|
Windows XP Verschlüsselungstrojaner eingefangen. Bilder usw. nicht mehr lesbar Hallo! Ich habe mir einen Verschlüsselungsvirus eingefangen, der dafür sorgt, dass Bilder und OpenOffice-Dokumente nicht mehr lesbar sind. In jedem Ordner liegt jetzt ein GIF-Bild, ein html-Dokument und ein Textdokument mit immer gleichem Inhalt: Ich solle auf eine bestimmte Seite gehen und den Instruktionen folgen. Falls dies nicht möglich ist, solle ich einen browser torproject.org/projects/torbrowser.html.en downloaden und dann eine bestimmte Adresse eingeben. Falls ich dies nicht mache, werden die Daten nach einer unbestimmten Zeit für immer unwiderbringlich verschlüsselt bleiben. Könnt ihr mir helfen? Bin Computerlaie und bedanke mich schonmal im Voraus für eure Hilfe! Gruß Manfred |
:hallo: Mein Name ist Jürgen und ich werde Dir bei Deinem Problem behilflich sein. Zusammen schaffen wir das...:abklatsch:
 Hinweise: Ich kann Dir niemals eine Garantie geben, dass wir alle schädlichen Dateien finden werden. Eine Formatierung ist meist der schnellere und immer der sicherste Weg, aber auch nur bei wirklicher Malware empfehlenswert. Adware & Co können wir sehr gut entfernen. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis Dir jemand vom Team sagt, dass Du clean :daumenhoc bist. Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Das dauert dann zwar ein paar Stunden länger, garantiert aber, dass Du kompetente Hilfe und geprüfte Antworten bekommst. Siehe hier... Ich bedanke mich für Deine Geduld! :) Schritt 1 (Scan mit FRST) Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:  FRST 32-Bit | FRST 64-Bit(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
Lesestoff:Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
|
Hallo Jürgen! Prima, dass du dich so schnell mit meinem Problem befasst. Nachfolgend die gewünschten Dateien: 1.FRST FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 13-03-2014 01--- --- --- 2.Addition Code: Additional scan result of Farbar Recovery Scan Tool (x86) Version: 13-03-2014 01 |
Hallo Manfred, hast Du Backups von Deinen Daten? Also Sicherungskopien von den Bildern und Dokumenten? Könntest Du bitte mal den Text der in den Forderungen zu lesen ist, hier in den Thread kopieren? |
Leider keine Sicherungskopien vorhanden :stirn: Hier die Textkopie: All files including videos, photos and documents on your computer are encrypted. Encryption was produced using a unique public key generated for this computer. To decrypt files, you need to obtain the private key. The single copy of the private key, which will allow you to decrypt the files, located on a secret server on the Internet; the server will destroy the key after a time specified in this window. After that, nobody and never will be able to restore files. In order to decrypt the files, open site 4sfxctgp53imlvzk.onion.to/index.php and follow the instructions. If 4sfxctgp53imlvzk.onion.to/index.php is not opening, please follow the steps below: 1. You must download and install this browser hxxp://www.torproject.org/projects/torbrowser.html.en 2. After installation, run the browser and enter the address: 4sfxctgp53imlvzk.onion/index.php 3. Follow the instructions on the web-site. We remind you that the sooner you do, the more chances are left to recover the files. IMPORTANT INFORMATION: Your Personal CODE: 00000002-907333BC Kleiner Nachtrag: Auch in allen Ordnern mit Musikfiles (mp3) stehen die 3 Dokumente mit dem Hinweis, dass alles verschlüsselt sei. Tatsächlich kann ich diese Files aber problemlos abspielen. |
Danke für den zusätzlichen Hinweis....;) |
Hallo Manfred, die Chancen stehen immer schlecht bei den Verschlüsselungstrojanern. In Deinem Fall versuchen wir aber mit einem speziellen Tool Deine Dateien zu entschlüsseln. Lade Dir das Tool hier herunter. Entpacke und starte es, wähle den "All in one Fix". Wenn es damit nicht gelingt Deine Dateien zu entschlüsseln, sieht es sehr schlecht aus. |
Hallo Jürgen! Es klappt :taenzer: Dauert allerdings ein paar Stunden, weil ich jeden Ordner einzeln reparieren lassen muss, da das Programm geschachtelte Ordner nicht erkennt. Eine mit OpenOffice erstellte Tabelle, die direkt auf dem Desktop lag, kann leider auch nicht entschlüsselt werden (jedenfalls habe ich bisher keinen Weg mit dem P)rogramm gefunden. Egal - herzlichen Dank! Gruß Manfred PS: Melde mich nochmals, wenn alle Bilder wiederhergestellt sind... |
Zitat:
|
Hallo Jürgen! So, bin mittlerweile fertig mit dem Entschlüsseln. Es wurden zwar alle Bilder entschlüsselt und wieder sichtbar, aber leider sind die meisten der Bilder nur als Minibild und nicht in der ursprünglichen Größe wiedererstellt worden. :heulen: Gibt es noch einen Weg, die Ursprungsgröße wieder zu erreichen? Dein Hinweis, dass wir noch nicht fertig sind, bezieht sich sicherlich u.a. auf Smart Guard Protection und dessen Entfernung. Den habe ich mir bei dem "Chaosverursachungsklick" nämlich auch noch eingefangen und der steht unter "Programme". Habe aber keine weiteren Löschversuche unternommen. Und dann läuft wohl sporadisch immer ein Download, mit ordentlich Bytes, von dem ich aber sonst nichts sehe und auch keine Meldungen bekomme.... Gruß Manfred |
Hallo Manfred, bitte lade 2-3 dieser >nicht die Privatsphäre verletzende< verkleinerten Bilder bei File-Upload.net - Ihr kostenloser File Hoster! hoch und mail mir den Download-Link via PM. Solltest Du noch verschlüsselte finden, dann lade solche auch hoch. |
Hallo Manfred, bitte lege einen neuen Ordner auf dem Desktop an mit dem Namen "kleine Bilder". Kopiere da alle "zu kleinen" Bilder rein. Lade Dir dann bitte diese Tool herunter: team.winfuture.de/to_webmaster/files/JPEGsnoop-bin.zip Entpacken und installieren. http://s7.directupload.net/images/140328/hdll5h9y.png Dann Deinen Ordner "kleine Bilder" auswählen. Es wird dann ein neuer Ordner in den bestehenden integriert und darin sollten sich dann auch Kopien Deiner Bilder in größerem Format befinden... Kannst Du mit dieser "Vergrößerung" leben? :) |
Hallo Jürgen! Habe einen ersten Test gemacht! Die Größe reicht. Jetzt muss ich erstmal reichlich Ordner durchschauen und kopieren. Vorab aber schonmal ganz herzlichen Dank für eure tolle Hilfe!!! Melde mich, wenn ich fertig bin und wir dann den Rest angehen können... (Kann aber 1-2 Tage dauern) Gruß Manfred |
OK :) |
Moin Jürgen! Habe jetzt fast alle Fotoordner wiederhergestellt. Rest mache ich im Laufe der Woche. Sicherungskopien sind auf separatem Stick :daumenhoc Nochmals Danke für die Hilfe! Jetzt könnten wir den Rest angehen... Gruß Manfred |
Gute Arbeit Manfred! Jetzt haben wir aber ein anderes Problem: Das Supportende von XP am 08.04.2014... Dein PC genügt vielleicht gerade den Anforderungen für eine Windows 7 Installation. Glaube aber dass Windows 7 mit 1 GB RAM nicht viel Freude bereitet. Außerdem kenne ich den Prozessor nicht. Windows XP würde ich nicht weiter verwenden. Wohl am besten wäre eine Linux-Distribution wie ubuntu. Das wäre für Deine Anwendungen und Hardware sehr geeignet und zudem ist es kostenlos. Hast Du denn mal Lust sowas auszuprobieren? Dann erkläre ich Dir wie Du ubuntu oder eine andere Linux-Distribution auf Deinem PC testen kannst, ohne dass Daten verändert oder gelöscht werden. Glaub mir, nach kurzer Eingewöhnungszeit kommst Du sehr schnell klar damit. Ist halt alles etwas anders als unter Windows. Dafür viel sicherer (Virenscanner nicht nötig) und Programme wie Open-Office, Firefox, Thunderbird sind schon vorinstalliert. ;) Oder möchtest Du lieber weiter mit XP arbeiten? |
Zitat:
Und noch eine Frage: Sind dann alle bereits installierten Programme weiterhin nutzbar oder müssten die dann neu geladen werden? Gruß Manfred |
Hallo Manfred, wenn Du Dich entscheiden solltest, Ubuntu zu installieren, dann kannst Du es so machen, dass Du Deine bereinigte XP-Installation behältst und die Programme nutzen kannst. Ins Internet kannst Du dann über Linux (sog. Dualboot-System). Schauen wir mal wie es jetzt auf dem PC aussieht. Bitte frische FRST-Logs (Haken setzen bei Addition.txt und auf Scan drücken)... ;) |
Klingt gut... Hier die Dateien: FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 13-03-2014 01--- --- --- Code: Additional scan result of Farbar Recovery Scan Tool (x86) Version: 13-03-2014 01Manfred |
Hallo Manfred, ich finde das Programm welches Du angesprochen hast, nicht in der Addition.txt. Kannst Du aber aus der Liste der installierten Anwendungen entfernen. Welchen Prozess meinst Du genau? Wir machen in der Zwischenzeit so weiter: :) Schritt 1 Scan mit Combofix
|
Das Programm "Smart Guard Protection" wird zwar unter "Alle Programme" angezeigt, lässt sich aber mittels Systemsteuerung nicht löschen, weil es nicht als Programm aufgeführt wird. Welcher Prozess die Netzlast verursacht, weiß ich leider nicht. Jetzt läuft gerade wieder ein Download mit 2,9MBit/s ?! Hier die gewünschte Datei: Code: ComboFix 14-04-05.01 - Manfred Hack 05.04.2014 13:54:29.1.2 - x86 |
Wie immer Manfred, gut gemacht! :daumenhoc Schritt 1 Aktualisiere die Datenbanken und mach bitte einen Quickscan mit http://filepony.de/icon/malwarebytes_anti_malware.png Malwarebytes Antimalware. Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Poste mir den Inhalt der Logdatei. Schritt 2 ESET Online Scanner
Schritt 3 Lade dir die passende Version von SystemLook vom folgenden Spiegel herunter und speichere das Tool auf dem Desktop: SystemLook (32 bit) | SystemLook (64 bit)
Schritt 4 Bitte starte http://filepony.de/icon/frst.pngFRST erneut, setze den Haken auch bei Addition.txt und drücke auf Scan. Bitte poste mir die Inhalte der Logs von MBAM, ESET, Systemlook und FRST hier in den Thread. |
Das Scannen von Eset hat ein paar Stunden gedauert... Die 5 Dateien sind zu groß, um sie in einem Dokument zu senden. Deshalb folgen jetzt mehrere Antworten... Code: ComboFix 14-04-05.01 - Manfred Hack 05.04.2014 13:54:29.1.2 - x86 |
:) Kein Problem Manfred. Das letzte Log hast aber schon gepostet, das ist das von Combofix... ;) |
2. Teil Der Text von ESET ist zu lang! Ich mache 2 Teile daraus... Code: ESETSmartInstaller@High as downloader log: |
Teil 3 mit Eset-Rest und SystemLook: Code: sh=4687FCE3FAF4EF61FFA0C1DDC640B357B094A969 ft=0 fh=0000000000000000 vn="Win32/Filecoder.CB trojan" ac=I fn="C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Anwendungsdaten\UNPACK-FILES.HTM"Code: SystemLook 30.07.11 by jpshortstuff |
Jetzt noch FRST und Addition... FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 13-03-2014 01Code: Additional scan result of Farbar Recovery Scan Tool (x86) Version: 13-03-2014 01 |
Malwarebytes bitte auch noch :)... Frage nebenbei...Du hast Deine entschlüsselten Bilder alle gesichert auf dem USB-Stick oder? |
Weiß nicht, wo ich die Datei von Malwarebytes gelassen habe. Muss ich halt nochmals einen Lauf starten... Sicherung auf Micro-SD. |
OK.... :) |
Hier ist sie: Code: Malwarebytes Anti-Malware 1.75.0.1300 |
Gut gemacht Manfred! :daumenhoc Fangen wir an aufzuräumen: ;) Übrigens: Die Meldung von MBAM braucht Dich nicht zu beunruhigen... Zitat:
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: CMD: del /F/S/Q "C:\UNPACK-FILES.HTM"Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
Schritt 2 Installation eines Antivirengrogramms Meine Empfehlung: 30 Tage Testversion http://filepony.de/icon/emsisoft_anti_malware.pngEmsisoft Antimalware Download Bitte installieren, updaten, Vollscan machen, alle Funde in Quarantäne verschieben lassen. Bitte poste mir die Fixlog.txt (kannst als .zip anhängen ;) ) und den Scan-Befund von Emsisoft. |
Emsisoft lässt sich nicht lauffähig installieren. Zuerst stand das programm 30 Min. auf "Update", ohne das etwas passierte. Habe es dann abgebrochen und nochmals gestartet. Jetzt steht es schonwieder eine gute Viertelstunde auf "Prüfung". ich breche jetzt wieder ab und versuche den "Freeware"-Modus... Nachtrag: Freeware-Modus kommt auch nicht über "Prüfung" hinweg... Hier schonmal die Fixlog-Datei: Code: Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 13-03-2014 01 |
Ok, Manfred. Lassen wir das mit Emsisoft sein. Deinstalliere bitte, wenn es was zu deinstallieren gibt... ;) Schritt 2 Installation eines Antivirengrogramms http://filepony.de/icon/kaspersky_antivir.pngKaspersky Antivirus Bitte runterladen, installieren, updaten, Scan durchführen. :) |
Emsisoft läuft mittlerweile! Habe den Paralleldownload abgeschaltet und auf 1 gestellt... Jetzt scannt das Programm seit ca. 20 Min.. Derzeit knapp 73.000 Dateien gescannt. Dauert also noch etwas...:pfeiff: Melde mich, wenn das Programm fertig ist. |
Auch OK... ;) |
Fertig! Hier die Logdaten: Code: Emsisoft Anti-Malware - Version 8.1 |
OK, Manfred! Wir sind fertig.... :party: Bezüglich eines alternativen Betriebssystems habe ich ja schon mal http://www.edubuntu.org/sites/defaul...go-only_32.pngubuntu erwähnt. Download ISO brennen und von CD booten. Alle weiteren Infos bekommst Du hier: Desktop-CD ? Wiki ? ubuntuusers.de Einfach durchkämpfen, lesen und ausprobieren. Im Live-Modus kannst aber nichts "kaputt" machen. Gibts jetzt noch Probleme mit Deinem Rechner? Oder hast Du noch Fragen? Ansonsten...lade Dir bitte http://filepony.de/icon/delfix.pngDelFix herunter.
Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst. Starte Deinen Rechner abschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst Du sie bedenkenlos löschen. >>clean<< Wir haben es geschafft! :abklatsch: Die Logs sehen für mich im Moment sauber aus. :daumenhoc Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst....:aufsmaul: ;) und/oder das Forum mit einer kleinen Spende unterstützen. :applaus: Es bleibt mir nur noch, Dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen. ;) Epilog: Tipps, Dos & Don'ts Aktualität von System und SoftwareDas Betriebsystem Windows muss zwingend immer auf dem neusten Stand sein. Stelle sicher, dass die automatischen Updates aktiviert sind:
Auch die installierte Software sollte immer in der aktuellsten Version vorliegen. Speziell gilt das für den Browser, Java, Flash-Player und PDF-Reader, denn bekannte Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim blossen Besuch einer präparierten Website per Drive-by Download Malware zu installieren. Das kann sogar auf normalerweise legitimen Websites geschehen, wenn es einem Angreifer gelungen ist, seinen Code in die Seite einzuschleusen, und ist deshalb relativ unberechenbar.
Sicherheits-SoftwareEine Bemerkung vorneweg: Jede Softwarelösung hat ihre Schwächen. Die gesamte Verantwortung für die Sicherheit auf Software zu übertragen und einen Rundum-Schutz zu erwarten, wäre eine gefährliche Illusion. Bei unbedachtem oder bewusst risikoreichem Verhalten wird auch das beste Programm früher oder später seinen Dienst versagen (z.B. ein Virenscanner, der eine infizierte Datei nicht erkennt). Trotzdem ist entsprechende Software natürlich wichtig und hilft dir in Kombination mit einem gut gewarteten (up-to-date) System und durchdachtem Verhalten, deinen Rechner sauber zu halten.
Es liegt in der Natur der Sache, dass die am weitesten verbreitete Anwendungs-Software auch am häufigsten von Malware-Autoren attackiert wird. Es kann daher bereits einen kleinen Sicherheitsgewinn darstellen, wenn man alternative Software (z.B. einen alternativen PDF Reader) benutzt. Anstelle des Internet Explorers kann man beispielsweise den Mozilla Firefox einsetzen, für welchen es zwei nützliche Addons zur Empfehlung gibt:
(Un-)Sicheres Verhalten im InternetNebst unbemerkten Drive-by Installationen wird Malware aber auch oft mehr oder weniger aktiv vom Benutzer selbst installiert. Der Besuch zwielichtiger Websites kann bereits Risiken bergen. Und Downloads aus dubiosen Quellen sind immer russisches Roulette. Auch wenn der Virenscanner im Moment darin keine Bedrohung erkennt, muss das nichts bedeuten.
Oft wird auch versucht, den Benutzer mit mehr oder weniger trickreichen Methoden dazu zu bringen, eine für ihn verhängnisvolle Handlung selbst auszuführen (Überbegriff Social Engineering).
Nervige Adware (Werbung) und unnötige Toolbars werden auch meist durch den Benutzer selbst mitinstalliert.
Allgemeine HinweiseAbschliessend noch ein paar grundsätzliche Bemerkungen:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:53 Uhr. |
Copyright ©2000-2025, Trojaner-Board
