|
Alle Dateien durch Howdecrypt Virus verschlüsselt - Entschlüsselungsversuche bisher erfolglos! Hallo, nachdem Howdecrypt bisher nur einmal in diesem Forum aufgetaucht ist, melde ich heute schon das zweite Problem mit diesem Erpresservirus. Ich habe ein ThinkPad T500 mit Windows 7. Vorgestern verschwanden nach dem Hochfahren und der Anmeldung plötzlich alle Icons auf meinem Desktop. Weder Taskleiste war zu sehen, noch funktionierte die Windows-Starttaste. Nach einer Anleitung in diesem Forum konnte ich den Laptop wieder zum Laufen bringen. Nachdem ich erst einmal meine wichtigsten Daten gesichert hatte, war ich sehr beruhigt. Allerdings fiel mir am nächsten morgen auf, daß alle Dateien an diesem Vormittag überschrieben worden waren und sich keine einzige Datei mehr öffnen ließ. Betroffen sind alle Dateien (Excel-, Word-, PDF-, Bilddateien usw). Im Windows-Explorer sind sämtliche Verzeichnisse und Dateinamen wie bisher erhalten. Auch die Dateiendungen stimmen (xls, doc, pdf). Allerdings wurden alle Dateien zwischen 10.04 und 10.13 Uhr geändert und lassen sich nicht mehr öffnen. Die Suchfunktion findet allerdings noch alle Dateien. Nachdem ich schon zwei Tage in diesem Forum lese, habe ich natürlich schon den Decrypthelper installiert. Alle Versuche einen Entschlüsselungscode zu bekommen scheiterten, da die Dateien in der Größe immer einige Bytes Abweichung hatten. Nachdem ich endlich die "Chrysanthemum"-Datei von einem anderen Windows 7 Nutzer kopieren konnte, schwand auch diese letzte Hoffnung, denn meine Datei hat 879906 Bytes und die andere Datei hatte 879394 Bytes und es ließ sich wieder kein Entschlüsselungscode generieren. Andere Entschlüsselungstools habe ich auch ausprobiert - immer ohne Erfolg. Ich denke, es geht hier nicht mehr um den Virus, sondern nur um das Entschlüsseln meiner Dateien. Leider konnte ich bisher noch keine Logdatei erzeugen. Dem Link um das Farbar Recovery Scan Toll herunterzuladen bin ich zwar gefolgt. Allerdings zeigte es beim Download an, daß "iMesh" heruntergeladen wurde. Ich würde mich freuen, wenn es irgendwie möglich wäre, meine Daten zu retten. Herzlichen Dank schon einmal im voraus. Waldfee |
Hi, du hast beim Download auf Werbung geklickt, bitte auf den Schriftzug "Download FRST" klicken. |
Hallo, hier also der Inhalt der Logdatei FRST.txt: FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 20-02-2014--- --- --- Addition.txt Code: Additional scan result of Farbar Recovery Scan Tool (x64) Version: 20-02-2014[/CODE] |
Damit ich jetzt mal auf Kurs bin: dir geht es nicht um das bereinigen (des total verseuchten) Rechners sondern nur ums Entschlüsseln? Das haben wir schnell: leider unmöglich. |
Hallo Schrauber, Danke für die eindeutige Auskunft. Einen Großteil der Dateien hatte ich ja gesichert, allerdings hatte ich die letzte Zeit viel gearbeitet und die letzte Sicherung lag einen knappen Monat zurück. Es ist ja, als ob einen der Boden unter den Füßen weggezogen wird, wenn plötzlich der ganze Arbeitsplatz "vernichtet" ist. Ich habe vor, mit einer anderen Festplatte weiterzuarbeiten und die jetzige Festplatte aufzuheben, um vielleicht später einmal, wenn "Howdescript" öfters zugeschlagen hat (und vielleicht dadurch eine Entschlüsselung möglich ist), diese Festplatte entschlüsseln zu können (Das Ganze fällt wohl unter die Rubrik: "Die Hoffnung stirbt zuletzt"). Für mich stellt sich die Frage, ob die externen Festplatten, auf denen ich bis im Januar die Datensicherung meines "verseuchten Computers" gemacht habe, auch gefährdet sind. Muß/Kann ich etwas unternehmen, damit die Dateien auf den externen Festplatten geschützt sind? Kann man sehen, ab wann der Computer total verseucht wurde? Ich habe mir nach einem Virusbefall einmal den "Spyhunter" installiert, nachdem ich durch das Internet explizit auf diesen Virus "gehetzt" wurde. Auch beim Suchen der Fehlerbehebung nach dem "Howdecrypt"-Virus gibt es auf den ersten Google-Seiten keine anderen Hinweise, als die, die auf den Spyhunter verweisen... Ich weiß nicht, ob ich mir damals die Grundlage für das jetzige Problem geholt habe, denn aktuell bin ich mir keiner Schuld bewußt, daß ich irgendeine Datei geöffnet hätte, die mir den "Howdecrpyt-Virus" beschert haben könnte. Nach dem Virusbefall am Dienstag und der vermeintlichen Auslöschung des Viruses, habe ich noch meine wichtigsten Dateien auf den (Dienstreisen-)Rechner meines Mannes gespeichert. Deswegen stellt sich auch noch die Frage: Was muß ich tun, um den Rechner meines Mannes zu schützen? Seine Daten habe ich schon einmal gesichert - aber erst nach meiner Übertragung. Wie kann ich meine jetzige Festplatte bereinigen, bevor die andere Festplatte kommt und ich die jetzige in den "Winterschlaf" lege? Bzw. Kann man da etwas bereinigen, oder sollte man gleich Format "F" machen (was ich wegen der Daten aber nicht tun will). Die letzte Datensicherung (der schon verschlüsselten Dateien) habe ich auf eine separate Festplatte gemacht. Ist es besser, auf dieser nichts anderes mehr zu speichern? Ich würde gerne, die Adressen und die Mails von meinem jetzigen Outlook 2003 auf die neue Festplatte kopieren. Ist das überhaupt ratsam? Ich wäre sehr dankbar, wenn Du mir noch einmal auf diese Fragen antworten könntest. Übrigens habe ich ja die letzten Tage mit "Malwarebytes" einen Suchlauf gemacht. Dieser hat als einzige Bedrohung den Decrypt-Helper gefunden, der hier im Forum empfohlen wird.... Das ist ja eigentlich auch schon ein schlimmes Zeichen.... Wenn ich eine ältere Version des Acronis-Abbilds auf die neue Festplatte spiegele, kann es da sein, daß ich mir auf die neue Festplatte dann auch gleich die ganze Verseuchung kopiere? Herzlichen Dank für dieses Forum und für alle Idealisten, die hier den normalen Usern in solch schwierigen Zeiten beistehen. Gruß Heidi |
Solche Daten wie Outlook kannste sichern, die Externen sollten auch Safe sein, einfach mal mit dem Antivirenprogramm scannen. Der Rechner ansich ist aber aktuell immer noch total verseucht. Das wird aber nicht so einfach auf andere Platten oder Rechner springen. |
Lieber Schrauber, vielen Dank für die Auskunft. Besteht die Möglichkeit mit Antivir und anderen Malwareprogrammen die Festplatte zu bereinigen? Wenn ja: welche Programme bieten die besten Chancen, die Festplatte sauber zu kriegen? Danke! Heidi Hallo, Schrauber, jetzt habe ich noch einmal eine Frage. Unter folgendem Link soll man sich seine Dateien gegen ein kleines Trinkgeld entschlüsseln lassen können. Hört sich ja verlockend an, nur traue ich mich natürlich nicht, diese Zip-Datei auszuführen. Weißt Du da mehr darüber? Zitat:
www. bleepingcomputer .com/forums/index.php?app=core&module=search§ion=search&do=search&fromsearch=1 Ich habe ein paar Leerzeichen eingefügt, und hoffe, daß der Link jetzt zu finden ist. Gruß Waldfee ES HAT FUNKTIONIERT! ICH HABE DIE DATEIEN ENTSCHLÜSSELN KÖNNEN! Anti-CryptorBit von hxxp://download.bleepingcomputer.com/crpytorbit/Anti-CryptorBit .zip hat geholfen. (Achtung: Leerzeichen vor .zip eingefügt!) Von hier aus einen herzlichen Dank allen Beteiligten vom Forum von bleepingcomputer. com Heidi |
BleepingComputer ist ne gute Seite aus der Community, ich bin dort auch. Den Rechner kann ich bereinigen wenn Du magst. |
Hallo Schrauber, vielen Dank für Deine Nachricht. Da ich das Thema meines ersten Beitrags nicht nachträglich ändern konnte, würde ich mich darüber freuen, wenn Du einen Hinweis einfügen könntest, daß das Thema gelöst ist. Ich hätte gerne auch noch "Bluesoftware" auf die Lösung hingewiesen, denn der fragte am selben Tag wie ich nach der Entschlüsselung der Howdecrypt-Verschlüsselung. Aber ich konnte/durfte auf seinen Beitrag nicht antworten. Wie würde die Bereinigung aussehen, die Du anbietest? Ging das über Fernzugriff oder müßte ich Dir den Laptop oder die Festplatte schicken. Da ich auf meinem "verseuchten" Computer das Entschlüsselungs-Programm nicht aufspielen konnte, habe ich mir soeben die Festplatte des Notebooks wieder einmal ausgebaut und an den Computer meines Mannes gehängt. Ich habe ja eine zweite Festplatte bestellt, die heute oder morgen kommen sollte, auf die ich erst die gesamten Dateien überspielen wollte. Dann hatte ich ursprünglich gedacht, den Computer "platt" zu machen und neu zu bespielen. Wenn ich den Computer allerdings durch eine Bereinigung sauber kriege, bin ich natürlich sehr daran interessiert und ebenso an einem guten Dateidatensicherungssystem. Ich habe mir vor Jahren ja einmal Acronis True Image gekauft, aber dieses Programm eigentlich nie richtig genutzt. Was würde die Bereinigung meines Notebooks kosten? Viele Grüße Heidi |
Das machen wir wie mit FRST oben, durch Logs posten. Scan mit Combofix
|
Lieber Schrauber, hoffentlich habe ich alles richtig gemacht. Obwohl ich den Echtzeitscanner und den Browserschutz von Avira ausgeschalten hatte, meldete das Programm, daß Avira noch laufen würde, weswegen ich mich dann erst einmal im Internet erkundigte, ob noch etwas anderes zu tun sei. Ist mit diesem ComboFix-Durchlauf mein Computer bereinigt? Gruß Heidi Code: |
Downloade Dir bitte  Malwarebytes Anti-Malware
Downloade Dir bitte  AdwCleaner auf deinen Desktop.
Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
und ein frisches FRST log bitte. |
Hallo Schrauber, ich hatte gerade vor drei Tagen einen Scan mit Malwarebytes gemacht, so daß bei dem von Dir jetzt angeordneten Scan nichts herauskam. Ich habe bei FRST die 64-Bit-Datei geladen. Ist/War das richtig? Hier die Log-Datei von Junkware-Removal: Code: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~FRST Logfile: FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 27-02-2014 02--- --- --- --- --- --- Ich hoffe, daß herauskommt, daß mein Computer nun nicht mehr verseucht ist. Herzliche Grüße Heidi Ich stelle hier noch einmal die verschiedenen Logdateien von Malwarebytes hinein, die ich innerhalb der letzten zehn Tage gemacht habe. Hier vom 25.2.2014 Code: Malwarebytes Anti-Malware 1.75.0.1300Hier vom 27.2.14: Code: Malwarebytes Anti-Malware 1.75.0.1300Gruß Heidi |
64Bit is schon korrekt :) ESET Online Scanner
Downloade Dir bitte  SecurityCheck und:
und ein frisches FRST log bitte. Noch Probleme? :) |
Hallo Schrauber, bitte entschuldige, daß ich heute erst antworte. Der Logfile vom Eset Smartinstaller war zu groß, ich habe ihn gezipt und als Anhang angehängt. Ich hoffe, daß das alles richtig ist und lesbar ist. Den Eset Smartinstaller habe ich aus folgenden Grund bisher noch nicht deinstalliert und gelöscht: Ich hatte bei der Untersuchung eine unserer bisherigen Festplatten angehängt, einen Stick und die Festplatte, auf die ich die verschlüsselten Dateien gespeichert hatte. Nachdem der Eset Smartinstaller über 1800 Bedrohungen auf der Festplatte C gefunden hatte, hatte ich Angst, daß all meine verschlüsselten Dateien durch den Smartinstaller gelöscht werden könnten. Daher habe ich die neue Festplatte mit den verschlüsselten Dateien während der Smartinstaller noch mit LW C beschäftigt war, abgeklemmt. Daher wäre diese jetzt noch zu prüfen, sowie ein paar USB-Sticks und die zweite alte Sicherungsfestplatte. Kann ich denn die verschiedenen Laufwerke, die ich zusätzlich mit dem Eset prüfen möchte, selbst auswählen, damit nicht immer Laufwerk C mit untersucht werden muß? Die verschlüsselten Dateien waren dann aber nach dem Scan trotz meiner Befürchtung alle erhalten. Ich habe am Rechner meines Mannes angefangen die selbe Prozedur durchzuführen, die Du mir in diesem Thread gesagt hast (FRST, Combofix, Malwarebytes, AdwCleaner) . Nun hat mich aber der Mut verlassen, nachdem im Board ausdrücklich darauf hingewiesen wird, dies nur unter Eurer professionellen Anleitung zu machen. Das Problem ist, ich bin nicht nur für meinen eigenen Computer zuständig, sondern auch für den meines Mannes und meiner drei Töchter. Kann/darf ich denn diese vier Rechner nach der in diesem Thread gemachten Anleitung bereinigen? Ich will Dich ja nicht über Gebühr beanspruchen, obwohl es für mich natürlich selbstverständlich ist, daß ich diese großartige Hilfestellung mit einer Spende honoriere. Mein bereinigter Rechner läuft ja wie die Feuerwehr, ich empfinde das als ein wahres Geschenk. Hier der Logfile vom Security Check: Code: Results of screen317's Security Check version 0.99.79 Heidi |
Ich habe ein Problem: Die Festplatte, die ich während des Eset Scans abgemacht hatte, wird nun von keinem Rechner mehr erkannt. Sie arbeitet zwar, wenn ich sie anschließe, jedoch zeigt sie sich weder im Arbeitsplatz des einen noch des anderen Rechners. Gruß Heidi |
Zitat:
Poste nachher wenn wir hier fertig sind mal FRST LOgs von allen Rechern, ich schau dann mal drüber was zu machen ist :) Die Funde sind nur im Papierkorb, den Temps und dem Java Cache. Das mit der Festplatte abziehen war nit so prall. Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop. Schließe nun alle offenen Programme und trenne Dich von dem Internet. Doppelklick auf die TFC.exe und drücke auf Start. Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen. Java updaten. Papierkorb leeren. Frisches FRST Log bitte. Zu der HDD: Bitte Mal Systemsteuerung > Verwaltung > Datenträgerverwaltung aufrufen, wird die Platte da angezeigt? |
Hallo Schrauber, ich habe alles gemacht. Allerdings weiß ich nicht, ob ich einen Fehler begangen habe: Nachdem die externe Festplatte nach dem Durchlauf der TFC.exe wieder sichtbar war, habe ich die Howdecrypt-Dateien aus dieser entschlüsseln wollen. Ich habe fast das Gefühl, daß der Computer schon wieder langsamer geworden ist. Die von Bleepingcomputer.com haben schon wieder eine Verbesserung des Entschlüsselungsprogramms "Howdecrypt" hinbekommen. Aber ich hoffe, daß es noch besser wird. Hier die aktuelle FRST-Logdatei: FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 27-02-2014 02--- --- --- Danke für Deine Geduld und Mühe! Herzliche Grüße Heidi |
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: S1 axlaltnl; \??\C:\Windows\system32\drivers\axlaltnl.sys [X]Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
|
Liste der Anhänge anzeigen (Anzahl: 1) Hallo Schrauber, ich habe die Fixlog.txt erstellt und füge diese unten ein. Da ich sehr stutzig geworden bin, daß wieder einmal etwas vom "SpyHunter" gemeldet wird, und das Verzeichnis nicht zu finden war, habe ich dieses in der DOS-Ebene gesucht, aber auch nicht gefunden. Ich hänge Dir einen Screenshot von dieser Suche an. Letztendlich habe ich schon die ganze Zeit den Spyhunter in Verdacht, daß dieser das ganze Verschlüsselungsproblem (Howdecrypt) verursacht hat. Ich hatte den Spyhunter vor ca. einem halben Jahr selbst installiert, als ich einen Virus oder Wurm hatte und sich dauernd ein Popup-Fenster gemeldet hat. Nachdem ich in Google nachgeschaut hatte, was zu tun wäre, und alles auf den Spyhunter verwies, lud ich mir diesen runter und installierte ihn. Kurz nachdem ich ihn mir installiert hatte, merkte ich aber, daß ich mir eine Schadsoftware installiert hatte. Damals machte ich alles, um diese aus dem System zu bekommen. U. a. suchte und löschte ich alles was "Spyhunter" enthielt auch auf der DOS-Ebene. Bei der aktuellen Bekämpfung bzw. den Entschlüsselungsversuchen von Howdecrypt verwies auch wieder alles auf den Spyhunter, den ich aber dieses mal nicht installiert habe. Code: Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 04-03-2014Heidi |
Sieht gut aus, bitte nochmal ein frisches FRST log. Noch probleme? |
Hallo Schrauber, hier die FRST. log-Datei: FRST Logfile: FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 04-03-2014--- --- --- --- --- --- Ich versuche mich ja im Log-Datei lesen, vor allem weil ich wissen möchte, wie diese Howdecrypt-Schadsoftware auf meinen Rechner kam. Hiermit scheint es begonnen zu haben: Zitat:
Zitat:
Erst einmal aber herzlichen Dank. Gruß Heidi Ich hatte wohl im Dezember einmal etwas mit dem Trojanischen Pferd "TR ATRAPS" zu tun (habe dazu ein Word-Dokument erstellt, welches aber nicht mehr lesbar ist). Kann das mit dem Howdecrypt zusammenhängen? Gruß Heidi |
Unwarscheinlich. Aber woher das kam kann man nicht nachvollziehen. Chrome bitte einmal deinstallieren und neu installieren. Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: S1 dzehtfmr; \??\C:\Windows\system32\drivers\dzehtfmr.sys [X]Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
|
Hallo Schrauber, Danke für Deine unermüdliche Mühe. Hier die neue Fixlog: Code: Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 04-03-2014 |
Noch irgendwelche Probleme? :) |
Hallo Schrauber, dann hoffe ich ja einmal, das alles paßt. Nachdem ich immer mit einem aktuellen Antivir arbeite, stellt sich die Frage, ob dieser kostenlose Virenscanner so effizient ist. Normalerweise hätte er ja die Howdecrypt-Schadsoftware erkennen müssen. Hast Du eine Empfehlung für mich? Ich habe mich jetzt einmal mit einer Spende erkenntlich gezeigt. Wenn wir mit den Rechnern meiner drei Kinder und meines Mannes anfangen, soll ich dann die Logfiles in diesen Thread stellen? Liebe Grüße Heidi |
Ja enfach hier rein posten. Ich empfehle immer Emsisoft. Aber alles is besser als Antivir. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:45 Uhr. |
Copyright ©2000-2025, Trojaner-Board
WARNUNG an die MITLESER: 
