Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Verschlüsselungs Trojaner Problem (https://www.trojaner-board.de/115794-verschluesselungs-trojaner-problem.html)

Alex82 26.05.2012 15:19
Verschlüsselungs Trojaner Problem
 
Hallo liebes Team!

Ich habe gestern abend eine email auf meine Hotmailadresse bekommen.

Diese email stammt von dem absender tom[at]miniwatt.com mit folgender nachricht:

Sehr geehrte Kundin sehr geehrter Kunde,

in Bezug auf unsere Rechnung Nr.: 32034797 und unsere 1. sowie auch unsere 2. Mahnung mussten wir heute feststellen, dass Ihre Zahlung bei uns noch immer nicht ausgeglichen ist. Dies bedeutet einen einseitigen Vertragsbruch Ihrerseits. Nach geltendem Recht könnten wir die offene Forderung bereits jetzt bei Gericht anmelden. Wir geben Ihnen jedoch trotzdem noch eine letzte Möglichkeit, Ihre vertragliche Verpflichtung zu erfüllen, indem Sie unverzüglich die ausstehende Summe in Höhe von 766.00 EURO an uns zur Zahlung bringen.

Die Rechnung und die Bestelleinzelheiten finden Sie im Zusatzordner in der E-Mail

Nach geltendem Recht sind wir befugt, die anfallenden Kosten geltend zu machen. Alle bereits angefallenen und noch entstehenden Kosten (Mahnkosten, Rechtsanwalts- und Gerichtskosten) gehen zu Ihren Lasten.

Vermeiden Sie unnötigen Ärger und weitere Kosten und erfüllen Sie den mit uns abgeschlossenen Vertrag!



Noide-Elektro Online-Handel mit Sitz in Düsseldorf

Vorstand: Dieter Lehner, Karin Weiss
Aufsichtsratsvorsitzender: Petra Moser
Amtsgericht: Augsburg 26460

Im anhang war auch die besagte Datei die mit Mahnung.pif geendet hat. Ich war leider so dumm und hab diese natürlich angeklickt und daraufhin passierte weiter auch nichts ausser einer fehlermeldung, das Windows die datei nicht öffnen kann. Ich dachte mir weiter nichts dabei und hab am Pc weitergearbeitet. Nach ca 15 minuten hat sich mein Pc selbständig neu gestartet und nach der Windows Anmeldung kam diese Nachricht:

http://img.trojaner-board.de/verschl...gstrojaner.png

Ich konnte aber dann Gott sei dank im Abgesichertem Modus weiterarbeiten, und fand einige wichtige Infos auf eurer seite. Ich habe dann auch mit Malwarebytes den Trojaner erfolgreich vom Pc löschen können, jedoch blieb mir bis heute ein fieser Nachgeschmack, der auch mittels Systemwiederherstellung nicht gelöscht worden ist. Meine ganzen Dateien die ich auf dem PC habe sind komplett verschlüsselt und ich habe auch die Programme Decrypthelper, te94decrypt.exe mit allen keys und das programm von F Secure was mittels Phyton Script funktioniert ausprobiert. Jedoch alles ohne erfolg. Meine Dateien schauen immer noch so aus:

http://y55.img-up.net/trojan8hm3l.jpg

Da ich jetzt nicht mehr weiter weiss und ich meinen Pc nur im Höchsten Notfall wieder Neu Aufsetzten möchte, hoffe ich, dass mir jemand von euch weiterhelfen kann.

Vielen Dank,

Alex

kira 26.05.2012 21:21
Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
Zitat:
  • "Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
    - da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
    - also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
  • Charakteristische Merkmale/Profilinformationen:
    - aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du durch [X] oder Sternchen (*) ersetzen
  • Die Systemprüfung und Bereinigung:
    - kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
  • Ich empfehle Dir die Anweisungen erst einmal komplett durchzulesen, bevor du es anwendest, weil wenn du etwas falsch machst, kann es wirklich gefährlich werden. Wenn du meinen Anweisungen Schritt für Schritt folgst, kann eigentlich nichts schief gehen.
  • Innerhalb der Betreuungszeit:
    - ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
  • Die Reihenfolge:
    - genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
  • GECRACKTE SOFTWARE werden hier nicht geduldet!!!!
  • Ansonsten unsere Forumsregeln:
    - Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
  • Alle Logfile mit einem vBCode Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen:)
► Ich kann Dir beim Entfernen der Malware helfen, aber mit dem Verschlüsselung aufheben wird schwieriger...kann sein, dass wir nur ein Teil vom großen & Ganzen entschlüsseln können, oder eben garnix davon!
eventuell noch probieren mit "Wiederherstellen einer Datei mit der Schattenkopie:"
-> *klick*

Ansonsten beachte bitte folgendes:

1.
Datenentschlüsselung:
Wir sind intensiv mit der Lösung beschäftigt, wird das aber noch einige Zeit in Anspruch nehmen. Bisher leider kein Schema entdecken können, wie die Virenprogrammierern mit den Daten umgegangen sind (vlt einfach nur gestört und umbenannt?). Leider mußt du damit rechnen, diese Änderung vlt so gut wie nie rückgängig zu machen können.
Da sieht man wieder einmal wie wichtig ist, um die regelmäßige Sicherung ihrer wichtigen Dateien zu kümmern.
Wichtig!:
Nach den ersten vorliegenden Ergebnissen, ich kann dir nur wärmstens empfehlen, alle Trojaner-Funde, die sich in der Quarantine oder sonstwo befinden, NICHT endgültig vernichten bzw löschen lassen! Es liegt nämlich die Vermutung nahe, dass mit den gefundenen und dann entfernten Schadcode, die Wiederherstellung von Originaldaten ist nicht mehr möglich! Also alle Funde auf jeden Fall in der Quarantäne lassen muss!

2.
► Bevor wir beginnen (wenn Du willst) dein System von Malware zu befreien, es wäre aber vielleicht nicht verkehrt, mit einem Backup-Programm die ganze Partitionen sichern bzw. ein Image erstellen (z.B mit Parted Magic) und separat aufheben! Oder gleich die Festplatte (aufheben in den aktuellen Zustand, zumindest solange, bis es eine Lösung gibt) und ein neue kaufen!

gruß
kira


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:55 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129