Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   gvu trojaner meets truecrypt platte (https://www.trojaner-board.de/137395-gvu-trojaner-meets-truecrypt-platte.html)

Nighthawk93 29.06.2013 10:54
gvu trojaner meets truecrypt platte
 
Guten Tag Community,

eure Ratschlaege hab mir in den vergangenen Jahren sehr gute Dienste erwiese doch jetzt bin ich hier da ich mit meinem aktuellen Problem nicht zurecht komme in diesem Sinne Hallo.

Zu meinem Problem : Ich habe eine mit Truecrypt verschluesselte Partition(win7 32bit). Passwort ist mir natuerlich bekannt jedoch habe ich mir gestern den aggresivsten aller GVU Trojaner eingefangen.Dh die abgesicherten Modis sind deaktiviert und auch kein erzwungenes aufhaengen des Systems das dazu fuehrt das der Rat beendet wird ist moeglich. Erschwerend kommt hinzu das meine Platte mit Truecrypt gecryptet ist.
Dh Programme wie kickstart oder windowsunlocker starten zwar aber nur bis zu dem Punkt wo TC ins Spiel kommt und keinen Zugriff auf win zulaesst. Backups hab ich natuerlich immer mal wieder gemacht nur das Problem ist Aktuell das mein letztes 3. Wochen alt ist und ich in der Zeit wichtige Dokumente erstellt habe-.-
Ich hoffe euch reizt es dieses Problem mit mir anzugehn. Defakto ist mir klar zuerst die TC verschluesselung eeg muss bevor die Tools richtig arbeiten koennen.

Mfg Nighthawk93

schrauber 29.06.2013 10:57
Hi,



Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)
Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)
  • Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit
  • Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
  • Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:
Über den Boot Manager:
  • Starte den Rechner neu.
  • Während dem Hochfahren drücke mehrmals die F8 Taste
  • Wähle nun Computer reparieren.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Mit Windows CD/DVD (auch bei Windows 8 möglich):
  • Lege die Windows CD in dein Laufwerk.
  • Starte den Rechner neu und starte von der CD.
  • Wähle die Spracheinstellungen und klicke "Weiter".
  • Klicke auf Computerreparaturoptionen !
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Wähle in den Reparaturoptionen: Eingabeaufforderung
  • Gib nun bitte notepad ein und drücke Enter.
  • Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
    Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
  • Schließe Notepad wieder
  • Gib nun bitte folgenden Befehl ein.
    e:\frst.exe bzw. e:\frst64.exe
    Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
  • Akzeptiere den Disclaimer mit Yes und klicke Scan
Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

Nighthawk93 29.06.2013 11:18
Fettes Danke schonmal. Folgendes hat der Scan ergeben:

FRST Logfile:

FRST Logfile:
Code:
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 29-06-2013
Ran by SYSTEM on 29-06-2013 12:16:03
Running from F:\
WIN_7 (X86) OS Language: German Standard
Boot Mode: Recovery
Attention: Could not load system hive.
Attention: System hive is missing.

==================== Registry (Whitelisted) ==================

Attention: Software hive is missing.

ATTENTION: Software hive is not loaded.

BootExecute:

========================== Services (Whitelisted) =================


==================== Drivers (Whitelisted) ====================


==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========


==================== One Month Modified Files and Folders ========


==================== Known DLLs (Whitelisted) ============


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe IS MISSING <==== ATTENTION!.
C:\Windows\System32\winlogon.exe IS MISSING <==== ATTENTION!.
C:\Windows\System32\svchost.exe IS MISSING <==== ATTENTION!.
C:\Windows\System32\services.exe IS MISSING <==== ATTENTION!.
C:\Windows\System32\User32.dll IS MISSING <==== ATTENTION!.
C:\Windows\System32\userinit.exe IS MISSING <==== ATTENTION!.
C:\Windows\System32\Drivers\volsnap.sys IS MISSING <==== ATTENTION!.
C:\Windows\system32\codeintegrity\Bootcat.cache IS MISSING <==== ATTENTION!.
C:\Windows\System32\winsrv.dll IS MISSING <==== ATTENTION!.

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: <===== ATTENTION!
HKLM\...\exefile\DefaultIcon:  <===== ATTENTION!
HKLM\...\exefile\open\command:  <===== ATTENTION!

==================== Restore Points  =========================


==================== Memory info ===========================

Percentage of memory in use: 13%
Total physical RAM: 3062.68 MB
Available physical RAM: 2660.11 MB
Total Pagefile: 3058.89 MB
Available Pagefile: 2652.32 MB
Total Virtual: 2047.88 MB
Available Virtual: 1910.17 MB

==================== Drives ================================

Drive f: (HITMANPRO) (Removable) (Total:3.81 GB) (Free:3.81 GB) FAT32
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: (System-reserviert) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[System with boot components (obtained from reading drive)]

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (Size: 1863 GB) (Disk ID: A962CC0C)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=-198731366400) - (Type=07 NTFS)

========================================================
Disk: 1 (Size: 4 GB) (Disk ID: 42D33A7F)
Partition 1: (Active) - (Size=4 GB) - (Type=0B)

==================== End Of Log ============================
--- --- ---

--- --- ---

schrauber 29.06.2013 12:11
Nice...

Kannste TC von aussen irgendwie abschalten?

Nighthawk93 29.06.2013 12:27
Das ist ja das spaßige an der ganzen Sache, ich hab bis jetzt keinen Weg gefunden an TC vorbei dh mein aktueller Ansatz ist da ich ja das PW weiß evtl über einen parallele Ubuntu partition die andere zu entschlüsseln. Allerdings bin ich noch nich sonderlich fit was Linux+Tc angeht. Über hilfe wäre ich dankbar ;)

Edit: Also folgendes so wies aussieht muss ich jetzt unter Linux (Ubuntu) TC installieren und kann dann die Platte mounten jedoch nicht entschlüsseln. Dh ich hab WARSCHEINLICH(nicht sicher) lese jedoch keine schreib Rechte somit könnte ich alle Daten Retten wenns den klappt. Gibts ne möglichkeit trz noch ansatzweise das System zu retten oder ist das unmöglich ? Das ich das System in den nächsten Tagen platt machen muss, ist mir bewusst jedoch wäre es ganz geil wenn es noch paar Tage gehn würde da ichs da brauche.

Ich hab Zugriff auf die Windows Reperatur Konsole koennt ich darueber irgendwie ein Programm einschleusen was spaeter wie der Gvu startet und ihn beseitigt ?HitmanPro braucht leider internet :/

schrauber 29.06.2013 15:02
FRST liest ja eben aus der REcovery auch nur Müll aus.

Kannst Du Regedit und WIndows Explorer aus der Recovery starten?

Nighthawk93 29.06.2013 15:18
Regedit laeuft, explorer.exe find ich nicht waere jedoch moeglich das ich es runterlad und es ueber den usb stick draufzieh und starte..Wie wuerde dir das helfen ?

schrauber 29.06.2013 18:59
Wie fit biste am PC und Regedit? :)

Nighthawk93 30.06.2013 11:51
Hmmm wie fit sagen wir ich kann zmd alles oeffnen tieferes wissen ueber schad hafte eintraege usw hab ich nicht. Hab schon gegoogelt welche eintraege dieser gvu erstellt allerdings nichts brauchbares gefunden :/

schrauber 30.06.2013 14:37
Navigier mal nach C:\Programdata, dir /p zum Anzeigen des Inhalts, lösche alle Exe-Dateien die komisch aussehen bzw deren Namen Random(zufällig generiert) ist.

Gleiches Spiel mit Dein Useraccount\AppData und AppData\Roaming

Notier dir welche dateien du löschst und schreib es mir hier, dann gehen wir in die Registry.

Nighthawk93 30.06.2013 20:06
So alles abgesucht leider keine daten gefunden die sonderlich auffaellig sind:/ gibts trz einen ansatz fuer die registry ?

schrauber 30.06.2013 21:10
start menu\programs\startup

dort auch nosch schauen, in deinem Benutzerprofil. irgendwas mit.dat oder LNK (aber klein geschrieben, also lnk)

Nighthawk93 30.06.2013 21:44
Konnte leider nix loeschen....sah fuer mich alles regulaer und in ordnung aus.. hmm :/ haette auch lieber was geloescht scheint wohl als staende es schlecht um das system.

schrauber 01.07.2013 08:12
Sieht so aus. Truecrypt is halt scheisse in so einem Moment.

Du kannst noch ne Reg-Suche machen nach lnk Dateien, dat-dateien und pad-Dateien.

Nighthawk93 01.07.2013 20:34
Ja eigt sollte es mich schützen und jetzt sowas... ironie des Schicksals würd ich mal sagen ;) Im mom beschäftige ich mich stark mit der Datenrettung in Verbindung mit Linux und Truecrypt... macht zicken ohne ende -.-


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:46 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129