win32/hadsruda!bit auf meinem PC. Wie kann ich das entfernen?
 

Hallo ihr Lieben

Mir wurde soeben eröffnet, dass ich wohl eine Schadsoftware namens "win32/hadsruda!bit" auf meinem PC eingefangen habe :headbang:. Mir ist aufgefallen, dass mein PC sehr langsam ist und meine Worddateien usw. geändert sind und ich diese nicht mehr öffnen kann :daumenrunter:.
So...im Internet werde ich nicht schlau daraus, wie ich das Dreckszeug loswerden kann bzw. die Anleitungen sind für mich absolut unverständlich. :wtf::confused:
Habe das Programm Malwarebystes Antimalware (kostenlose Version) mal durchgejagt und es hat auch was gefunden. Nach dem PC Neustart jedoch keine Veränderungen.

Kann mir bitte jemand schnellstens helfen? Vielen Dank!

Cat

:hallo:

Mein Name ist Jürgen und ich werde Dir bei Deinem Problem behilflich sein. Zusammen schaffen wir das...:abklatsch:

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lies die Anleitungen sorgfältig durch bevor Du beginnst. Wenn es Probleme gibt oder Du etwas nicht verstehst, dann stoppe mit Deiner Ausführung und beschreibe mir das Problem.
• Führe bitte nur Scans durch, zu denen Du von mir aufgefordert wurdest.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software, außer Du wurdest dazu aufgefordert.
• Speichere alle unsere Tools auf dem Desktop ab. Link: So ladet Ihr unsere Tools richtig
• Poste die Logfiles direkt in Deinen Thread in Code-Tags.
• Bedenke, dass wir hier alle während unserer Freizeit tätig sind, wenn du innerhalb von 24 Stunden nichts von mir liest, dann schreibe mir bitte eine PM.

Los geht's:

Schritt 1
http://filepony.de/icon/frst.pnghttp://deeprybka.trojaner-board.de/b...e/frst/sn1.PNG

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hallo Jürgen =)
Vielen vielen lieben Dank, dass du mir hilfst =)

Ich hatte eben schon diese Dateien erstellt, leider kann ich nun auch die ersten davon nicht mehr öffnen, da ich keine Word, jpg usw. Programme mehr öffnen kann. Sehr ärgerlich dieser Mist. Aber hier nun die Infos.

Das hier ist FRST:
Und hier folgt Addition:
Danke =)
Cat

Schritt 1

http://filepony.de/icon/frst.pnghttp://deeprybka.trojaner-board.de/b...e/frst/sn4.PNG

Drücke bitte die http://deeprybka.trojaner-board.de/b...ne/revo/w7.png + R Taste und schreibe notepad in das Ausführen Fenster.
Klicke auf OK und kopiere nun den Text aus der Codebox in das leere Textdokument:
Speichere dieses bitte als Fixlist.txt in das Verzeichnis ab, in dem sich auch die FRST-Anwendung befindet. (Bei Dir Downloads)

• Starte FRST und drücke auf den Entfernen-Button.
• Das Tool erstellt eine "Fixlog.txt" -Datei.
• Poste mir bitte deren Inhalt.

Abgehts, ich hoffe ich habs richtig gemacht =)


P.S. Ich finde es ja absolut genial, wie du aus diesen Datei...dingern hier herauslesen kannst was zutun ist bzw dass du überhaupt was verstehst was da steht. Superkräfte. Es müssen eindeutig Superkräfte am Werk sein! =P

Ich habe jetzt erstmal Feierabend. Bitte nichts am PC machen, am besten ausschalten.

Na gut. Dann werde ich das jetzt mal machen und den PC auch in den Feierabendmodus schicken.
Werde morgen wieder vorbeischauen und hoffe, dass wir das schnell hinbekommen. Stecke noch dazu gerade mitten im Umzug und wollte eigentlich nur noch ein paar Sachen dazu kaufen bevor wir hier alle Zelte abbrechen.
Dir einen schönen, erholsamen Feierabend und nochmal danke danke danke!
Bis (hoffentlich =) ) morgen
Gruß
Cathérine

Hi,

Schritt 1

http://deeprybka.trojaner-board.de/b...d/uploadch.PNG
Upload:

• Link zum Upload-Channel.
• Deaktiviere Dein Anti-Viren-Programm.
• Gehe zum Ordner C:\FRST\Quarantine.
• Rechtsklicke auf den Ordner Quarantine und wähle > Senden an > zip-komprimierter Ordner.
• Es wird eine zip-Datei mit dem Namen Quarantine.zip im Ordner FRST erstellt.
• Klicke auf der Seite des Upload-Channels auf http://deeprybka.trojaner-board.de/b...upload%203.PNG
• Kopiere folgende Zeile(n) in das Dateiname-Feld und anschließend jeweils auf Öffnen.
  
  Code:

  ---

  C:\FRST\Quarantine.zip

  ---

Bitte um Rückmeldung ob es geklappt hat! ;)
Danke für Deine Hilfe!

Schritt 2

Downloade Dir HitmanProhttp://deeprybka.trojaner-board.de/b.../hitmanpro.pngauf Deinen Desktop:

HitmanPro-32 Bit Version
HitmanPro-64 Bit Version

• Starte die HitmanPro.exe
• Klicke auf
  http://deeprybka.trojaner-board.de/b...ro/hitman1.PNG
• Entferne den Haken bei
  http://deeprybka.trojaner-board.de/b...ro/hitman2.PNG
• Klicke auf
  http://deeprybka.trojaner-board.de/b...ro/hitman3.PNG und http://deeprybka.trojaner-board.de/b...ro/hitman4.PNG
• Akzeptiere die Lizenzbedingungen und klicke auf http://deeprybka.trojaner-board.de/b...ro/hitman4.PNG
• Klicke auf
  http://deeprybka.trojaner-board.de/b...ro/hitman5.PNG
  und auf http://deeprybka.trojaner-board.de/b...ro/hitman4.PNG
• Wenn der Scan beendet wurde, nichts löschen lassen etc. sondern wähle unten links auf der Button-Leiste
  http://deeprybka.trojaner-board.de/b...ro/hitman6.PNGund speichere die Logdatei auf Deinem Desktop.
• Schließe HitmanPro und poste mir das Log.

Schritt 3

http://filepony.de/icon/frst.pnghttp://deeprybka.trojaner-board.de/b...e/frst/sn1.PNG

Bitte starte FRST erneut, markiere auch die checkbox http://deeprybka.trojaner-board.de/b...t/addition.pngund drücke auf Untersuchen.
Bitte poste mir den Inhalt der beiden Logs die erstellt werden.

Guten "Morgen" =)

Okay, soweit verstanden. Nur eine Frage
Schritt 1, ich habe die zip Sache denke ich soweit hinbekommen, aber was mache ich dann? Wenn ich auf "Hochladen" gehe kommt eine Meldung wegen des Threads.
Soll ich in diese Felder dann meinen Namen und das Thema des Threads hier eingeben?

Ja...

Okay. Also hier die Logdatei von Hitman
FRST Edditor
FRST Addition
Der Upload ist auch fertig =)

Jetzt bitte Suchscan durchführen:

Schritt 1

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo, der Upload scheint nicht funktioniert zu haben. Bitte wiederholen nachdem ESET fertig ist und Rückmeldung.

Ist es normal dass es so lange dauert bis dieser Scan durchgeführt ist? Dauert jetzt schon eine Stunde und es steht bei 45%.

Der kann auch 10 Stunden dauern...:)

Aaaaaj Guacamole =P :stirn:

Na gut wir sind immer noch bei 45% und bisher steht da was von 221 infizierten Dateien :crazy:
Klingt für mich echt beängstigend. Ich sollte einfach die Finger von PCs lassen und mir eine Schreibmaschine zulegen :killpc:

Okay dann sieht es so aus, als müssten wir morgen weitermachen da ich in 15 minuten losmuss. Ich schalte die Standby usw Sachem am PC aus, damit er weiterlaufen kann und da nichts unterbrochen wird. Morgen gehts dann weiter. Oder bist du übers Wochenende nicht da?

Bin gerade mitten im Umzug noch dazu, also denk bitte nicht ich würde es einfach seinlassen oder so und bin auf der Suche nach einer Schreibmaschine :P
Muss nur mein Zeitmanagement hinbekommen. Noch steht der PC und wird auch nicht abgebaut oder so. Das kommt erst in 14 Tagen so rum. Bis dahin haben wir die Sache hoffentlich durch :abklatsch:

Ich hoffe das ist okay für dich, wenn sich die Sache leider etwas zieht :/ und besonders hoffe ich, dass du mir trotzdem tatkräftig weiterhilfst :)

Nö, passt scho. Antworte einfach sobald alles fertig ist.

Die Malware hat Deine persönlichen Dateien manipuliert. Könnte sein, dass die futsch sind...

oO
So richtig futsch? So richtig, dass sie niewieder hergestellt werden können futsch? oO

Ja, könnte sein. Muss man halt noch genau anschauen, ob und wie verschlüsselt.
https://www.virustotal.com/de/file/9...f000/analysis/

Siehste ja, dass da was nicht stimmt. Daher vermutlich auch die vielen Funde...

Oh Gott ja. Sicher alle meine Worddateien und die Bilder ja auch. Gott, die hab ich sonst nicht mehr >.< meine Berichte usw. Oh man. Mir wirds grad echt anders.
Wie konnte ich mir das bloß einfangen =(

Ist jetzt wahrscheinlich so ne saudumme Mädchenfrage...aber läuft das Programm auch weiter, wenn ich den Bildschirm ausschalte? Muss ja nicht die ganze Nacht anbleiben. Werde morgen erst wieder da sein um irgendwas am PC zu machen.

Bildschirm kannst ausschalten. Internetverbindung trennen...

Wie man im Fixlog erkennen kann, stimmt die Versionsnummer hiermit überein:
https://www.herdprotect.com/autostar...a8cc47591.aspx

Was genau aber mit Deinen Daten ist, kann ich jetzt noch nicht genau sagen.

Alles klar.
Okay, viel erkennen kann ich da nicht. Das ist für mich absolut unverständlich und überschreitet meinen Horizont. Also doch, ich erkenne, dass es allen Anschein nach nichts Gutes ist. Aber ich verstehe die einzelnen Bedeutungen nicht =P

Aber vielen vielen Dank! Dann beseitigen wir jetzt erstmal das Problem und schmeißen diesen Dreck weg und dann schauen wir weiter. Ich bin dir so unendlich Dankbar für deine Hilfe!

Dir einen schönen Freitagabend noch. Bis morgen =)

Falls Du sensible Logins, Onlinebanking etc. mit dem PC gemacht hast - gleich mal die wichtigen Onlinepasswörter ändern, von nem Handy oder sauberen PC aus.

Ich kann das Logfile nicht posten. Da kommt immer die Nachricht, dass der Text zu lang wäre. Das mit dem Code-Tag mache ich und ich mache es genauso wie bei den anderen Beiträgen auch, aber es funktioniert nicht. Immer wieder die Nachricht dass es zu lang ist.
Was mache ich falsch? >.<:confused:

Pastebin.com - #1 paste tool since 2002!

Den Logfile-Text dort einfügen - Create New Paste klicken - Linkadresse hier posten

Ich hoffe ich habs richtig gemacht

hxxp://pastebin.com/nz9H7FHU


Kann es sein dass es sich bei mir um diesen locky-virus handelt? Habe das mal gegoogelt weil ja überall irgendwie "locky" auftaucht. Aber meine Dateien haben keine "kryptischen" Namen und einen Erpresserbrief habe ich auch nirgends gefunden. Allerdings hat sich tatsächlich mein Desktop in schwarz gefärbt. >.<

Ja deswegen muss man sich das genau anschauen. Die Form kannte ich noch nicht. Bin nur mit Handy online. Melde mich später nochmal.

Alles klar. Es läuft darauf hinaus dass wir morgen oder am Sonntag/Montag wieder weitermachen. Bin nach wie vor voll im Umzugsstress und muss jetzt auch wieder los. Werde versuchen morgen aufjedenfall irgendwie die Zeit zu bekommen um zumindest den nächsten Schritt soweit auszuführen.
Bzgl. der locky Sache...vielleicht/hoffentlich handelt es sich um irgendwelche Trittbrettfahrer und meine Daten sind (bitte bitte, ich hoffe es so sehr) noch irgendwie zu retten.
Mein Plan ist jedenfalls nachdem wir hier aufgeräumt haben den PC komplett zurückzusetzen und ihn mit ordentlicher Sicherheitssoftware auszustatten. Ich weiß...es war mein Fehler, da ich diesbezüglich recht nachlässig war. Ein fataler Fehler den ich nicht nocheinmal mache. Lektion (schmerzlich) gelernt >.<


Aber aufjedenfall einen schönen Freitag dir noch :)

Lg
Cathérine

Hi,
schick mir bitte mal so ein "verschlüsseltes" Bild an deeprybka@trojaner-board.de und poste hier wenn Du das erledigt hast. ;)

Ist gesendet.
Habe die Bilder in den Anhang gemacht. War das richtig?
Liebe Grüße
Cat

Schaue ich mir an sobald ich wieder am PC bin. :)

Alles klar
Ich versuche immer mal wieder reinzuschauen ob ich nächste Schritte befolgen muss.
Hab den PC jetzt mal noch zuhause rumstehen uind noch nicht mit in die neue Wohnung genommen. Dort haben wir noch kein Internet. Folgt alles erst im Laufe der nächsten Woche.
Liebe Grüße
Cat :)

Danke für das Bild. Kann Dir nicht versprechen, dass Du Deine Daten wiederbekommst.
Dauert jetzt etwas. Keine Veränderungen am PC vornehmen, nicht mit dem Internet verbinden.

Kannst Du das mal versuchen?
http://www.trojaner-board.de/117661-...erstellen.html

Nee funktioniert leider nicht. Da gibt es keine Wiederherstellungspunkte :(

Ich brauche noch Zeit...

Hi,
kurze Wasserstandsmeldung:
Internationale Experten schauen sich das verschlüsselte Zeug an. Evtl. finden die einen Weg, damit Du wieder an Deine Dateien kommst. Lass das Ding aus und warte...:)

Ein Experte hat ein Tool programmiert. Bitte teste es mal und gib Rückmeldung.

https://decrypter.emsisoft.com/autolocky

Hi
Sorry dass ich mich jetzt erst wieder melde. Dem Umzug musste ich Priorität zugestehen. Nun hatte ich aber bisher noch keinen Internetzugang und dummerweise wird er auch erst in etwa 2 Wochen freigeschaltet, da Neukunde =P
Habe mir jetzt einen Surfstick besorgt und hoffe die Kapazität reicht aus :)

Also ich probiere es jetzt gleich mal aus mit deinem Vorschlag. Bin ganz aufgeregt ;D

Drück mir die Daumen :D

...okay die Euphorie hielt nicht lange an =(

Habe gerade den download abgeschlossen und wollte das Programm öffnen.
Bekomme aber die Nachricht "The decrypter could not datermine a valid key for your system".
Ich kann lediglich "ok" drücken und es hinnehmen. :( :( :( :(


** Ich lese bei der Beschreibung gerade das hier noch
"In addition victims will find a ransom note on their Desktop with the file name info.txt or info.html. "

Aber so eine Datei habe ich ja nirgends gefunden. Die restliche Beschreibung des Drecksprogramms (sorry =P) stimmt. Meine Dateien wurden nicht umbenannt, enden nun jedoch mit der Endung ".locky"
Meine Worddokumente sind nun alle außerdem ".docx.locky"

Oh man =( bei einem stand in nem Forum dieser Seite von emsisoft, dass es dann nicht mehr zu Ändern sei... der hatte auch diese docx usw. Aber da stand noch mehr als dieses "The decrypter..."

Ich hoffe ich schreibe nicht zu wirr und du kannst mir noch folgen =P

Das Tool wurde ja extra für Dich programmiert. Ich leite es an den Experten mal weiter...

Hallo Cat.

Mein Name ist Marie. Ich arbeite gerade an einem Entschlüsselungsprogramm für die Schadsoftware, die Deine Dateien verschlüsselt hat. Das Programm ist noch nicht ausgereift, sollte aber zum Herausfinden des Schlüssels taugen.

Ich kann Dir nicht versprechen, dass das klappt. Aber einen Versuch ist es Wert.
Wenn das nicht funktioniert, kannst Du Deine Dateien eventuell noch über andere Wege wie Datenwiederherstellungsoftware zurückbekommen.

Vorbereitung:

• Bitte suche eine verschlüsselte Datei, für die Du außerdem eine unverschlüsselte Version von der gleichen Datei hast.
• Downloade das Programm AutoUnlocky von hier.

Durchführung:

Achtung: Die Berechnung selbst kann etwas dauern. Ich empfehle, den Rechner über Nacht laufen zu lassen.

• Starte AutoUnlocky.exe
  
• Wähle zuerst die verschlüsselte Version der Datei
  
• Wähle dann die unverschlüsselte Version der Datei
  
• AutoUnlocky wird nun Schlüssel durchtesten. Bei Erfolg meldet das Programm, dass es einen Schlüssel gefunden hat und speichert nötige Informationen in autoUnlockyKey.dat
  
• Falls ein Schlüssel gefunden wurde, sammle bitte alle Dateien, die entschlüsselt werden sollen in einem einzigen Ordner (ohne Unterordner)
  
• Wähle den Ordner zum Entschlüsseln aus. AutoUnlocky wird die entschlüsselten Dateien in der Form meinedatei-decrypted.jpg im selben Ordner abspeichern. Die verschlüsselten Originaldateien bleiben dabei erhalten.

Schau mal ob das klappt. Wenn ein Schlüssel gefunden wird, aber die Dateien nicht richtig entschlüsselt werden, liegt das an einem Fehler im Programmcode. Ich arbeite gerade noch daran, den Fehler auszumerzen. In diesem Fall reicht es aber mir Bescheid zu geben. Ein Programmupdate wird mithilfe der autoUnlockyKey.dat die Dateien auch später entschlüsseln können ohne nochmals den Schlüssel zu suchen.

Lass uns wissen wie es läuft.

So, nach langer Offlinezeit und kaum Freizeit, vielen orivaten Vorfällen jetzt endlich Luft um mich hier wieder konzentrieren zu können. Bitte gelegentliche Verschreiber oder so ignorieren. Ich gebe mir Mühe keinen Buchstabensalat zu hinterlassen, aber aktuell bin ich nur einhändig unterwegs. Ich bitte um Nachsicht =)

Ich hoffe es funktioniert. Habe aktuell immer noch lediglich den Internetstick am Laufen, aber heute soll das richtige Internet angeschlossen werden.

Ich starte jetzt mit den Anweisungen und hoffe innigst dass es funktioniert.

Ich habe unverschlüsselte Dateien auf einem meinem Notebook. Also dieselben Dateien. Ich hjoffe das ist damit gemeint. Falls nicht sagt es mir bitte, dann verwende ich andere. Aber so habe ich es verstanden. Also ich wrde nun ein Bild vom anderen P holen, qwlches dort noch nicht verschlüsselt ist, da kein Virus, und werde es mit demselben Bild, was auf diesem PC allerdings verschlüsselt ist, da Virus, nun in Angriff nehmen.
> **Ich habe jetzt doch eine Powerpoint Preäsentation genommen. Ich konnte nicht genau sagen, ob ich ansonsten zweimal das selbe Bild erwischt hätte, da ja auch die Änderungszeitpunkte usw alle verändert wuren und ich nicht erkennen konnte was nun das Selbe ist =P Hoffe dsas geht trotzdem

Ich drück die (den) Daumen =)

Let's go (Patriots ^^)

*** Okay, mit dem Surfstick wird das nichts!

Ich muss wohl erst das ordentliche Internet einrichten. Danach fange ich an. Lieber alls der Reihe nach =)

Aber zwischendurch nochmal: Danke Jürgen und Marie für eure Hilfe und besonders Geduld!!! :-*

Einfach in Ruhe machen, die liebe Marie kümmert sich ausgezeichnet um Dich! ;)

Oh man >.<
Also ich weiß jetzt nicht was der Stand der Dinge ist. Habe den PC laufengelassen und das Preogramm durchgeführt. Ich habe ihn auch über nacht laufen gelassen. Scheinbar wurde aber irgendwas geupdated und er hat sich neugestartet und somit ist jetzt auch das Progamm einfach beendet.
Was mache ich jetzt? Ich weiß nicht ob irgendweas gefunden wurde.
Oder muss ich das Programm jetzt wieder durchlaufen lassen?

Also die verschlüsselte Datei ist nach wie vor verschlüsselt.

PC vom Internet trennen und dann das Programm nach der Anleitung von Marie laufen lassen. Solange bis der "Key" gefunden wurde.

Okay, also immer und immer wieder das Programm starten bis was dabei rauskommt.
Auf gehts. Runde 2 =P hoffentlich findet er was.

Ich habe nun mal vorübergehend die automatische Updatesuche ausgeschaltet.

Das Programm wird Dir nach dem Durchlaufen mit einer Meldung sagen, ob es was gefunden hat. Du kannst auch nach der Datei autoUnlockyKey.dat gucken. Wenn sie sich im gleichen Ordner wie das Programm befindet, dann wurde was gefunden.

Allerdings hier noch ein Aber: Es kann sich bei der Schadsoftware, die Deine Dateien verschlüsselt hat, um eine andere Variante handeln als die, auf der ich mein Programm basiert habe. Es ist reine Glückssache, ob Du die gleiche Variante hast.

"Sorry, konnte keinen Schlüssel finden" =(

Scheinbar habe ich wohl Pech =(
Was mache ich nun?

Die folgenden drei Möglichkeiten können helfen, die Dateien wiederherzustellen. Lass uns wissen, ob irgendwas davon klappt.

http://i.imgur.com/y3MMIrs.png Vorgängerversionen

• Rechtsklicke eine verschlüsselte Datei und klicke auf Einstellungen
• Klicke Vorgängerversionen.
• Dieser Tab listet alle Kopien der gewählten Datei und wann sie gesichert wurde.
• Um eine bestimmte Version der Datei wiederherzustellen, klick Kopiere und wähle einen Ordner, in dem die Datei gespeichert werden soll.
• Falls Du die existierende Datei mit der Version ersetzen willst, klicke Wiederherstellen
• Falls Du den Inhalt der Datei vorher prüfen möchtest, klicke Öffnen

http://i.imgur.com/MzmiIl9.gif ShadowExplorer

• Bitte lade die Datei ShadowExplorer runter und speichere sie auf Deinem Desktop.
• Rechtsklicke ShadowExplorer-0.9-portable.zip und klicke Alle Extrahieren. Wähle den Desktop und klicke Extrahieren
• Rechtsklicke ShadowExplorer.exe und wähle http://i.imgur.com/AVOiBNU.jpg Als Administrator ausführen.
• Du wirst ein Drop-Down-Menü sehen, das Dir die Schattenkopien aller Partitionen und Laufwerke zeigt.
• Klicke C:\ im Menü.
• Wähle rechts ein Datum vor der Infektion aus.
• Um einen ganzen Ordner wiederherzustellen, klicke mit der rechten Maustaste auf den Ordner und klicke Export. Du wirst dann danach gefragt, wohin die wiederhergestellten Dateien gespeichert werden sollen.
  

http://i.imgur.com/J8xQM97.pngDatenwiederherstellungssoftware
Datenwiederherstellungssoftware kann in der Lage sein die Originaldateien wiederherzustellen, welche von der Ransomware gelöscht wurden. Ich empfehle eines der folgenden Programme zu verwenden.

• http://i.imgur.com/fSA1TL4.png R-Studio
• http://i.imgur.com/C08PZmH.png Photorec
• http://i.imgur.com/uc6sByo.png Recuva

Hallo Marie =)
Also folgender Stand:

* Das mit dewr Vorgängerversion hatte ich ja schon probiert. Es gibt keine =(

* Der Shadowexplorer funktioniert, jedoch gibt es kein Wiederherstellungsdatum vor dem desaströsen Tag (18.03.16)

* Bei der Datenwiederherstelluingssoftweare bin ich gerade dran. Jedoch weiß ich nicht...das R-Studio ist kostenpflichtig und in der demoversion stellt es nur Dateien bis 256 KB wiederher. Merine Dateien sind alle deutlich größer. Ich bin mir sehr unsicher. Wenn es nicht funktioniert bin ich (für meine Verhältnisse) viel Geld los und habe keinen Erfolg.

> Das Programm Photorec war ne Nummer zu hoch für mich. Ich habe das Probramm absolut nicht verstanden. Also habe ich es wieder gelöscht, bevor ich irgendwas noch schlimmer mache =/

> Recuva läuft gerade. Bin gespannt. Allerdings dauert es wohl noch etwa 9 Stunden bis das Programm durchgelaufen ist.


EWine allgemeine Frage.
Ist mein PC aber soweit wieder "sauber"? Also könnte ich wieder eine SD Karte anschließen, die zu meinem Handy gehört oder bekomme ich dann irgendwas auf die Karte und somit in mein Handy?
Habe jetzt die ganze Zeit nichts mehr an diesem PC gemacht und bin mir da unsicher. Ist er noch infiziert oder soweit wieder sicher?

Und welches Schutzprogramm ist das beste? Ich möchte mir gerne, wenn der Spuk vorbei ist (oder auch jetzt, falls das geht) ein ordentliches Programm kaufen. Meine Mutter hat Kaspersky, ist das gut?

Liebe Grüße Cat

***

Ich habe gerade ein wenig herumgestöbert und bin auf diese Seite gestoßen https://id-ransomware.malwarehunterteam.com/
Ich habde eine Datei getestet und es kam heraus, dass sie entschlüsselbar ist.

Okay soweit so gut. Bin dann folgendem Link gefolgt Decrypted: The new AutoLocky Ransomware fails to impersonate Locky

Nun stoße ich allerdings wieder einmal an meine Grenzen. Ich verstehe die Schritte nicht, die angesagt werdfen was ich tuin muss um dieses AutoLocky zu starten. Ich bin damit total überfordert. Das ist das Programm, das ich schonmal benutzt hatte, aber es hatte nicht funktioniert, oder? Aber ich habe diese Schritte da nicht gemacht...also dasd was da in dem Zitat steht. Liegt es vielleicht daran? Denn es wurde mir ja angezeigt, dass es entschlüsselbar ist. Mache ich mir zu viel Hoffnung?
Könnte das funktionieren? Und wenn ja, könntet ihr mir eine "How to decrypt AutoLocky for dummies" Anleitung geben? >.< Falls es daran liegt, dass ich diese Schritte damals nicht gemacht hatte.

=(

Recuva ist durchgelaufen. Die Bilder sind "unwiederherstellbar"

Man verdammt, was ist das für ein ... =(

Hi Cat. Ich werde noch einen Versuch machen, was die Entschlüsselung angeht. Es kann aber etwas dauern.

Jürgen, kannst Du mir die Dateien zukommen lassen, die Du als ZIP von der FRST-Quarantäne bekommen hast? Ich möchte abgleichen, ob das die gleiche Datei ist, auf der ich mein Tool basiert habe. Eventuell kann ich was modifizieren.

Bitte diesen Schritt wiederholen.

Schritt 1

http://deeprybka.trojaner-board.de/b...d/uploadch.PNG
Upload:

• Link zum Upload-Channel.
• Deaktiviere Dein Anti-Viren-Programm.
• Gehe zum Ordner C:\FRST\Quarantine.
• Rechtsklicke auf den Ordner Quarantine und wähle > Senden an > zip-komprimierter Ordner.
• Es wird eine zip-Datei mit dem Namen Quarantine.zip im Ordner FRST erstellt.
• Klicke auf der Seite des Upload-Channels auf http://deeprybka.trojaner-board.de/b...upload%203.PNG
• Kopiere folgende Zeile(n) in das Dateiname-Feld und anschließend jeweils auf Öffnen.
  
  Code:

  ---

  C:\FRST\Quarantine.zip

  ---

Bitte um Rückmeldung ob es geklappt hat! ;)

Ich habe unter C:\FRST\ zwei Ordner die "Quarantine" heißen.
Welchen soll ich da nehmen? Einer ist ist Dateiordner, der andere ein Zip-komprimierter Ordner.

Ist doch eindeutig oder? :)

So sorry,
wieder viel Arbeit und keine Zeit für PC >.<
Jetzt aber

Habe die Sachen hochgeladen. Ich hoffe das hat funktioniert. Als es fertig war kam keine Meldung oder so, die Felder waren nur wieder "resetted" und die normale Upload Channel Seite war zu sehen. Ist das richtig so? Ansonsten probiere ich es nocheinmal.

Lg
Cat

http://www.bleepingcomputer.com/subm...hp?channel=177

Lade das Zeug mal dort hoch. Durchsuchen anklicken, C:\FRST\Quarantine.zip reinkopieren.

Keine Ahnung was da nicht passt beim Upload hier.

Hi

Also folgendes wird mir angezeigt wenn ich es hochladen möchte:
"The size of your file is greater than maximum file size of 10 MBs."

Die zip-Datei umfasst 19.548KB >.<

Mal hier hochladen und mir via PN den Link schicken, Danke!

Free File Hosting - Online Storage; Upload Mp3, Videos, Music. Backup Files

Oh man. Nur irgendwelche Sachen die nicht gehen.
Also auf der SAeite steht, dass mir ein Plugin fehlt. Aber welches oder so erfahre ich nicht. Ich kann auch nirgendwo draufklicken oder im entferntesten irgendwas machen... =(

Oder muss ich mich da irgendwie anmelden und zahlen?

Quatsch, da muss man nichts zahlen. Benutze mal den Internet Explorer dafür...

Hallo ihr lieben

Erst einmal ein dickes, fettes Entschuldigung dass ich so lange nichts mehr von mir hören ließ.

Zwischenzeitlich habe ich mit einem Kollegen von der Arbeit gesprochen (Unser hausinterner IT-Guru). Der hat meinen PC mal mitgenommen und durchgecheckt was so los ist.

Im Endeffekt hat er meinen PC komplett platt gemacht, die Dateien aber trotzdem noch gesichert. Er kam zu dem Schluss, dass ich einfach die Sache nun aussitzen muss und warten muss, bis ein Code für meine Verschlüsselung entdeckt wird =(

Nun wollte ich mir wieder das decrypter Programm herunterladen um nach Schlüsseln zu suchen, aber ich kann sie nicht runterladen. Mache ich was falsch? Bzw. es steht halt wieder direkt da "The decrypter could not datermine a valid key for your system".

Brauche ich was anderes als das Autounlocky? Ich weiß nicht wo der Fehler liegt >.<

Das ist in so einer Situation das einzige was man machen kann.
Man kann es nicht oft genug betonen: wer keine vernünftigen Backups macht (auf eine nach dem Sicherungsprozess im Schrank verstaute externe Festplatte) wird früher oder später ein Problem bekommen. Du hast es ja am eigenen Leib gespürt.

Man macht nicht nur wegen digitalem Ungeziefer Backups sondern auch allein schon weil

• Festplatten kaputt gehen können, das sind Komponenten, die verschleißen!!
  
  
• Computer abstürzen und dabei Dateisysteme, die auf den Platten ja angelegt wurden, geschrottet werden können
  
  
• man schlicht und ergreifend versehentlich Dateien löscht oder beim Abspeichern ungewollt überschreibt
  
  
• man nach Katastrophen/Unfällen (Hochwasser, Brand, ...) immer noch seine Daten braucht auch wenn die IT-Systeme zerstört wurden; das spielt eine zentrale Rolle in Firmenumgebungen, es kann keine Option sein die Firma komplett dichtzumachen "nur" weil es im Serverraum brannte und alle Server schrottete

Und je nach Wichtigkeit und Häufigkeit der Änderungen macht man Sicherungen täglich, wöchentlich oder monatlich. Manche machen sie sogar stündlich!! Und: je nachdem wie weit man zurück muss bzw noch mehr Sicherheit durch Versionierung haben will, benötigt man die dementsprechende Anzahl an Backupmedien vgl. https://de.wikipedia.org/wiki/Generationenprinzip

Ja gut. Die Lektion habe ich ja gelernt. Bin sogar jetzt gerade in diesem Moment eine Sicherung am erstellen auf einer externen.

Aber ich komme jetzt trotzdem nicht weiter, wie ich diesen "Schlüsselsucher" auf meinen PC bekomme. Das ist ja gerade mein aktuelles Problem.
Wie gesagt...die Sicherungsgeschichte habe ich zu nachlässig verfolgt. Was mir bewusst ist. Schmerzlich aber, naja. Ich muss halt immer wieder nach Schlüsseln suchen, so meine "Anweisung". Nur kann ich den decrypter irgendwie nicht nutzen bzw. das AutoUnlocky funktioniert nicht. Und daher die frage, woran das nun liegt, was ich beachten muss oder was ich falsch mache. Bevor der PC platt gemacht wurde war das Programm ja drauf, aber jetzt eben nicht mehr =/

Wer sagt dir denn, dass es funktionieren muss? :wtf:
Es gibt keine Garantie dafür, dass man jeden ransom entschlüsseln kann

https://id-ransomware.malwarehunterteam.com/

Also laut dieser Seite deines Links habe ich 2 Meldungen dass es entschlüssekt werden kann. Mit diesen Emisoft klappt es jedoch nicht, der findet keinen passenden Schlüssel. Aber mir wird noch etwas vonwegen PowerLocky angezeigt. Da habe ich mir das Programm heruntergeladen, jedoch klappt es irgendwie nicht und ich verstehe nicht, was ich genau wie machen soll. Da blicke ich nicht durch.

@cosinus, niemand sagt mir das. Aber sollte ich es nicht trotzdem weiterprobieren, ob es doch nicht irgendwann funktioniert? Hätte ich kein weiteres Interesse an den Dateien, könnte ich den Platz ja auch einfach freimachen und alles löschen =P also nicht gleich so pessimistisch sein, ich bin mir sehr wohl dessen bewusst, dass es kein MUSS, sondern ein KANN ist wenn es um das Entschlüsseln geht. Nur brauch ich ein wenig Hilfe, darum frag ich hier nach und das ist ja auch irgendwie das Konzept des Forums in diesem Bereich =)


Also, wenn ich diesen PowerLockyDecrypter anwenden möchte, kommt eine Meldung mit "Unbehandelte Ausnahme..." und das verstehe ich nicht. Klicke ich auf "weiter", wobei die Anwendung laut der Meldung dann normal weitergeführt wird, passiert aber nichts. Also nichts was ich sehen könnte oder hören könnte, dass der PC irgendwie am Arbeiten ist.
Mache ich da was falsch? Ich versteh aber auch nicht sooooo viel Englisch um das alles irgendwie von der Seite des Links komplett zu verstehen und da durchzublicken was wie gemeint ist.


Lg
Cat