auf dem 1. Printscreen steht).

In der Folge testete ich auch den entpackten Decrypt-Ordner auf der Diskstation mittels Malwareybytes und bekom prompt eine Alarm-Meldung. Malwarebytes wollte die .exe Datei gleich in Quarantäne stecken, ich habe es aber noch nicht quittiert.

Nun stellt sich die Frage: handelt es sich wirklich um einen neuen bzw. denselben Schädling, oder kann die Anwendung decrypt.exe nur als eine Art Trojaner eine Entschlüsselung vornehmen?

Was ratest du mir, wie ich vorgehen soll?

vg
alouette

Hallo Cosinus

ich habe mit dem Decrypter meine relevanten Dateien entschlüsseln können und würde nun gerne die beiden letzten von Dir angeordneten Tools anwenden.

Beim ersten Beitrag musste ich ja mit dem Tool Defogger die Laufwerksemulationen ausschalten (disbable) nun bin ich aber nicht mehr 100% sicher, ob ich die Einstellung nach Abschluss der ersten Tools wieder auf "re-enable" gestellt habe. Müssen bzw. sollen die Laufwerksemulationen bei allen Tools immer ausgeschaltet bleiben?

vg
alouette

Wird in den Anleitungen zu ESET oder SC defogger erwähnt? Nein? Wieso kommst du denn darauf?

bei der Wegleitung zu Defogger http://www.trojaner-board.de/69886-a...tml#post412358 steht am Ende von Schritt 1:

Zitat:

Klicke den Re-enable Button nicht ohne Anweisung.

ich kann mich nicht erinnern die Anweisung von Dir erhalten zu haben den "Re-enable" Button zu drücken, glaube aber (bin mir sehr sicher), dass ich es dennoch getan habe, nachdem ich FRST und GMER habe drüber laufen lassen.

Wenn einem die Nerven blank liegen tut man nicht immer das was man liest oder hört, und damit meine ich mich in der letzten Woche...

also, um sicher zu gehen, dass die Tools deren Arbeit korrekt ausführen: soll ich nochmals AdwCleaner und Jrt laufen lassen, zuvor aber den defrogger starten und "Re-Enable" wählen?

Was ich damit sagen wollte: wenn etwas in der Anleitung zB zu ESET nicht erwähnt wird, dann hat es auch keine Relevanz. Wenn wir komplett fertig sind dann kommt das dran was zum Schluss gemacht wird.

Zitat:

ich kann mich nicht erinnern die Anweisung von Dir erhalten zu haben den "Re-enable" Button zu drücken

Nö, weil wir da auch noch garnicht sind.

Und in meinem letzten Posting stand auch nur was von ESET und SC, wie du jetzt schon wieder auf adwCleaner und JRT kommst weiß wohl auch nur der Geier

ich denke, wir sprechen aneinander vorbei.

als ich heute nochmals den Anfänger-Beitrag über Defrog gelesen habe, bemerkte ich, dass ich "re-enable" nur mit ausdrücklicher Anweisung klicken darf.

Die Rückfrage stelle ich Dir nur, weil ich zuerst mit Dir abklären will, ob die Defrog "Disable" Einstellung einen Einfluss auf die nachfolgenden Tools hat oder eben nicht.

Ich bin mir sicher (bei Punkt 4. bin ich nicht 100% sicher), dass die von mir geposteten Logdateien wie folgt entstanden sind:

1. Defrog Einstellung "disable"
2. FRST
3. GMWER
4. Defrog Einstellung "re-enable"
5. AdwCleaner
6. JRT
7. FRST
8. FRST-FIX

Die grosse Frage ist also: war der Schritt 4. korrekt oder falsch oder spielt es gar keine Rolle?

Nach Anleitung ist das ja falsch. Du weißt ja, dass es nur nach Aufforderung gemacht werden soll, hast es aber trotzdem gemacht. Aber du merkst auch ein wenig, dass mich dieser defogger ein wenig nervt, denn Laufwerkemulatoren haben die allerwenigsten in Nutzung und ich finde die Diskussionen darüber recht müß0ig.

Vergiss jetzt einfach mal diesen depperten defogger und mach mit ESET weiter.

Zitat:

Zitat von cosinus

Nach Anleitung ist das ja falsch. Du weißt ja, dass es nur nach Aufforderung gemacht werden soll, hast es aber trotzdem gemacht. ...

Entschuldigung. Ich habe das erst heute gesehen, als ich in Ruhe alles nochmals durchgelesen habe. Ich konnte mich letzte Woche kaum konzentrieren.

Item, ich bin daran ESET über alle Laufwerke laufen zu lassen. Die Applikation läuft bereits einige Stunden, dennoch ist der Balken erst bei 9%. Dummerweise meldet sich Win7 nach einer bestimmten Zeit selbstständig ab und der PC geht in Standby-Modus. Ich bezweifle, dass die Applikation dann im Hintergrund weiterläuft.

Habe nun mit Erschrecken festgestellt, dass ESET bei noch nicht mal 10% Such-Fortschritt bereits 17 infizierte Dateien gefunden hat. Darunter auch mehrmals das File "Win32/Filecoder.CR", was auf den CryptoWall3.0 Trojaner hindeuten könnte. Wenn ich die ESET-Anleitung richtig verstanden habe, werden diese Files am Schluss nicht von ESET entfernt werden. Ich habe das Kästchen

Zitat:

"Entdeckte Bedrohungen entfernen"

wie verlangt deaktiviert.

Bei den Dateien, die von EMSET als "Win32/Filecoder.CR Trojaner" erkannt worden sind, handelt es sich um ein paar verbleibende HELP_DECRYPT Dateien (html, png, txt), die ich nach der Entschlüsselung vergessen habe zu löschen. Insgesamt gab es von diesen ca. 17'000 Dateien.

Des weiteren wurde die Datei "decrypt.exe bzw. zip" als "Generik.FRCZUTT Trojaner" gemeldet: es handelt sich dabei um die gepackte und entpackte Datei, die ich bei der Lösegeldzahlung erhalten haben und auf dem Desktop sowie auf der Diskstation abgelegt habe.

anbei die Log Dateien.

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=8b3610613aa7b846b5c35af0b915ef43
# end=init
# utc_time=2015-07-20 04:28:18
# local_time=2015-07-20 06:28:18 (+0100, Mitteleuropäische Sommerzeit)
# country="Switzerland"
# osver=6.1.7601 NT Service Pack 1
Update Init
Update Download
Update Finalize
Updated modules version: 24890
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=8b3610613aa7b846b5c35af0b915ef43
# end=updated
# utc_time=2015-07-20 04:32:43
# local_time=2015-07-20 06:32:43 (+0100, Mitteleuropäische Sommerzeit)
# country="Switzerland"
# osver=6.1.7601 NT Service Pack 1
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7777
# api_version=3.1.1
# EOSSerial=8b3610613aa7b846b5c35af0b915ef43
# engine=24890
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2015-07-20 07:30:26
# local_time=2015-07-20 09:30:26 (+0100, Mitteleuropäische Sommerzeit)
# country="Switzerland"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode_1=''
# compatibility_mode=5893 16776573 100 94 89543 189050476 0 0
# scanned=382621
# found=29
# cleaned=0
# scan_time=10663
sh=BC110F4E14C9719CCD642034068D3DADE0978689 ft=0 fh=0000000000000000 vn="Win32/Filecoder.CR Trojaner" ac=I fn="C:\Users\*****\AppData\LocalLow\HELP_DECRYPT.HTML"
sh=18E535F11B71E2204AE9325DC35C51F0D9F408E2 ft=0 fh=0000000000000000 vn="Win32/Filecoder.CR Trojaner" ac=I fn="C:\Users\*****\AppData\LocalLow\HELP_DECRYPT.TXT"
sh=BC110F4E14C9719CCD642034068D3DADE0978689 ft=0 fh=0000000000000000 vn="Win32/Filecoder.CR Trojaner" ac=I fn="C:\Users\*****\AppData\LocalLow\Sun\HELP_DECRYPT.HTML"
sh=18E535F11B71E2204AE9325DC35C51F0D9F408E2 ft=0 fh=0000000000000000 vn="Win32/Filecoder.CR Trojaner" ac=I fn="C:\Users\*****\AppData\LocalLow\Sun\HELP_DECRYPT.TXT"
sh=BC110F4E14C9719CCD642034068D3DADE0978689 ft=0 fh=0000000000000000 vn="Win32/Filecoder.CR Trojaner" ac=I fn="C:\Users\*****\AppData\LocalLow\Sun\Java\HELP_DECRYPT.HTML"
sh=18E535F11B71E2204AE9325DC35C51F0D9F408E2 ft=0 fh=0000000000000000 vn="Win32/Filecoder.CR Trojaner" ac=I fn="C:\Users\*****\AppData\LocalLow\Sun\Java\HELP_DECRYPT.TXT"
sh=BC110F4E14C9719CCD642034068D3DADE0978689 ft=0 fh=0000000000000000 vn="Win32/Filecoder.CR Trojaner" ac=I fn="C:\Users\*****\AppData\LocalLow\Sun\Java\jre1.7.0_21\HELP_DECRYPT.HTML"
sh=18E535F11B71E2204AE9325DC35C51F0D9F408E2 ft=0 fh=0000000000000000 vn="Win32/Filecoder.CR Trojaner" ac=I fn="C:\Users\*****\AppData\LocalLow\Sun\Java\jre1.7.0_21\HELP_DECRYPT.TXT"
sh=33D3B72A13A86D66C2CFF8A27DA76A4D68005D0A ft=0 fh=0000000000000000 vn="Variante von Generik.FRCZUTT Trojaner" ac=I fn="C:\Users\*****\Desktop\Crypto\decrypt.zip"
sh=B3ECB3BD38A7903C4BA3AAB69CD73D43DBACC930 ft=1 fh=3f2ff0f064ea6649 vn="Variante von Generik.FRCZUTT Trojaner" ac=I fn="C:\Users\*****\Desktop\Crypto\decrypt\decrypt.exe"
sh=BC110F4E14C9719CCD642034068D3DADE0978689 ft=0 fh=0000000000000000 vn="Win32/Filecoder.CR Trojaner" ac=I fn="C:\Users\*****\Documents\Booking_com Bestätigung_Stay.at.Zürich.Airport-Dateien\HELP_DECRYPT.HTML"
sh=18E535F11B71E2204AE9325DC35C51F0D9F408E2 ft=0 fh=0000000000000000 vn="Win32/Filecoder.CR Trojaner" ac=I fn="C:\Users\*****\Documents\Booking_com Bestätigung_Stay.at.Zürich.Airport-Dateien\HELP_DECRYPT.TXT"
sh=6994FC133F3D99F1B1257370C9BC01BD54AF5D30 ft=1 fh=d1eb868415c0b931 vn="Variante von Win32/Toolbar.Conduit.AI evtl. unerwünschte Anwendung" ac=I fn="D:\Backup\Eigene Dateien\*****\Bedarf - Einkauf\EDV\Software\Firewall\ZoneAlarm\zaSetup_92_058_000_de.exe"
sh=C9352C798D66F96D4F894C2BC2CDAD192B662D62 ft=1 fh=7209dc7ad243ecb3 vn="Variante von Win32/Toolbar.Conduit.AI evtl. unerwünschte Anwendung" ac=I fn="D:\Backup\Eigene Dateien\*****\Bedarf - Einkauf\EDV\Software\System\Firewall\zaSetup_92_105_000_de.exe"
sh=3A021288EFC0C99CD141DCE2AAB5672D08D7DCD8 ft=1 fh=bef964ca4b09c9aa vn="Win32/SoftonicDownloader.A evtl. unerwünschte Anwendung" ac=I fn="D:\Backup\Eigene Dateien\*****\Bedarf - Einkauf\EDV\Software\System\OS\WinXP Files\CD Creator\SoftonicDownloader42477.exe"
sh=44E4D7AEDCA905466F69913241BCDC7A753213E1 ft=1 fh=930c7438f78acb51 vn="Variante von Win32/AdInstaller evtl. unerwünschte Anwendung" ac=I fn="D:\Backup\Eigene Dateien\*****\Bedarf - Einkauf\EDV\Software\System\ZoneLabs\zlsSetup_70_483_000_de.exe"
sh=A019B86DB26F241B5FE4EAA126B5CCCB4FD265FE ft=1 fh=1cd43ec1ed90d46e vn="Win32/SoftonicDownloader.A evtl. unerwünschte Anwendung" ac=I fn="D:\Backup\Eigene Dateien\*****\Bedarf - Einkauf\EDV\Software\Web-Design\Mozilla Nvu 1.0\SoftonicDownloader_fuer_nvu.exe"
sh=FBBE31F08E493A8B0702FE72F3ABA6DF996E20C6 ft=1 fh=1055b3d0ea15ac02 vn="Win32/InstallMonetizer.AQ evtl. unerwünschte Anwendung" ac=I fn="D:\Software Download\PDFCreator\PDFCreator-1_7_2_setup.exe"
sh=F8656056D848DD20AD6A7C018E0DF7537623B24B ft=1 fh=2302ae1c16bfade4 vn="Win32/Toolbar.Conduit evtl. unerwünschte Anwendung" ac=I fn="D:\Software Download\ZoneAlarm\zaSetupWeb_110_000_054.exe"
sh=33D3B72A13A86D66C2CFF8A27DA76A4D68005D0A ft=0 fh=0000000000000000 vn="Variante von Generik.FRCZUTT Trojaner" ac=I fn="\\Server_1\01_Alouette\decrypt.zip"
sh=B3ECB3BD38A7903C4BA3AAB69CD73D43DBACC930 ft=1 fh=3f2ff0f064ea6649 vn="Variante von Generik.FRCZUTT Trojaner" ac=I fn="\\Server_1\01_Alouette\Decrypt\decrypt.exe"
sh=A019B86DB26F241B5FE4EAA126B5CCCB4FD265FE ft=1 fh=1cd43ec1ed90d46e vn="Win32/SoftonicDownloader.A evtl. unerwünschte Anwendung" ac=I fn="\\Server_1\01_Alouette\*****\Bedarf - Einkauf\EDV\Software\Web-Design\Mozilla Nvu 1.0\SoftonicDownloader_fuer_nvu.exe"
sh=3A021288EFC0C99CD141DCE2AAB5672D08D7DCD8 ft=1 fh=bef964ca4b09c9aa vn="Win32/SoftonicDownloader.A evtl. unerwünschte Anwendung" ac=I fn="\\Server_1\01_Alouette\*****\Bedarf - Einkauf\EDV\Software\System\OS\WinXP Files\CD Creator\SoftonicDownloader42477.exe"
sh=4B40128306C81B4486611BD92F8CA07D6E0DB8AD ft=1 fh=428aba145d850852 vn="Variante von Win32/Toolbar.Conduit.B evtl. unerwünschte Anwendung" ac=I fn="\\Server_1\01_Alouette\*****\Bedarf - Einkauf\EDV\Software\vlc-1.1.0-win32.exe"
sh=44E4D7AEDCA905466F69913241BCDC7A753213E1 ft=1 fh=930c7438f78acb51 vn="Variante von Win32/AdInstaller evtl. unerwünschte Anwendung" ac=I fn="\\Server_1\01_Alouette\*****\Bedarf - Einkauf\EDV\Software\System\ZoneLabs\zlsSetup_70_483_000_de.exe"
sh=C9352C798D66F96D4F894C2BC2CDAD192B662D62 ft=1 fh=7209dc7ad243ecb3 vn="Variante von Win32/Toolbar.Conduit.AI evtl. unerwünschte Anwendung" ac=I fn="\\Server_1\01_Alouette\*****\Bedarf - Einkauf\EDV\Software\System\Firewall\zaSetup_92_105_000_de.exe"
sh=6994FC133F3D99F1B1257370C9BC01BD54AF5D30 ft=1 fh=d1eb868415c0b931 vn="Variante von Win32/Toolbar.Conduit.AI evtl. unerwünschte Anwendung" ac=I fn="\\Server_1\01_Alouette\*****\Bedarf - Einkauf\EDV\Software\Firewall\ZoneAlarm\zaSetup_92_058_000_de.exe"
sh=A9E3AB33783CC54C033A7D9CFA81F433D72D6E09 ft=1 fh=bb1f3b8fbd53eca4 vn="Variante von Win32/InstallCore.D evtl. unerwünschte Anwendung" ac=I fn="\\Server_1\01_Alouette\*****\Bedarf - Einkauf\EDV\Software\Browser\Werbeblocker Adblock Pro 32bit\cnet2_abp_exe.exe"
sh=44E4D7AEDCA905466F69913241BCDC7A753213E1 ft=1 fh=930c7438f78acb51 vn="Variante von Win32/AdInstaller evtl. unerwünschte Anwendung" ac=I fn="\\Server_1\10_Toshiba\Backup_Toshiba\Ordner Desktop\Software\ZoneLabs\zlsSetup_70_483_000_de.exe"
         

Code: Alles auswählenAufklappen

ATTFilter

 Results of screen317's Security Check version 1.004  
 Windows 7 Service Pack 1 x64 (UAC is enabled)  
 Internet Explorer 11  
``````````````Antivirus/Firewall Check:`````````````` 
Emsisoft Anti-Malware   
 Antivirus up to date!  (On Access scanning disabled!) 
`````````Anti-malware/Other Utilities Check:````````` 
 Java 8 Update 51  
 Java version 32-bit out of Date! 
 Adobe Flash Player 18.0.0.209  
````````Process Check: objlist.exe by Laurent````````  
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C:  
````````````````````End of Log``````````````````````
         

Zitat:

SoftonicDownloader_fuer_nvu.exe

Das ist leider so ein typischer Fehler, den viele Leute begehen. Es wird einfach oft gedankenlos von irgendwelchen "großen" Portalen runtergeladen und das Setup wird blindlings vertraut - wo dann die ganzen Toolbars und die ganze Werbung herkommt können sich die Anwender dann nicht erklären.

Also in Zukunft nix mehr von Softonic oder Chip.de runterladen. Siehe auch CHIP-Installer - was ist das? - Anleitungen

Schmeiß diese ganzen Müll-Setups raus. Es macht eh keinen Sinn alte Setups aufzubewahren, Software wird heutzutage so schnell aktualisiert weil ständig Sicherheitslücken gefunden werden, dass man eh immer wenn ein Programm installiert werden muss die neue Version aus dem Internet laden muss.

zur Meldung

Zitat:

Java version 32-bit out of Date!

möchte ich noch hinzufügen, dass ich gestern von Version 31 auf 52 ein update gemacht habe. Dennoch reklamiert mir das Betriebssystem der Diskstation, dass Java nicht aktuell sei.

Interessant ist zudem, dass auf dem Win 7 PC nur 3 Dateien verschlüsselt waren, darunter 1 jpg Bild im JAVA-Ordner. Siehe Printscreens beiliegend.

Ansonsten waren auf dem Win7 PC nur noch 2 Dateien auf der Systemplatte verschlüsselt: 1 Word-Dokument sowie 1 jpg Bild.

Stellt sich nun die Frage, ob der Übergriff auf die Diskstation mit der JAVA-Sicherheitslücke (die anscheinend noch nicht komplett zu ist) zu tun hatte und wieso auf dem Win 7 PC und auf der Diskstation nicht mehr Dateien verschlüsselt worden sind?

Zitat:

Zitat von cosinus

...
Schmeiß diese ganzen Müll-Setups raus. Es macht eh keinen Sinn alte Setups aufzubewahren, Software wird heutzutage so schnell aktualisiert weil ständig Sicherheitslücken gefunden werden, dass man eh immer wenn ein Programm installiert werden muss die neue Version aus dem Internet laden muss.

Du hast natürlich recht. Was Chip und Softonic angeht, war ich bis Dato sehr naiv.

Du musst auch Java anweisen, alte Versionen zu deinstallieren - oder eben selber machen. Windows pflegt das eben nicht von allein, da muss der Anwender auch mal selbst was tun

Zitat:

Stellt sich nun die Frage, ob der Übergriff auf die Diskstation mit der JAVA-Sicherheitslücke (die anscheinend noch nicht komplett zu ist) zu tun hatte und wieso auf dem Win 7 PC und auf der Diskstation nicht mehr Dateien verschlüsselt worden sind?

Ich weiß nicht wie du darauf schon wieder kommst. Es ist völlig unstrittig, was deine Daten verschlüsselt hat.

zu 1)
ich finde weder mit dem Win eigenen Software Deinstaller noch mit CCleaner eine alte Version von Java 8

wie kann ich die alte Version finden und löschen?

zu 2)
die Frage ist nicht was sondern wie CryptoWall 3.0 auf meinen PC gefunden hat? Fest steht, dass auf dem Win7 PC (bis auf 2 nicht relevante Dateien) ein jpeg Bild im Java Ordner verschlüsselt war und dass mir das OS von der Diskstation gestern vor dem Update mitgeteilt hat, es liege eine sehr schwere Sicherheitslücke bei Java vor. Die beiliegenden beiden printscreen der Diskstation machte ich nachdem ich ich bereits die neueste OS Version aufgespielt hatte und Java auf Version 51 "updated" habe.

besteht somit noch eine Java-Sicherheitslücke?