Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   decrypt_instruction, cryptowall (https://www.trojaner-board.de/157601-decrypt_instruction-cryptowall.html)

hopfenhöhle 14.08.2014 23:58
decrypt_instruction, cryptowall
 
Bitte um Hilfe!
Folgendes ist passiert:
Hab mit einem Kumpel geskyped(nebenbei war firefox geöffnet, facebook, google und wiki), dann hat er mir 3 bilder geschickt, während wir geskyped haben(über den chat). er ist fotograph, bilder hat er selbst gemacht. auf einmal ploppte ständig der flashruntimeupdater auf und andere adobe-meldungen, dann irgendein fenster, in dem auf einmal irgendwas von einem download einer xyz.mp4 datei stand. diese auch von irgendeinem merkwürdigen server, der nichts mit skype zu tun hatte.
hab alles immer ge-x-t, weil ich dacht, das hätte trotzdem irgendwie mit skype oder so zu tun, da ich es nur alle paar monate nutze, für besagten kumpel in östereich.
dann ging nichts mehr. hab versucht neuzustarten, dann flackerte der bildschirm paar mal schwarz und weiß. dann fuhr der laptop runter, wieder hoch, hat alles ewig gedauert.
dann hab ich eine fehlermeldung bekommen, das irgendeine "oyubokhelf.dat" nicht mehr funktioniert. hab bei msconfig dann noch mal versucht, sämtliche programme beim hochfahren zu deaktivieren (auch eine gewisse yrkitai.exe, whoami.exe, und irgendein fotostudio, was vorher glaub ich auch nicht drauf war, da ich sowas nicht benutze bzw bilder bearbeite)
hab während des skypens nicht gesurft, nur telefoniert. mein kumpel hatte keine probleme und nur jpeg-dateien verschickt. keine ahnung, was da grad passiert ist, aber eben ist dann der browser von allein aufgegangen und eine meldung von "cryptoWall" erschien, von wegen meine dateien seien jetzt alle mit einer rsa-2048 verschlüsselung "geschützt" worden und ich soll die seite xyz besuchen, blablabla. D:
trau mich weder das ding jetzt ans internet zu hängen, noch ihn auszuschalten, weil sich die dokumente noch öffnen lassen und ich nicht weiß was passiert, wenn ich ihn jetzt ausmache. hab schon mal von so`nem fiesen virus gelesen, bei dem alle verschlüsselten daten dann verloren sind.
sind sehr wichtige unterlagen vom studium, bilder, minecraft(ja ich weiß, trotzdem etliche stunden arbeit;P) usw drauf, die ich nicht verlieren will bzw sonst nicht wiederbekomme...hauptsächlich gehts mir eigentlich um die unterlagen vom studium!!

hab mir zwar auch die ersten 4 schritte durchgelesen, aber mein einziger usb-stick ist zur zeit mein mp3-player und man soll ja auch nicht einfach irgendwas nachmachen, egal was man hier dazu findet. hab jetzt angst, wenn ich den mp3-player ranhänge, um damit die progs für die ersten 4 schritte auf den lappy zu ziehen, das der dann eventuell auch gleich mit draufgeht, falls der lappy jetzt verloren ist.

ach ja, in fast jedem ordner stecken jetzt 3 Decrypt_instruction-datein!

hoffe das irgendjemand so nett ist und mir hilft bzw weiß, was ich jetzt machen soll.
mit dem lappy mach ich sonst nur onlinebanking, besuche facebook, meine email von der uni und halt sichere seiten...kein streamen, spielen oder weiß der geier. kann also kein ergebnis von illegalen aktivitäten sein!

vorallem, sofern jemand die zeit hat mir das zu erklären, wie ist das passiert??
zugegeben, meine kaspersky-lizenz ist abgelaufen(ja ich weiß, schön blöd und selbst schuld eigentlich:( ), aber ich bin schon kurz davor meinem kumpel ganz böse hass-sms zu schicken...obwohl ich mir zwar nicht vorstellen kann, dass der mir mit absicht irgendwelchen müll schickt(einer meiner besten und langjährigsten freunde), begann das kurz nachdem er mir das erste bild bzw 2 andere hinterher geschickt hat...kann das nur ein blöder zufall sein?? hab nebenbei ja nichts gemacht, nur geskypet Öö

nachtrag...die pdf`s lassen sich doch nicht mehr öffnen, nur die .rtf-dateien usw....ahhhhhhhhhhh D: ....jpg`s sind wohl auch hin, seltsamer weise sind`ne handvoll ok, alle anderen sind "beschädigt"...ich flipp aus...diesem ei, der das ding programmiert hat, müsst man die hände. füße und nase abhacken, damit er nie wieder`ne tastatur benutzen kann :(
hoffe jemand weiß rat

achso...vergessen zu erwähnen, falls wichtig, habe noch systemwiederherstellungspunkte, die mir zumindest angezeigt werden...bringt das was? hab gelesen, dass diese bei anderen gelöscht bzw nicht mehr angezeigt wurden?! paar jpg`s und dokumente(abgesehen von pdf und office-formaten) sind ja seltsamerweise auch noch ok bei mir...

schrauber 15.08.2014 05:42
Hi,

DIe Dateien die noch bauchbar sind sichern. eine kleine befallene Datei (Bild oder Text) hier hochladen:

https://www.decryptcryptolocker.com/

hopfenhöhle 15.08.2014 18:10
ok...vielleicht doofe frage, aber paar dateien sind ja noch ok...wenn ich da jetzt meinen mp3-player ranhänger, ist der dann auch gleich infiziert bzw infiziere ich dann auch gleich meinen 2. rechner, wenn ich die datei darüber hochladen will??(im internet stand, man soll den befallenen rechner sofort vom netzwerk trennen, da sich der virus sonst ausbreitet...hab von dem ganzen kram keinen blassen dunst :( ) oder kann ich den lappy jetzt mit dem internet verbinden, ohne das da noch mehr passiert???
wie gesagt, paar textdukomente, bilder und wiederherstellungspunkte sind noch da, der lappy läuft seit gestern nacht, seitdem er vom netz getrennt ist, ploppt auch nichts mehr auf(updater etc)

p.s. riesen dank erstmal für deine antwort und den link!!!!

weiß sonst niemand, was passiert, wenn ich
1. meinen mp3-player ranhäng
oder
2. mit dem lappy ins internet geh?
ansonsten wär ich auch für ein tip für ein anderes gutes forum dankbar :)
keine ahnung, was ich jetzt genau machen soll, abgesehen von dem tip von schrauber bzw wie ich diesen jetzt am besten umsetzen soll.
(hab gelesen, das man frühestens nach 3 tagen wieder`ne erinnerung posten soll, aber kann den lappy ja jetzt nicht 3 tage laufen lassen, so wie er jetzt hier steht oder mir am sonntag irgendwo einen usb-stick kaufen, falls ich das mit dem mp3-player lassen sollte, zumal ich ihn zum arbeiten brauch, bitte um verständnis)

schrauber 15.08.2014 18:27
ich hab auch noch andere Sachen zu tun ;)

ich weiß zu beidem keine 100%ige Antwort.

Nimm nen Stick den du im moment nit brauchst und lass das Ding vom Internet getrennt.

hopfenhöhle 15.08.2014 18:35
ja klar bzw das denk ich mir...bin auch jedem, der sich zeit für mein problem nimmt, unendlich dankbar...ist ja auch nicht selbstverständlich!!! :)

ok...dann lauf ich jetzt mal los und kauf nen usb stick, wo ich dann die dateien, die nicht verschlüsselt sind + eine kaputte pdf raufziehe und dann versuch die vom anderen rechner hochzuladen, wenn du auch nichts genaues weißt ;)
ich geb dann noch mal`ne rückmeldung, was passiert ist bzw ob mein großer rechner dann auch befallen wird, damit dann dem nächsten zumindest auskunft gegeben werden kann.
selbst wenn das mit der seite dort funktioniert und ich meine daten entschlüsseln kann, muss ich den laptop bestimmt neu aufsetzen, oder?
(hab beim kauf des laptops nämlich keine sicherungskopie von windoof gemacht bzw keine original-vista-cd, mit den ganzen treibern für den lappy:( )

nachtrag
hab`s leider nicht mehr rechtzeitig zum laden geschafft, aber werd morgenfrüh dann gleich noch mal hin, falls ich heute keinen mehr anderweitig aufgetrieben bekomme

schrauber 16.08.2014 10:07
Man kann das DIng auch bereinigen. Wenn eine Datei entschlüsselt werden konnte bekommste von denen ne Mail mit dem Private Key. Dann Rechner bereinigen, dann andere Dateien entschlüsseln.

hopfenhöhle 16.08.2014 15:44
ok, hab mir jetzt`nen stick gekauft und meinen 2. rechner insoweit leer gemacht, dass falls da jetzt was passiert, ich dort zumindest keine daten verlieren kann ;)
werd dann auch gleich die defogger_disable.txt, FRST.txt mit Additions.txt und Gmer.txt fertigmachen, wie in dem anleitungsthread hier beschrieben :)
soll ich dafür dann in "msconfig" wieder alle progs beim hochfahren einschalten und den lappy neustarten oder spielt das keine rolle für die scans???

NAchtrag:
2. Rechner läuft, virus scheint nicht über den usb-stick weitergewandert zu sein, hab jetzt versucht dort eine verschlüsselte pdf und ein jpg hochzuladen. bei beiden kommt nur folgende fehlermeldung:
The file does not seem to be infected by CryptoLocker. Please submit a CryptoLocker infected file. :(

zusätzlich zur befrage bezüglich der msconfig-einstellungen bzw des neustarts dann....mal ganz doof gefragt. wenn ich jetzt einfach`nen systemwiederherstellungspunkt von vor einem monat nehme und den ausführe, dann sind die datein bestimmt trotzdem noch kaputt, oder? paar punkte werden mir ja noch angezeigt, aber hab noch nicht probiert, ob das überhaupt funktioniert...wollt erstmal auf abwarten, was hier empfohlen wird

schrauber 17.08.2014 07:22
Die Dateien sind dann noch kaputt, aber der Recner könnte clean sein.

Tja, wenn du jetzt noch die gängigen Entschlüsselungstools versucht hast wird es eng.

hopfenhöhle 17.08.2014 19:20
gängige entschlüsselungstools?die da wären??(suchen kann ich mir die ja allein, aber kannst du mir ein paar gute vom namen her empfehlen, die in meinem fall bzw ohne besagten private key besonders nützlich sein könnten?) hab bis jetzt nut deinen link ausprobiert!
wie schaut`s bezüglich meiner amderen frage mit dem neustart bzw msconfig und den scan-tools?? was soll ich denn jetzt wie genau machen, damit es voran geht? ;)

schrauber 18.08.2014 20:46
http://www.trojaner-board.de/116851-...tml#post842337

Schau mal hier.

Ja alles wieder einschalten und dann FRST scannen lassen, Logs posten.


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:24 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129