|
.tfude Trojaner - irgendeine Möglichkeit die Daten wiederherzustellen? Hey, ich habe folgendes Problem: Ich wollte mir bei Chip einen Mpeg-Converter herunterladen und habe mich von da auf die Herstellerseite lotsen lassen um ihn von dort runterzuladen. Dabei habe ich mir einen Virus zugezogen der all meine Daten "zerstört" hat indem er die Dateiendung .tfude hintenangehängt hat. Bilder, Lieder etc. sind dadurch nicht mehr zu gebrauchen, auch nicht wenn ich die Dateinendung einfach ändere. Ich habe zwei Festplatten C mit Programmen und D mit Daten. Der Download ging nach D und hat da alles verändert, in C wurden Dateien auf meinem Desktop z.B. verschont, andere aber verändert. Ich hab mit einigen Virenprogrammen daran gearbeitet erstmal den Virus wieder los zu werden (Malwarebytes; Avast; TrendMicro64 Housecall) was mir scheinbar auch gelungen ist. Das System habe ich zusätzlich auf einen früheren Zeitpunkt zurückgesetzt. Nun die Frage, ob ihr irgendeine Möglichkeit kennt diese Daten wiederherzustellen oder sind diese einfach verloren? Die zugehörige Textdatei gibt eine Email an über die ich gegen Bezahlung die Daten wieder erhalten kann, was natürlich Unsinn ist. Anbei hänge ich den ersten Log von Malwarebytes in dem die ganzen Funde enthalten waren, die inzwischen gelöscht sind. Lieber Gruß, Grop Code: Malwarebytes |
Wir können deinen Rechner bereinigen. Aber dadurch wird nur das System wieder sauber, die Dateien entschlüsseln ist ein etwas thematisch völlig anderes. Das geht nur, wenn es schon einen passenden decrypter gibt. Und es ist möglich, dass es sehr lange dauern wird bis so ein decrypter da ist - vllt gibt es auch nie einen. Gelesen und verstanden? |
Ja, gelesen und verstanden. Meine eigene Recherche hat auch das gleiche ergeben, ist wohl die neueste Variante von diesem Virus. Konnte es auch mit Stellar Data Recovery nicht hinbiegen. Gibt es noch ein anderes Tool anhand dem du erkennen kannst, ob mein Rechner inzwischen sauber ist? Laut Malwarebytes ist alles wieder ok. Hatte das Programm vorher nicht, deshalb weiß ich nicht wie sicher das ist. Anbei der letzte Bericht. Code: Malwarebytes |
Das Teil ist kein Virus, sondern ein Kryptotrojaner bzw ransomware. Scan mit Farbar's Recovery Scan Tool (FRST) Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
 Lesestoff:Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit. Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
|
Okay, vielen Dank schon mal für die Zeit die du mir schenkst. FRST.txt Code: Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 14.01.2019 01Code: Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 14.01.2019 01 |
Zitat:
Du hast Glück, dass du nur eine Home-Edition von Windows hast, sondern hätte ich dich zum format c geschickt. So aber muss du nur das gecrackte Microsoft Office deinstallieren - und etwaig weitere gecrackte Software. Lesestoff:Illegale Software: Cracks, Keygens und Co Bitte lesen => http://www.trojaner-board.de/95393-c...-software.html Es geht weiter wenn du alles Illegale entfernt hast. Bei wiederholten Crack/Keygen Verstößen behalte ich es mir vor, den Support einzustellen, d.h. Hilfe nur noch bei der Datensicherung und Neuinstallation des Betriebssystems. |
Okay, ich wusste ehrlich gesagt gar nicht, dass das "gecracked" ist. Office hat mir damals nen Kumpel installiert, das ist aber schon etwas her. Ich lösche das jetzt + auch die Datei auf Festplatte D. So wie ich dich jetzt verstanden habe, ist sonst alles sauber? Danke nochmal, dass du dir das angesehen hast! |
Dir ist schon klar, dass es mit dem Deinstallieren vonOffice allein noch nicht getan ist? Wir haben noch nichtmal mit der Reinigung des Rechners angefangen. |
Ich hatte schon befürchtet, dass ich dein "nur" falsch interpretiert hatte. Ich hab deine Schritte nun befolgt, hier die neuen Codes. FRST.txt Code: Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 14.01.2019 01Code: Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 14.01.2019 01 |
Avira bitte komplett deinstallieren Von Avira raten wir schon lange ab, außerdem will ich für eine Analyse und Bereinigung so wenig Störquellen wie nur möglich. Zum Abschluss gibt es Hinweise zur Absicherung deines Windows-Systems. Wir deinstallieren dann am besten auch gleich weiteren unnötigen oder veralteten Krempel. Lade Dir bitte von hier  Revo Uninstaller (alternativ portable Revo Uninstaller) herunter.
Gib Bescheid wenn das weg ist; wenn wir hier durch sind, kannst du auf einen anderen Virenscanner umsteigen, Infos folgen dann im Abschlussposting. Bitte JETZT nix mehr ohne Absprache installieren! |
Liste der Anhänge anzeigen (Anzahl: 1) Hey cosinus, hab alles deinstalliert, aber wie ich den "Moderat" Modus einstellen kann, hab ich nicht rausgefunden. Hab deshalb mal nen Screen angehängt. |
Kann meinen Beitrag nicht löschen und hatte dich falsch verstanden. Du meintest nach jeder Deinstallation soll ich moderat wählen und ich dachte es gäbe einen extra Modus den ich unabhängig von der zu deinstallierenden Software noch aktivieren müsste. Ich hab deshalb allerdings jedes Mal "intensiv" statt moderat gewählt gehabt. Brauchst du jetzt nochmal neue Codes oder ist das nicht so schlimm? |
Adware/Junkware/Toolbars entfernen Alte Versionen von adwCleaner vorher löschen, danach neu runterladen auf den Desktop! Virenscanner jetzt vor dem Einsatz dieser Tools bitte komplett deaktivieren! adwCleaner v7.x Downloade Dir bitte AdwCleaner auf deinen Desktop (Bebilderte Anleitung).
|
Code: # ------------------------------- |
adwcleaner bitte zwecks Kontrolle wiederholen. Und Reste vom spyhunter entfernen: Lade Dir bitte SpyHunterCleaner herunter und speichere es auf dem Desktop.
|
Ok, hab alles so ausgeführt. Hier die Log Datei Code: # ------------------------------- |
Hast du Spyhuntercleaner auch gemacht? |
Ja, hab es so ausgeführt wie von dir angesprochen. |
Adware/Junkware/Toolbars entfernen Alte Versionen von adwCleaner vorher löschen, danach neu runterladen auf den Desktop! Virenscanner jetzt vor dem Einsatz dieser Tools bitte komplett deaktivieren! adwCleaner v7.x Downloade Dir bitte AdwCleaner auf deinen Desktop (Bebilderte Anleitung).
|
Den habe ich doch nun zwei Mal laufen lassen und dir auch die Codes hier reingestellt? SpyhunterCleaner hatte ich zuvor verwendet Hab es jetzt ein drittes Mal laufen lassen. Code: # ------------------------------- |
Ich brauche neue FRST-Logs . Haken setzen bei addition.txt dann auf Untersuchen klicken. http://www.trojaner-board.de/picture...&pictureid=611 |
FRST.txt Code: Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 14.01.2019 01Addition.txt Code: Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 14.01.2019 01 |
du hast dieses schrottige Avira nicht deinstalliert :balla: |
Das ist jetzt verrückt. Avira tauchte zwei mal in meiner Liste auf. "Avira" und "Avira Antivirus" Ersteres konnte ich nicht deinstallieren weil "Avia Antivirus" fehlt. Nachdem ich zweiteres deinstalliert hatte, war auch ersteres aus der Liste verschwunden. Jetzt hab ich Revo geöffnet und es ist wieder da. Da hab ich es nun erneut deinstalliert und es ging auch. Aktiv war es aber auf jeden Fall nicht mehr (zumindest nicht sichtbar als Symbol in der Taskleiste) Hab jetzt einfach AdwCleaner nochmal laufen lassen, hat aber keine Neuerung ergeben. Hier nochmal die Logs nach erneuter Avira deinstallation. Code: Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version: 14.01.2019 01Code: Zusätzliches Untersuchungsergebnis von Farbar Recovery Scan Tool (x64) Version: 14.01.2019 01 |
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster. Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument Code: HKLM\...\Run: [] => [X]Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
|
Code: Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 14.01.2019 01 |
Kontrollscans mit (1) MBAM, (2) ESET und (3) SecurityCheck bitte: 1. Schritt: Malwarebytes Version 3 Downloade Dir bitte Malwarebytes Anti-Malware 3
2. Schritt: ESET Downloade Dir bitte ESET Online Scanner (Bebilderte Anleitung)
3. Schritt: SecurityCheck Downloade Dir bitte  SecurityCheck und:
|
Malwarebytes Code: MalwarebytesSecurity Check Code: Results of screen317's Security Check version 1.009 Das Ergebnis ist leider unbefriedigender als ich es erwartet habe. Scheinbar hab ich diesen Trojaner immer noch auf meinem Pc und an einer Stelle ist es dem Programm auch nicht gelungen ihn los zu werden. Zumindest ist er unter Nicht behobene Probleme mit aufgeführt. Filecoder.STOP Trojaner das ist auf jeden Fall der Trojaner der scheinbar sehr weit verbreitet ist und die verschiedensten Endungen an Dateien hinten ranhängt. Ich hoffe ich muss jetzt nicht alles formatieren.. Hier der Log Code: 16.01.2019 21:59:17Code: 14:36:33 # product=EOS |
Dann wären wir durch! :daumenhoc Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:und/oder das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen. :applaus: Abschließend bitte noch einen Cleanup mit unserem TB-Cleanup-Script durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt: |
Aber was ist mit diesem Virus "${DisksMBR} Win32/Pitou.K Virus" den der ESET Online Scanner gefunden hat und nicht löschen konnte? |
ESET ist das einzige Tool das da angeblich was sieht. Und MBR hast du garnicht mehr, du hast einen UEFI-Rechner der Platten im GPT-Stil hat. Nix MBR, deswegen halte ich das für nen Fehlalarm. |
Ok, ich hab da natürlich vollstes Vertrauen in dich nach der Aktion. Allerdings ist dieser Virus auch auf der ESET Seite bekannt https://www.virusradar.com/en/Win32_Pitou.K/description Aber du meinst echt, dass das bei mir nichts ist? Sorry, das ich da jetzt nochmal nachhake, ich will mir da nur echt sicher sein bevor ich wieder ins Online-Banking etc gehe https://www.solvusoft.com/en/malware/rootkits/win32-pitou-a/ Die bieten hier nen Tool an, wenn sie auch auf nen etwas anderen Virus eingehen. Hab das jetzt natürlich erstmal nicht geladen |
Ich hab dir meine Meinung samt Begründung dazu gepostet. |
Ok, bedeutet selbst wenn ich das trotzdem löschen wollen würde, würdest du auch nicht wissen wie ich das machen kann, weil das einfach ein Fehlalarm ist, der sich somit auch nicht finden lässt? Ansonsten vielen Dank für deine Hilfe, ich bin sehr zufrieden damit und werde das auch so angeben. Erstaunlich das sowas kostenlos möglich ist im Internet. |
Lies dir meine Begründung nochmal richtig durch. |
Bist schon n trockener Typ. Also ja, die Intelligenz mir zu erklären, dass ich keinen Virus aufm MBR haben kann, weil ich stattdessen einen UEFI Rechner habe der Platten im GPT Stil nutzt und es deshalb gar nicht möglich ist, habe ich auch. Die menschliche Verunsicherung die aus diesem gesamt Erlebnis hervorgeht, welches ja nun doch gezeigt hat, dass ich nicht genügend Ahnung hab um das selbst richtig abzuschätzen hab ich aber auch. Die Möglichkeit das der nur so tut als würde er da sitzen und vom ESET falsch erkannt wird hab ich letztlich auch gesehen, ich kenne das Tool ja nicht. Aber wenn du dir so sicher bist, glaub ich auch dran. Wenn ich nun den im Lesestoff dargestellten Paketmanager nutze, muss ich mir das dann so vorstellen, dass ich in dem Manager selbst, nach Programmen suchen kann, die ich dann von dort aus runterlade? Oder wie bekomme ich das gewünschte Programm über den runtergeladen? |
Ich habe keine weitere Lust darüber zu diskutieren. Für mich steht fest, dass das ein Fehlalarm ist. Die anderen Dinge klärst du bitte in einem extra Thread bzw im Thread von chocolatey. Nicht hier - Thema beendet. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:44 Uhr. |
Copyright ©2000-2025, Trojaner-Board
dann auf 
und dann auf 
.