Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Malware hat Dateien verschlüsselt .xort wurde angehängt

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 06.05.2016, 22:38   #1
Trojakö
 
Malware hat Dateien verschlüsselt .xort wurde angehängt - Standard

Malware hat Dateien verschlüsselt .xort wurde angehängt



Auf dem Rechner wurde ein Email-Anhang im zip-Format geöffnet. Der Trojaner hat teilweise Dateien verschlüsselt (Endung nun .xrot). Antivirensoftware Avira und Microsoft essential haben nichts gefunden. Es gibt auf dem Desktop (Win 7 prof. 64 bit) 2 Einträge 0088.key und xort.key.

Alt 07.05.2016, 10:07   #2
Curie
/// Malwareteam / Visitor
 
Malware hat Dateien verschlüsselt .xort wurde angehängt - Standard

Malware hat Dateien verschlüsselt .xort wurde angehängt



Hallo Trojakö.

Mein Name ist Marie Curie. Bevor wir zur Sache kommen, möchte ich gern wissen, was Du von uns erwartest.

1. Möchtest Du die verschlüsselten Dateien wiederbekommen?
2. Möchtest Du den Rechner bereinigen?

Ich frage deshalb, weil ich oft erlebt habe, dass es diesbezüglich Missverständnisse gab. Einige interessiert die Bereinigung überhaupt nicht, weil sie sowieso formatieren wollen. Andere haben ihre Dateien in Backups und wollen nur wieder einen sauberen Rechner.

Lass es mich wissen.

Marie
__________________


Alt 07.05.2016, 21:27   #3
Trojakö
 
Malware hat Dateien verschlüsselt .xort wurde angehängt - Standard

Bereinigung



Hallo Marie-Curie,

die wichtigen Daten habe ich, so dass die Entschlüsselung zunächst nicht so wichtig ist.

Wichtig wäre mir, dass ich um eine Neuinstallation herumkomme, da ich am neuen PC (letzte Woche installiert) noch keine Wiederherstellungs-CDs oder Image gezogen habe.

Wäre es mit der Systemherstellung auf einen früheren Wiederherstellungspunkt getan? Der liegt allerdings rel. weit zurück, so dass der Aufwand groß wäre.

So wäre mir eine Bereinigung des Rechners wichtig. Entschlüsselung ist nicht so wichtig.

Hallo Marie-Curie,

die wichtigen Daten habe ich, so dass die Entschlüsselung zunächst nicht so wichtig ist.

Wichtig wäre mir, dass ich um eine Neuinstallation herumkomme, da ich am neuen PC (letzte Woche installiert) noch keine Wiederherstellungs-CDs oder Image gezogen habe.

Wäre es mit der Systemherstellung auf einen früheren Wiederherstellungspunkt getan? Der liegt allerdings rel. weit zurück, so dass der Aufwand groß wäre.

So wäre mir eine Bereinigung des Rechners wichtig. Entschlüsselung ist nicht so wichtig.

Danke und Gruß
__________________

Alt 08.05.2016, 07:05   #4
Curie
/// Malwareteam / Visitor
 
Malware hat Dateien verschlüsselt .xort wurde angehängt - Standard

Malware hat Dateien verschlüsselt .xort wurde angehängt



Hi Trojakö.

Eine Systemwiederherstellung wird keine Schadsoftware entfernen.
Die Ransomware, die Deinen Rechner infiziert hat, nennt sich VaultCrypt. In allen mir bekannten Fällen kommt VaultCrypt über einen bösen E-Mail-Anhang auf den Rechner. Der E-Mail-Anhang hat üblicherweise die Endung .js. Erinnerst Du Dich an so eine E-Mail?

Mach Dich bitte mit den folgenden Regeln vertraut, bevor Du anfängst.
  • Lies meine Instruktionen sorgfältig, führe sie alle in der gegebenen Reihenfolge aus.
  • Nimm keine Änderungen an Deinem System vor und nutze keine anderen Programme als die in meinen Instruktionen. Dies würde eine ordentliche Beurteilung sehr beeinträchtigen.
  • Wenn Du bei irgendeinem Schritt unsicher bist oder Probleme hast, hör an der Stelle bitte auf und sag mir bescheid.
  • Bleib dabei, bis ich Dir sage, dass Dein Computer sauber ist. Nur weil etwaige Symptome verschwunden sind, heißt dies nicht, dass auch die Schadsoftware weg ist.
  • Erstelle ein Backup von wichtigen Dateien, bevor Du anfängst. Schadsoftware kann manchmal unvorhersehbar reagieren.

--------------------------------------------------------------

Schritt 1
aswMBR
  • Bitte lade aswMBR runter und speichere die Datei auf Deinem Desktop.
  • Bitte schalte Deine Antivirensoftware temporär ab.
  • Mache einen Rechtsklick auf aswMBR.exe und wähle Als Administrator ausführen .
  • Klick Ja , wenn Du gefragt wird avast! virus definitions runterzuladen. Warte bis AVAST engine defs: ### erscheinen.
  • Falls Du gefragt wirst, ob "Virtualization Technology" verwendet werden soll, klicke Ja.
  • Klick auf die AV Scan: Drop-Down-Box and klicke C:\.
  • Klick auf Scan.
  • Wenn der Scan fertig ist, wirst Du die Meldung Scan finished successfully sehen. Klick Save log. Speichere den Report auf Deinem Desktop.
  • Schalte jetzt Deine Antiviren-Software wieder an
  • Kopiere den gesamten Inhalt des Reports und poste ihn in Deiner nächsten Antwort.
Achtung: Klick NICHT auf Fix oder FixMBR.
Achtung: Eine Datei namens (MBR.dat) wird auf Deinem Desktop erscheinen. Klick NICHT auf diese Datei und lösche sie NICHT.

Schritt 2
Farbar Recovery Scanner (FRST) Script
  • Drück die Windowstaste + r zur gleichen Zeit. Schreibe Notepad und klicke OK.
  • Kopiere den gesamten Inhalt der Codebox unten and füge es in das Notepaddokument ein.
    Code:
    ATTFilter
    start
    CreateRestorePoint:
    2016-05-05 20:04 - 2016-05-05 20:04 - 00001039 ____H C:\Users\Zimmermann \AppData\Roaming\upt43yiai3bjg2e4.hta
    2016-05-05 19:50 - 2016-05-05 20:04 - 00001419 ___RS C:\Users\Zimmermann \AppData\Roaming\xort.KEY
    2016-05-05 19:50 - 2016-05-05 19:50 - 00157615 _____ C:\Users\Zimmermann \AppData\Roaming\CONFIRMATION.KEY
    2016-05-05 19:42 - 2016-05-05 19:50 - 00000000 ____D C:\Users\Zimmermann \AppData\Roaming\gnupg
    Folder: C:\EFSTMPWP
    EmptyTemp:
    end
             
  • Klicke auf Datei, Speichern als und gib fixlist.txt für den Dateinamen ein.
  • Wichtig: Die Datei muss am gleichen Ort wie FRST64.exe gespeichert werden.
WARNUNG: Dieses Script ist nur dafür gedacht auf diesem System ausgeführt zu werden. Verwende es nicht auf einem anderen System! Dies kann Schäden am Betriebssystem verursachen.
  • Doppelklicke FRST64.exe, um es zu starten.
  • Klicke Entfernen.
  • Ein Report (Fixlog.txt) wird auf Deinem Desktop gespeichert. Bitte poste den Report in Deiner nächsten Antwort.

======================================================

Schritt 3
Logs
Deine nächste Antwort sollte die folgenden Logs beinhalten
  • Fixlog.txt
  • aswMBR Report

Ich habe Dir die xort.KEY, xort.txt und 00088.KEY Dateien auf dem Desktop liegen gelassen. Sie sind nicht schädlich, sondern beinhalten Information, die zur Wiederherstellung nötig wären. Wenn Du sicher bist, dass Du sie nicht brauchst, dann kannst Du sie in den Papierkorb schieben.

Geändert von Curie (08.05.2016 um 07:30 Uhr)

Alt 08.05.2016, 11:17   #5
Trojakö
 
Malware hat Dateien verschlüsselt .xort wurde angehängt - Standard

Malware hat Dateien verschlüsselt .xort wurde angehängt



Hallo Marie-Curie,

avastmbr stürzt beim Scan ab. Meldung anbei.

Grüße


Alt 08.05.2016, 11:35   #6
Curie
/// Malwareteam / Visitor
 
Malware hat Dateien verschlüsselt .xort wurde angehängt - Standard

Malware hat Dateien verschlüsselt .xort wurde angehängt



Lass den ersten Schritt vorerst aus und mach nur den zweiten.

Alt 08.05.2016, 12:38   #7
Trojakö
 
Malware hat Dateien verschlüsselt .xort wurde angehängt - Standard

Malware hat Dateien verschlüsselt .xort wurde angehängt



Anbei die Fixlog.txt.

Alt 08.05.2016, 17:58   #8
Curie
/// Malwareteam / Visitor
 
Malware hat Dateien verschlüsselt .xort wurde angehängt - Standard

Malware hat Dateien verschlüsselt .xort wurde angehängt



Schritt 1
Malwarebytes Anti-Malware (MBAM)
  • Bitte lade Dir Malwarebytes Anti-Malware runter.
  • Führe mbam-setup.x.x.xxxx.exe (x steht für die Versionsnummer) aus und installiere das Programm.
  • Öffne Malwarebytes Anti-Malware and klick auf Jetzt updaten.
  • Klick auf den Tab Einstellungen, danach auf Erkennung und Schutz. Setze ein Häkchen bei Suche nach Rootkits
  • Klick auf den Tab Suchlauf, stell sicher, dass Bedrohungssuchlauf ausgewählt ist und klick Jetzt scannen.
  • Achtung: Du könntest die Nachricht "Konnte DDA-Treiber nicht laden" sehen. Falls das passiert, klick auf Ja, erlaube dem PC neuzustarten und fahre fort.
  • Falls Bedrohungen entdeckt wurden, klick Auswahl entfernen. Falls Du nach einem Neustart gefragt wirst, klick auf "Ja"
  • Wenn der Suchlauf beendet ist (oder nach dem Neustart), klick den Tab Verlauf.
  • Klick auf Anwendungsprotokolle und doppelklicke auf Suchlauf-Protokoll.
  • Klick auf Kopiere in Zwischenablage und füge den Report zu Deinem nächsten Post hinzu.

Schritt 2
TDSSKiller Scan
  • Bitte lade Dir TDSSKiller runter und speichere es auf Deinem Desktop.
  • Mach einen Rechtsklick auf TDSSKiller.exe und wähle Als Administrator ausführen.
  • Klick auf Change parameters. Setze ein Häkchen für Detect TDLFS file system und Verify file digital signatures.
  • ​Klick Start Scan. Verwende den Computer während des Scans nicht.
  • Wenn etwas gefunden wurde, Setze die Aktion auf skip.
  • Klick Continue und schließe das Fenster.
  • Ein Report wird im Root-Ordner erzeugt (üblicherweise C:\). Bitte füge diesen Report zu Deinem nächsten Post hinzu.

======================================================

Schritt 3
Logs
Deine nächste Antwort sollte die folgenden Logs beinhalten
  • MBAM Suchlauf-Protokoll
  • TDSSKiller-Report

Alt 08.05.2016, 19:28   #9
Trojakö
 
Malware hat Dateien verschlüsselt .xort wurde angehängt - Standard

Malware hat Dateien verschlüsselt .xort wurde angehängt



Es wurde nichts gefunden. Ich habe die Dateien teilweise splitten müssen.

Alt 09.05.2016, 09:42   #10
Curie
/// Malwareteam / Visitor
 
Malware hat Dateien verschlüsselt .xort wurde angehängt - Standard

Malware hat Dateien verschlüsselt .xort wurde angehängt



Gut zu wissen, dass es ein Upload-Limit gibt. Ich werde meine Instruktionen dafür anpassen.
Beide Scans sind sauber, aber wir sollten noch eine abschließende Überprüfung machen.

Schritt 1
ESET Online Scan
Achtung: Dieser Scan kann lange dauern.
  • Bitte lade Dir ESET Online Scan runter und speichere die Datei auf Deinem Desktop.
  • Schalte Dein Antivirenprogramm temporär aus.
  • Führe esetsmartinstaller_enu.exe aus.
  • Stimme der EULA zu, indem Du ein Häkchen bei JA, ich bin mit den Nutzungsbedingungen einverstanden setzt. Dann klicke Starten.
  • Warte bis alle Komponenten heruntergeladen wurden.
  • Setze ein Häckchen für Erkennung von eventuell unerwünschten Anwendungen aktivieren.
  • Klick auf Advanced settings. Setze ein Häckchen für:
    • Archive prüfen
    • Auf potenziell unsichere Anwendungen prüfen
    • Anti-Stealth-Technologie aktivieren
  • Stell sicher, dass Entdeckte Bedrohungen entfernen deaktiviert ist.
  • Klicke Start.
  • Warte bis der Scan fertig ist. Bitte sei geduldig, es kann eine ganze Weile dauern.
  • Wenn der Scan fertig ist, klicke auf Liste der gefundenen Bedrohungen. Wenn keine Bedrohungen gefunden wurden, lass die folgenden zwei Punkte aus.
  • Klicke auf Als Textdatei exportieren... und speichere die Datei auf Deinem Desktop.
  • Drücke den Zurück Knopf.
  • Setze ein Häckchen für Anwendung nach dem Schließen deinstallieren und klicke Fertig.
  • Stell Deine Antivirensoftware wieder an.
  • Füge den Report zu Deiner nächsten Antwort hinzu.

Schritt 2
Farbar Recovery Scan Tool (FRST) Scan
  • Doubleklicke FRST.exe, um das Programm zu starten.
  • Stell sicher, dass ein Häckchen für Addition.txt gesetzt ist.
  • Drücke auf den Scan-Knopf und lass das Programm laufen.
  • Nach Fertigstellung klicke OK, und dann nochmals OK für die Addition.txt-Meldung.
  • Zwei Reports (FRST.txt & Addition.txt) sind nun auf Deinem Desktop. Bitte füge beide Reports zu Deiner nächsten Antwort hinzu.

======================================================

Schritt 3
Logs
Deine nächste Antwort sollte die folgenden Logs beinhalten
  • ESET Report
  • FRST.txt
  • Addition.txt
  • Gibt es irgendwelche ausstehenden Probleme mit Deinem Computer?

Alt 18.05.2016, 16:45   #11
Curie
/// Malwareteam / Visitor
 
Malware hat Dateien verschlüsselt .xort wurde angehängt - Standard

Malware hat Dateien verschlüsselt .xort wurde angehängt



Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.

Antwort

Themen zu Malware hat Dateien verschlüsselt .xort wurde angehängt
.xort, 64 bit, angehängt, antivirensoftware, avira, dateien, dateien verschlüsselt, desktop, einträge, endung, essen, gefunde, malware, microsoft, nichts, rechner, software, teilweise, troja, trojaner, träge, verschlüsselt, verschlüsselte dateien, win, win 7




Ähnliche Themen: Malware hat Dateien verschlüsselt .xort wurde angehängt


  1. .xort Dateiendung entschlüsseln? Crypto Trojaner/Malware
    Plagegeister aller Art und deren Bekämpfung - 25.03.2016 (1)
  2. *CCC Dateien verschlüsselt
    Log-Analyse und Auswertung - 04.01.2016 (10)
  3. Chimera Malware Opfer - alle Dateien verschlüsselt - wie kann das wieder entschlüsselt werden?
    Log-Analyse und Auswertung - 03.11.2015 (6)
  4. Virus verschlüsselt Dateien
    Plagegeister aller Art und deren Bekämpfung - 02.11.2015 (1)
  5. Chimara Malware - Dateien verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 01.11.2015 (4)
  6. Chimera Malware Opfer - alle Dateien verschlüsselt - wie kann das wieder entschlüsselt werden?
    Log-Analyse und Auswertung - 30.10.2015 (4)
  7. PDF und Doc Dateien verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 15.10.2015 (7)
  8. Dateien verschlüsselt evt. Cryptowall
    Log-Analyse und Auswertung - 09.09.2015 (4)
  9. Win 7: Dateien verschlüsselt
    Log-Analyse und Auswertung - 15.02.2015 (9)
  10. PC gehackt und Dateien verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 20.01.2015 (8)
  11. Malware verschlüsselt Dateien
    Plagegeister aller Art und deren Bekämpfung - 23.11.2014 (1)
  12. Windows 7: TR/PSW.Zbot.73728.71; JAVA/Lamar.jyi.31; ADWARE/DomaIQ.24569 eingefangen. wie entfernen? log-dateien angehängt.
    Log-Analyse und Auswertung - 12.08.2013 (10)
  13. BKA 14.1 Dateien Verschlüsselt
    Log-Analyse und Auswertung - 16.10.2012 (1)
  14. Bild-Dateien verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 19.07.2012 (5)
  15. Trojaner -- Dateien verschlüsselt
    Log-Analyse und Auswertung - 10.06.2012 (4)
  16. Trojaner Dateien verschlüsselt
    Log-Analyse und Auswertung - 15.05.2012 (12)
  17. Virus verlangt 50 Euro für Update OTL Dateien bereits angehängt
    Log-Analyse und Auswertung - 02.04.2012 (32)

Zum Thema Malware hat Dateien verschlüsselt .xort wurde angehängt - Auf dem Rechner wurde ein Email-Anhang im zip-Format geöffnet. Der Trojaner hat teilweise Dateien verschlüsselt (Endung nun .xrot). Antivirensoftware Avira und Microsoft essential haben nichts gefunden. Es gibt auf dem - Malware hat Dateien verschlüsselt .xort wurde angehängt...
Archiv
Du betrachtest: Malware hat Dateien verschlüsselt .xort wurde angehängt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.