Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Windows Verschlüsselung Trojaner (https://www.trojaner-board.de/115538-windows-verschluesselung-trojaner.html)

TulpenKiller 21.05.2012 20:20
Windows Verschlüsselung Trojaner
 
Guten Abend zusammen,

Irgendwann erwischt es jeden? Ja nun auch mich und ich muss mich mit meiner Ratlosigkeit an euch wenden. Ich werde versuchen detailiert zu posten was ich versucht habe und was ich raus gefunden habe.
*gebe mir Mühe

Ich habe auf einen Notebook nun auch diesen Verschlüsselungstrojaner der 200 € verlangt.
Im Zuge meiner Recherchen habe ich bereits einiges versucht. Malewarebytes findet in der Registry zwar etwas und "Bereinigt" dieses auch, aber dann ist kein weiterkommen.
DeCryptHelper konnte mir nicht weiter helfen, da ich eine Datei auswählen muss und die dazugehörige Original Datei. Jedoch durch das Kryptische Umbenennen aller (außer Systemdateien) Dateien habe ich keine Chance festzustellen welche die dazugehörige Originale ist.

Bereits ausprobiert, Livesystem Kaspersky Rescue mit Unlocker, Panda Security 2012 als Live System.
Im Abgesicherten Modus eine Versuchte Panda installation sowie Kaspersky. Meldung erfolgreich, dennoch beim Starten sind immer *dlls Beschädigt sodass diese Programme nicht ausgeführt werden können.

Ich hoffe es weiß jemand Rat.


Code:
Malwarebytes Log
Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.04.08

Windows 7 Service Pack 1 x86 FAT (Abgesichertenmodus)
Internet Explorer 9.0.8112.16421
sonja :: SONJA-PC [Administrator]

Schutz: Deaktiviert

21.05.2012 15:09:51
mbam-log-2012-05-21 (15-15-08).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 182576
Laufzeit: 2 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Bösartig: (C:\Windows\system32\userinit.exe,C:\Windows\system32\07AE8B57965A45FE2238.exe,) Gut: (userinit.exe) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Psychotic 22.05.2012 08:55
:hallo:

Vorgehen bei Verschlüsselungstrojaner
  1. Besuche diesen Link - hier findest du die derzeit verfügbaren Tools sowie die Anweisungen, wie du zu verfahren hast.
    Wenn diese Tools dir nicht helfen, gibt es momentan kein Mittel gegen die Verschlüsselung. Habe Geduld, bis die Experten einen Weg gefunden haben, sie zu beheben!

  2. Wenn Bestandteile des Schädlings bzw. die Email, mit der er verschickt wurde, sich noch auf deinem Rechner befinden, besuche bitte diesen Link, um die Entwicklung von Gegenmaßnahmen voranzutreiben!

Mit freundlichem Gruß

Das Team von Trojaner-Board.de

TulpenKiller 22.05.2012 15:37
Hi ich grüße dich,

Vielen Dank für deine Antwort.

Ich habe mal als letzten Versuch eine Systemwiederherstellung durchgeführt und siehe da, windows läuft normal.

Ist ja schonmal etwas, Persönliche Dateien sowie Dateien aus Lexware und Skype usw sind gesperrt und die Programme starten dadurch nicht.

DeCryptHelper usw. habe ich nun durchprobiert indem ich aus einen Backup gleiche Dateien genommen habe. Entschlüsselung dennoch nicht möglich.

Nun gut, ich schaue noch was ich auf dem Rechner von diesem Trojaner befindet, und folge dann deinem Link.

Danach wird er formatiert und neu aufgesetzt.

Nochmal vielen Dank für deine Hilfe!

Psychotic 23.05.2012 06:09
Warten auf Entschlüsselungstool

Dieses Thema wurde aus meinen Abos gelöscht.
Solltest du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen!


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:12 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129