woher willst du wissen, das nach kaspersky alles sauber ist...?
von diesen ganzen rettungs cds ala avira- kaspersky etc ist nicht unbedingt zu erwarten das sie den pc sauber bekommen, denn dass nen antimalware programm ne hundert prozentige erkennung hat ist mir neu.

Wollte ja nur den kleinen Unterschied in der Verfahrensweise beschreiben.
Anstatt Malwarebytes Kaspersky genommen.
Auf den Rechnern ist als Virenschutzsoftware Anti Vir installiert. Damit wurde nochmals ein Scan durchgeführt.
Auf jedenfall arbeiten die Rechner wieder absolut korrekt und ohne irgendwelche Probleme.

Zusammenfassung:

Trojaner durch Powerpoint-File unwissentlich heruntergeladen
Trojaner mit Anti-Malware entfernt
Versuch mit DecryptHelper und Windows Beispielbilder einen Schlüssel zu erzeugen => Fehlschlag
Gelockte Game-Patch-Datei (CoD MW4 1.1 Patch) auf Festplatte gefunden
Selbe Patch-Datei aus dem Internet heruntergeladen
DecryptHelper verwendet, um Schlüssel zu bekommen => Erfolg
DecryptHelper verwendet, um locked-Files zu unlocken => bisher teilweiser Erfolg (noch nicht fertiggestellt)

ChrisX
hast du die powerpoint datei noch?
dann mal hochladen bitte:
Trojaner-Board Upload Channel
wenn es eine mail war:
wenn du ein mail programm nutzt markiere die mail, datei speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.

auch zukünftige mails, von fremden, mit anhang, so an mich senden.

Zitat:

Zitat von matkuni

Wie heißt eine der verschlüsselten Dateien beispielsweise?
Wie lautet die genaue Fehlermeldung?
Mit welchen zwei Dateien (Pärchen) versuchst du den Schlüssel zu generieren? (am besten als Zip-Archiv an die Antwort anhängen)

Hi

Mir hat dann das Tool ScareUncrypt geholfen (http://www.trojaner-board.de/114548-...e-dateien.html).
Als Datei habe ich zwei verschiede Windows Wallpaper benutzt, einem dritten wollte ich dann keine Chance geben. Beim ScareUncrypt konnte gleich von Anfang an ein Schlüssel erstellt werden und alle Dateien konnten wieder entschlüsselt werden.
Danke eurem Forum

Gruß Ede

na dafür gibts ja mehrere tools, eines wird sicher helfen :-)

Hi!
Die Powerpoint + die dazugehörige gelockte Datei werden gerade hochgeladen (sind ca. 400MB)

Der Trojaner befand sich im Anhang einer Mail, versteckt in einer Powerpointpräsentation

Die entsprechende Mail wurde leider gelöscht.
Sobald wieder so eine Mail ankommen sollte, werde ich sie dir sofort weiterleiten!

Eine Frage noch:
Es sind noch eine Menge gelockter Files am PC, welche anscheinend nicht geunlockt werden können.

Gibt's da nen Trick, wie ich die wiederbekomme?

Danke!

hi,
ne 400 mb kann man nicht hochladen im upload channel.
sind die files wirklich noch gelockt und gibt es davon keine entschlüsselte kopie? denn der unlocker löscht nicht die gelockten files aus sicherheitsgründen.
ja, wenn wieder so ne mail ankommt, her damit.
bzw mal im papierkorb schauen, oder, falls du die über nen mail programm holst, mal im browser anmelden, denn häufig wird ne kopie auf dem web mailer server gelassen.

@markusg:
Sämtliche Dateien wurden geunlockt und sind wieder verfügbar!
Kontrolliere gerade, ob auch wirklich alle Dateien wieder vorhanden sind.
Bis jetzt sieht's aber gut aus!
Insgesamt wurden ~15k Dateien wiederhergestellt!

Ohne diesem Forum wäre ich verloren gewesen!

der dank geht aber an mathias :-)

Der Dank geht an alle, die das hier ermöglicht + Erfahrungsberichte gepostet haben!

so ein scan habe ich gemacht, aber was solle nun gemacht werden?
wie finde ich die verschlüsselten Dateien ?
Bin leider nicht so der PC Mensch sorry.
Java und das Decrypt habe ich schon. was nun?
Kann mir jemand weiter helfen
Danke
Stephan

Hallo an Alle,
ich habe das Problem, dass sämtliche Dateien verschlüsselt sind und ich natürlich keine Originaldatei habe. Kann ich nun überhaupt noch irgend etwas tun?
Über eine rsche Antwort würde ich mich sehr freuen.

Ich erläutere kurz meine vorgehensweise zum beheben des Trojaners und der Entschlüsselung der Daten.

Ich hab zuerst von Kaspersky (Avira geht auch) die Notfall-CD heruntergeladen und gebrannt. Dann habe ich die Disk in den "verseuchten PC" eingelegt und von der CD gebootet. Anschließend habe ich zu erst ein Update durchgeführt, sodass alles auf dem neuesten Stand ist, dann der komplett Scan. (Dauer ca 1-2 h) Es wurden 3 Trojaner gefunden und gelöscht.

Nachdem Scan konnte ich mich ganz normal an den PC anmelden und das Bild:



war nicht mehr da.

Wie sieht die verschlüsselt Datei aus? Ein Beispiel: locked.BlaueBerge.jpg.xyz

Um herauszufinden wieviele Dateien verschlüsselt wurden, habe ich einfach in der Suche "locked" eingegeben und die Festplatte ausgewählt, nach dem Suchdurchlauf hat er ungefähr 10380 Dateien gefunden.

Zum entschlüsseln der Dateien habe ich den DecryptHelper-0.5.3.jar von Matthias genommen. (Fettes Dankeschön an dieser Stelle )

Zum erstellen des Schlüssels habe ich die Originaldatei (Blaue Berge) die hier verfügbar ist heruntergeladen und genau die gleiche Datei (BlaueBerge) muss auch gelocked sein, um halt diesen Schlüssel zuerstellen. Dann einfach den Anweisungen folge leisten, wenn ihr auf den Button "Schlüssel erzeugen" klickt.



Dann habe ich einfach den Ordner (Festplatte C: ) ausgesucht und dann die Entschlüsselung gestartet, nach ca. 20-30 min wurden alle Dateien wiederhergestellt.

Wichtig ist das ihr die Daten vorher sichert. Safety First

So ich hoffe ich habe das verständlich erklärt.

gruß schwini


und viel erfolg dabei

hi, heute werden einige hersteller spezielle updates für diese malware raus bringen, also, guckt noch mal in eure postfächer, bitte, und sendet mir an mails zu, was passend zu diesem thema ist :-)
wenn ihr ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn ihr eure mails über den browser abruft, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.