Entschlüsseln nach Trojanerbefall
 

Hallo Forum,
ein Freund übergab mir sein W7-Home-Laptop mit Trojaner-Befall 100 Euro Ukash-Methode.Ich habe den gesperrten Rechner dennoch starten können und mit Malwarebytes gesäubert (ca. 27 Dateien bzw. Registryeinträge waren infiziert) siehe Log-Datei angehängt.
Sytemwiederherstellungsschutz existiert nur für C.Alle wichtigen Daten liegen aber auf Partition D,wo kein Schutz aktiviert ist.Alle wichtigen Daten von D:/ sind jetzt verschlüsselt.Anhand der verschlüsselten 8 W7-Beispielbilder von C:/Öffentliche_Blder und decrypt 0.53 habe ich versucht zu entschlüsseln,funkt. nicht.Habe ich zwei gleich große Dateien als Pärchen,wird der Schlüssel aber nicht erstellt.
Hab die verschlüsselten Beispielbilder hier auch angehängt.
Kann mir bitte jemand den Schlüssel erstellen und hochladen?
Das wär toll!
Defogger,OTL.exe und Gmer habe ich noch nicht benutzt.
Besten dank mal vorab
Mecki

Allgemeine Hinweise bzgl. des Verschlüsselungstrojaners:
Wann genau deine Daten entschlüsselt werden können wird dir niemand genau sagen können außer vllt einer :glaskugel: es kann sein, dass du eine neuere Variante hast, deren Verschlüsselungsalgorithmus noch unbekannt ist. Sowas kann man (noch) nicht entschlüsseln und ohne Schlüssel schon garnicht - ist ja auch logisch, sonst wär es ja keine vernünftige Verschlüsselung
Einfach hier nochmal reinsehen in regelmäßigen Abständen, obige Hinweise beachten. 8 Tools mitsamt hunderten Diskussionsbeiträgen stehen da schon

Eine Notlösung für Vista und Win7-User => http://www.trojaner-board.de/115496-...erstellen.html

Entschlüsselungsversuche der verschlüsselten Dateien sind nur auf zusätzliche Kopien der verschlüsselten Dateien anzuwenden, sonst zerhackt man sich die noch weiter ohne die "original" verschlüsselte Datei mehr zu haben. Das willst du sicher nicht!

Man darf sich aber keine falschen Hoffnungen machen. Mittlerweile sieht es finster aus => Delphi-PRAXiS - Einzelnen Beitrag anzeigen - Verschlüsselungs-Trojaner, Hilfe benötigt

Und in Zukunft willst du sicher mal an ein besseres Backupkonzept denken. Hier ein Denkanstoß => http://www.trojaner-board.de/115678-...r-backups.html


Führ bitte auch ESET aus, danach sehen wir weiter.

Hinweis: ESET zeigt durchaus öfter ein paar Fehlalarme. Deswegen soll auch von ESET immer nur erst das Log gepostet und nichts entfernt werden.

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt so öffnen: per Rechtsklick => als Administrator ausführen
• Dein Anti-Virus-Programm während des Scans deaktivieren.
  
  Button http://img695.imageshack.us/img695/1599/eset1l.jpg (<< klick) drücken.
  • Firefox-User:
    Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User:
    müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Haken bei Yes, i accept the Terms of Use.
• Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives".
• Gehe sicher das bei Remove Found Threats kein Hacken gesetzt ist.
• http://img707.imageshack.us/img707/687/starteg.jpg drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke Finish.
• Browser schließen.

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen Fenster.
Hinweis: Falls du ein 64-Bit-Windows einsetzt, lautet der Pfad so:

Poste nun den Inhalt der log.txt.

Hallo Cosinus,
vielen Dank für deinen Post.
Hab meinem Freund im Grunde das gleiche gemailt.
Entschlüsselung nicht möglich,keine Schattenkopien vorhanden,Neuinstallation in Angriff nehmen.Sehr gut die Backup-Variante Acronis BRec11 mit Secure Zone.
Werde ich testweise auch einmal einrichten.
Da ich das Laptop im Moment nicht habe,kann ich auch keine ESET-Online-Scan machen.
Hängt davon ab,ob ich das Gerät nochmal bekomme.
Gruß
Mecki

SecureZone ist ein guter Ansatz, hilft aber nicht, wenn die Schädlinge noch destruktiver werden zB "fremde" oder nicht eingehangene Partitionen killen
Da hilft nur separate externe Platten zu nutzen, die dann nur angeschlossen werden wenn man das Backup macht und danach werden sie wieder im Schrank verwahrt. Genau so mach ich das etwa alle vier Wochen bei meinem Vater. Auch für den Fall, dass die interne Platte des Rechner kaputtgeht.

Hallo Cosinus,
halte es auch für den Königsweg,ein Backup auf externe Platte zu plazieren.
Ich hab das jetzt mehrmals durchgespielt und es hat immer geklappt :
mit Acronis True Image 2010 ein Platten-Image erstellen auf USB-Platte.
Platte ist nur für Backups angeschlossen.Ansonsten wird sie im Schrank ruhen.
Beim 2.Backup dann erstelle ich auf das alte Backup inkrementell,das heisst,es werden nur die Änderungen übernommen.True Image erzeugt dabei eine weitere .tib-Datei.
Dieses Image muss man validieren und dann kann man recovern,was vorher testweise mutwillig zerstört wurde.
Mit der Boot-CD und der USB-Platte kein Problem.
Gruß
Mecki:daumenhoc