Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Verschlüsselungstrojaner eingefangen, te94decrypt findet nichts (https://www.trojaner-board.de/114211-verschluesselungstrojaner-eingefangen-te94decrypt-findet-nichts.html)

dihudo 27.04.2012 09:00
Verschlüsselungstrojaner eingefangen, te94decrypt findet nichts
 
Auch ich habe mir einen Verschlüsselungstrojaner eingefangen

Trojaner war in einer Zip-Datei. Ist aber leider nicht mehr drin und so weiß ich leider nicht was es für einer ist.

Hat beliebige Dateien umbenannt locked-originalname.xcy

Leider hat der Trojaner auch auf die Backuplatte zugegriffen, so dass ich keine Originaldatei mehr habe (zum Vergleichen)

Ich habe nun mit dem Tool te94decrypt.exe (mit sämtlichen Keys) die Dateien
überprüft. Das Tool meldet aber imer dass es keine verschlüsselte Dateien gefunden hat.

Was kann ich sonst testen.

Gruß

markusg 27.04.2012 13:17
hi,
auf das system kannst du zugreifen?
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere
    nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

dihudo 27.04.2012 13:27
Hallo

kann das leider erst nächste Woche durchführen da ich dringend weg muss.

Auf den Rechner kann ich zurückgreifen, da ich sofort ein Image eingespielt
habe. Ich vermute also dass der Rechner wieder sauber ist.
Muss ich aber noch prüfen.

Die Backupplatten, die auch betroffen sind, sind Netzwerkplatten
(Seagate BlackArmor). Kann ich davon ausgehen dass auf denen
der Trojaner nicht werkelt?

Gruß

markusg 27.04.2012 17:40
kannst du
mache ein backup deiner dateien die verschlüsselt sind
dann entschlüsseln:
http://www.trojaner-board.de/114224-...-unlocker.html
teile mir mit obs geklappt hatt

dihudo 30.04.2012 06:51
Das Problem ist, dass ich keine Originaldatei mehr habe.

markusg 30.04.2012 09:45
findet avira nichts automatisch?
du hast nichts mehr, evtl. nen foto was du im internet hochgeladen hast?
wie siehts mit nem zweit pc aus? von dort könnte man evtl. windows beispiel bilder nehmen.

dihudo 30.04.2012 13:50
Nein, Avira findet nichts automatisch.

Werde einmal auf allen CDs, Sticks, ..... Dateien suchen die ich
vergleichen kann.

Werde dann berichten.

markusg 30.04.2012 16:56
auch mal in post 62 gucken:
http://www.trojaner-board.de/114115-...tml#post820441
da gibts n paar vergleichs dateien.

dihudo 11.05.2012 07:30
zur Info

das Tool, Avira Ransom File Unlocker, hat meine Dateien
wieder entschlüsselt.

Gruß
Dieter

markusg 11.05.2012 11:57
hi
solche malware kommt per mail.
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:24 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129