Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: RECOVER-Trojaner oder Virus; 3 Dateien werden pro Ordner abgelegt recovercoebt.html, recovercoebt.png und recovercoebt.txt; in Excelordner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 17.03.2016, 21:23   #1
eleb59
 
RECOVER-Trojaner oder Virus; 3 Dateien werden pro Ordner abgelegt recovercoebt.html, recovercoebt.png und recovercoebt.txt; in Excelordner - Icon21

RECOVER-Trojaner oder Virus; 3 Dateien werden pro Ordner abgelegt recovercoebt.html, recovercoebt.png und recovercoebt.txt; in Excelordner



In der Textdatei steht drin, dass die Daten mit RSA4096 verschlüsselt werden. Zwei personal RSA4096keys sind auf dem Rechner generiert worden; einen öffentlichen und einen privaten. Um die Daten zu entschlüsseln brauche ich einen privaten Schlüssel auf dem Rechner.
Als nächstes kommt die Aufforderung eine bestimmte Seite zu öffnen, um einer Anleitung zu folgen einen bestimmten BitCoinbetrag zu entrichten. Keiner der Seiten habe ich bis jetzt aufgerufen. Je länger ich warten sollte, desto teurer wird es den privaten Schlüssel zu bekommen. Falls ich über den normalen Browser die Seiten nicht öffnen kann, soll ich mir den Torbrowser herunterladen und dann die angegebene Seite aufrufen. Auch das habe ich bis jetzt unterlassen.
Folgende Seiten soll ich verwenden:
hxxp://uhufnlsad7bhf4ykqfbevmxergwrth.himfinn.com/9238157BD712C493
oder
hxxp://94dbhbj3l4blaeyfgl7q45glbaer.giponfeste.at/9238157BD712C493
oder
hxxp://h5nuwefkuh134ljngkasdbasfg.corolbugan.com/9238157BD712C493
oder
hxxp://k7tlx3ghr3m4n2tu.onion/9238157BD712C493

Danach soll ich den Anweisungen auf dem Bildschirm folgen.

Der Rechner wurde mit F-Secure gescannt, aber ohne Befund. siehe Anhang
Miniaturansicht angehängter Grafiken
RECOVER-Trojaner oder Virus; 3 Dateien werden pro Ordner abgelegt recovercoebt.html, recovercoebt.png und recovercoebt.txt; in Excelordner-img-20160317-wa0000.jpg   RECOVER-Trojaner oder Virus; 3 Dateien werden pro Ordner abgelegt recovercoebt.html, recovercoebt.png und recovercoebt.txt; in Excelordner-img-20160317-wa0002.jpg   RECOVER-Trojaner oder Virus; 3 Dateien werden pro Ordner abgelegt recovercoebt.html, recovercoebt.png und recovercoebt.txt; in Excelordner-img-20160317-wa0003.jpg   RECOVER-Trojaner oder Virus; 3 Dateien werden pro Ordner abgelegt recovercoebt.html, recovercoebt.png und recovercoebt.txt; in Excelordner-img-20160317-wa0005.jpg   RECOVER-Trojaner oder Virus; 3 Dateien werden pro Ordner abgelegt recovercoebt.html, recovercoebt.png und recovercoebt.txt; in Excelordner-img-20160317-wa0001.jpg  

Alt 18.03.2016, 10:14   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
RECOVER-Trojaner oder Virus; 3 Dateien werden pro Ordner abgelegt recovercoebt.html, recovercoebt.png und recovercoebt.txt; in Excelordner - Standard

RECOVER-Trojaner oder Virus; 3 Dateien werden pro Ordner abgelegt recovercoebt.html, recovercoebt.png und recovercoebt.txt; in Excelordner



moin

aha, und was sollen wir jetzt machen? Fehlen dir einfach Infos über die längst bekannten Kryptotrojaner

Lies doch mal zB => Krypto-Trojaner Locky wütet in Deutschland: Über 5000 Infektionen pro Stunde | heise Security
__________________

__________________

Alt 18.03.2016, 18:10   #3
eleb59
 
RECOVER-Trojaner oder Virus; 3 Dateien werden pro Ordner abgelegt recovercoebt.html, recovercoebt.png und recovercoebt.txt; in Excelordner - Standard

Trojaner- aber welcher



Ahmd

Danke für den Hinweis. Dort gab es noch die Idee des Excel Makros!!
Na, mir wäre daran gelegen den Trojaner loszuwerden, sonst wäre ich ja nicht hier.

Ich habe die, auch hier eingestellten Unterlagen, der Polizei mitgeteilt.
Das war die Antwort:
Zu Ihrer Information möchte ich Sie auf ein Tool hinweisen, mit denen bereits erfolgreich Datenbanken entschlüsselt werden konnten:

Zurzeit gibt es eine Möglichkeit, verschlüsselte Daten der beiden Verschlüsselungstrojaner HydraCrypt und UmbreCrypt zu entschlüsseln. Bei der Sourcecode-Analyse ist aufgefallen, dass beide Schadprogramme Gemeinsamkeiten haben, welche auf CrypBoss Ransomware zurückzuführen sind.

Der Encyrption-Algorithmus konnte anhand des offen liegenden Sourcecodes entschlüsselt werden und eine entsprechende Software zur Decryptierung zur Verfügung gestellt werden.

hxxp://blog.emsisoft.com/2016/02/12/decrypter-for-hydracrypt-and-umbrecrypt-available/

Eine Anleitung und die entsprechende Veröffentlichung ist hier zu finden :

hxxp://thehackernews.com/2016/02/decrypt-ransomware-files.html?m=1

Habe ich alles versucht auszuprobieren. Funktioniert aber nicht.
Nach genauer Untersuchung des Rechners habe ich festgestellt, dass sämtliche Ordner und Unterordner diese 3 Recover-Dateien enthalten.

Kannst du mir sagen, wenn ich all diese Recover-Dateien lösche, ob das Problem dann behoben ist?
Außerdem werde ich das Office-Paket wohl löschen müssen, da es wohl mit einem ExcelMakro beaufschlagt wurde. Eventuell ist auch Outlook betroffen, bzw. PST,OST,EDB-Dateien......

Die Festplatte möchte ich nur im äußersten Notfall neu formatieren. (CAD-Rechner)

Für jede weitere Idee empfänglich.

Bis dann
__________________

Alt 18.03.2016, 22:51   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
RECOVER-Trojaner oder Virus; 3 Dateien werden pro Ordner abgelegt recovercoebt.html, recovercoebt.png und recovercoebt.txt; in Excelordner - Standard

RECOVER-Trojaner oder Virus; 3 Dateien werden pro Ordner abgelegt recovercoebt.html, recovercoebt.png und recovercoebt.txt; in Excelordner



Es sind Verschlüsselungstrojaner, und wenn du einen erwischt hast, für den ein keinen Entschlüsseler gibt, dann kannst du das Problem nicht lösen. Weil die Daten nicht wiederherstellerbar sind. Abgesehen von der Option, die Kohle in den Rachen der Erpresser zu schmeißen.

Eine Entfernung des Trojaners bzw Bereinigung des System macht es zwar sauber, aber die Daten bekommst du dadurch auch nicht wieder.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 19.03.2016, 06:44   #5
eleb59
 
RECOVER-Trojaner oder Virus; 3 Dateien werden pro Ordner abgelegt recovercoebt.html, recovercoebt.png und recovercoebt.txt; in Excelordner - Standard

RECOVER-Trojaner oder Virus; 3 Dateien werden pro Ordner abgelegt recovercoebt.html, recovercoebt.png und recovercoebt.txt; in Excelordner



Danke für deine Antwort.

OK. Die verschlüsselten Daten sind nicht das Problem, da ich regelmäßig Datensicherung mache.
Aber wie bekomme ich das System sauber? So, wie ich es vorhabe, alle Recover-Dateien löschen?
Weißt du wie die Trojaner heißen? Einen hatte ich vorgestern mit F-Secure erledigen können.
Der heißt Trojan.GenerickD.3104236. Ob der allerdings für das Chaos verantwortlich ist, weiß ich nicht.
Ich werde das System heute versuchen zu säubern und melde mich an dieser Stelle wieder.

Falls noch jemand eine Idee hat. Her damit.


Alt 19.03.2016, 14:08   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
RECOVER-Trojaner oder Virus; 3 Dateien werden pro Ordner abgelegt recovercoebt.html, recovercoebt.png und recovercoebt.txt; in Excelordner - Standard

RECOVER-Trojaner oder Virus; 3 Dateien werden pro Ordner abgelegt recovercoebt.html, recovercoebt.png und recovercoebt.txt; in Excelordner



Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner, sind die mal fündig geworden?

Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs in CODE-Tags posten!
Relevant sind nur Logs der letzten 7 Tage bzw. seitdem das Problem besteht!




Zudem bitte auch ein Log mit Farbars Tool machen:

Scan mit Farbar's Recovery Scan Tool (FRST)

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST Download FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)



Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
__________________
--> RECOVER-Trojaner oder Virus; 3 Dateien werden pro Ordner abgelegt recovercoebt.html, recovercoebt.png und recovercoebt.txt; in Excelordner

Alt 22.03.2016, 10:33   #7
eleb59
 
RECOVER-Trojaner oder Virus; 3 Dateien werden pro Ordner abgelegt recovercoebt.html, recovercoebt.png und recovercoebt.txt; in Excelordner - Standard

RECOVER-Trojaner oder Virus; 3 Dateien werden pro Ordner abgelegt recovercoebt.html, recovercoebt.png und recovercoebt.txt; in Excelordner



Moin Cosima

Vorgehensweise: Festplatte ausbauen und extern an sauberen Rechner gehängt.
Habe dann übers Wochenende alle Einträge gelöscht, die mit Recover*.* zu tun haben.
Benutzerprofil außer Administrator-Profile gelöscht.
Nun Festplatte wieder in den Rechner und an das Netzwerk mit SBS-Server angeschlossen.
Serverprofil war ebenfalls verseucht und wurde von mir gelöscht. Neues Profil mit dem gleichen Usernamen angelegt. Anmelden beim Client - hier kann er das Benutzerprofil nicht aufrufen und legt ein temporäres Profil an. Wahrscheinlich ein Zeitproblem, da das alte Profil zwar entfernt, aber noch nicht gelöscht ist.
Muss ich noch mal prüfen.

Fakt ist, dass alle PDF-Dateien auf dem Rechner verschlüsselt sind. Auf dem Server hat es auch ein paar erwischt, aber da kann ich die Datensicherung drüber spielen.

Auf die Frage wegen weitere Viren. Ja mein F-Secure hat während des Löschens noch:

Schädliche Datei "(@AntiVirus\MiniScan\\Historyinfected_object_name)" wurde entfernt
und das zweimal.
Ob das was mit dem Trojaner zu tun hat, weiß ich nicht.

So. Mehr habe ich nicht machen können. Aber der Rechner läuft wieder.

Wäre halt trotzdem interessant, welcher Trojaner mir das Leben so schwer gemacht hat.
Während ich hier schreibe, kann ich leider deine letzte Antwort nicht Lesen.

Ich werde mir das jetzt noch mal genauer anschauen und mich wieder melden.

Antwort

Themen zu RECOVER-Trojaner oder Virus; 3 Dateien werden pro Ordner abgelegt recovercoebt.html, recovercoebt.png und recovercoebt.txt; in Excelordner
anhang, anleitung, aufforderung, bestimmte, bestimmten, bildschirm, bitcoins, brauche, browser, datei, dateien, daten, entschlüsseln, folge, folgen, gescannt, länger, ordner, personal, private, private key, public key, rechner, recover, rsa4096, schlüsseln, seite, seiten, virus, öffnen



Ähnliche Themen: RECOVER-Trojaner oder Virus; 3 Dateien werden pro Ordner abgelegt recovercoebt.html, recovercoebt.png und recovercoebt.txt; in Excelordner


  1. Dateien auf USB Stick werden automatisch zu Verknüpfungen mit seltsamer Zielangabe + unbekanter Ordner
    Log-Analyse und Auswertung - 23.09.2015 (10)
  2. BoBrowser entfernt - trotzdem sollen jpg Dateien als BoBrowser HTML Documents geöffnet werden
    Log-Analyse und Auswertung - 14.09.2015 (1)
  3. Windows 7: Dateien auf USB-Stick werden zu Verknüpfungen die auf den Ordner .trashes verweisen
    Log-Analyse und Auswertung - 20.06.2015 (23)
  4. Ordner und Dateien auf externen Laufwerken werden nur als Verknüpfungen angezeigt
    Log-Analyse und Auswertung - 04.10.2014 (19)
  5. Dateien und Ordner auf Wechseldatenträger werden als Verknüpfungen angezeigt
    Plagegeister aller Art und deren Bekämpfung - 01.02.2014 (32)
  6. Auf USB Sticks werden Ordner+Dateien nur als Verknüpfungen angezeigt
    Log-Analyse und Auswertung - 05.01.2014 (13)
  7. Win 7 - AVG entdeckt Virus - *.sys dateien im windows ordner- Nach Löschung entstehen neue befallene Dateien
    Plagegeister aller Art und deren Bekämpfung - 14.09.2013 (13)
  8. USB verwandelt Bilder in Ordner & Dateien die nicht mehr gelesen werden können
    Plagegeister aller Art und deren Bekämpfung - 11.07.2012 (1)
  9. Trojaner/Virus -zeigt sich durch Ordner auf externen Festplatte die als Verknüpfung angezeigt werden
    Log-Analyse und Auswertung - 28.02.2012 (29)
  10. Ordner im USB Stick oder Handy werden als Verknüpfung angezeigt
    Log-Analyse und Auswertung - 04.12.2011 (1)
  11. Ordner auf USB-Stick werden zu Verknüpfungen - zusätzliche Ordner werden erstellt - iuewiu.scr
    Plagegeister aller Art und deren Bekämpfung - 21.06.2011 (5)
  12. Brauche Hilfe-Dateien und Ordner werden nicht angezeigt
    Plagegeister aller Art und deren Bekämpfung - 07.04.2011 (4)
  13. Dateien auf Festplatte D nach Virus oder Trojaner unsichtbar
    Plagegeister aller Art und deren Bekämpfung - 26.03.2011 (5)
  14. Trojaner oder Virus + SYSTEM Ordner in C:Programme:gemeinsame Dateien ??
    Mülltonne - 02.11.2008 (1)
  15. Virus oder Trojaner HTML/Infected.WebPage.Gen
    Plagegeister aller Art und deren Bekämpfung - 27.07.2008 (2)
  16. Nach Virenbefall Recover-Cd erstellen?(Virus:Virtumonde)
    Alles rund um Windows - 12.12.2007 (25)
  17. virus/trojaner oder beschädigte dateien führen zum pc absturz!
    Plagegeister aller Art und deren Bekämpfung - 01.04.2007 (10)

Zum Thema RECOVER-Trojaner oder Virus; 3 Dateien werden pro Ordner abgelegt recovercoebt.html, recovercoebt.png und recovercoebt.txt; in Excelordner - In der Textdatei steht drin, dass die Daten mit RSA4096 verschlüsselt werden. Zwei personal RSA4096keys sind auf dem Rechner generiert worden; einen öffentlichen und einen privaten. Um die Daten zu - RECOVER-Trojaner oder Virus; 3 Dateien werden pro Ordner abgelegt recovercoebt.html, recovercoebt.png und recovercoebt.txt; in Excelordner...
Archiv
Du betrachtest: RECOVER-Trojaner oder Virus; 3 Dateien werden pro Ordner abgelegt recovercoebt.html, recovercoebt.png und recovercoebt.txt; in Excelordner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.