![]() |
|
Diskussionsforum: Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben. |
![]() |
|
![]() | #1 |
| ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) Die Angehängten Dateien konnte ich nur mit rannohdecryptor.exe entschlüsseln. Ansonsten habe ich noch DecryptHelper, das Tool von Dr. Web und den Avira Ransom File Unlocker probiert. Vielleicht hilft die Info. edit: Mit einer Wiederhergestellten Datei lassen sich auch die anderen Tools füttern. Problem: Nicht alle Dateien werden ordnungsgemäß wiederhergestellt. Manche Bilder/Dokumente sind kaputt. Wurde da evtl. ein anderer Key verwendet? Erstellungszeitpunkte sind bis auf Sekunden gleich. Geändert von -=SSD=- (06.05.2012 um 21:50 Uhr) |
![]() | #2 |
/// Malware-holic ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) hi,
__________________wurde ja jetzt einige male geschrieben, es ist möglich, dass du eine version hast, die wir momentan noch nicht entschlüsseln können. wenn du sie mir zukommen lässt, warscheinlich per mail eingetrudelt, kann man mal gucken. an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert. wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ: .eml einstellen. dann mail an: http://markusg.trojaner-board.de dort die soeben erstellte datei anhängen. wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders. bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen. sie können dann dorthin solche verdächtigen mails senden. diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.
__________________ |
![]() | #3 |
| ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) danke für die Info.
__________________Die orginal mail haben wir leider nicht mehr. Ich habe nur die "gesäuberte" variante. |
![]() | #4 | |
| ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)Zitat:
habe Ihnen soeben eine Mail mit 4 verschlüsselten Dateien geschickt. Ich hoffe, wir kommen damit weiter. Die Original Mail wurde leider gelöscht. LG Sascha |
![]() | #5 |
| ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) Hallo, Ich habe eben festgestellt, das ich auch mit meinem kleinen Netzwerk nicht von nem Anderen nicht infizierten Rechner auf diesen zugreifen kann. Der Trojaner verändert anscheinend auch Daten im Windows. Soll ich mal 2 Dateien per Mail senden in original und Locked? |
![]() | #6 |
![]() | ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) So, habe ja nun getestet. Das Problem, es wird immer eine Original Datei verlangt und die gleiche als verschlüsselt. Nur habe ich keine Originalen Dateien, den es wurden ja alle verschlüsselt. Was kann man da machen??? |
![]() | #7 |
| ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) |
![]() | #8 |
![]() | ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) So, habe doch noch eine Originale Datei gefunden und somit konnten Daten wiederhergestellt werden. hatte auch suchen lassen mit: Malwarebytes Hier die Logdatei bzw. der Bericht: Malwarebytes Anti-Malware (Test) 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.05.07.01 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 Baerchy :: BAERCHY-HP [Administrator] Schutz: Aktiviert 07.05.2012 12:44:34 mbam-log-2012-05-07 (12-44-34).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 472971 Laufzeit: 2 Stunde(n), 51 Minute(n), 54 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 14 HKCR\Typelib\{B035BA6B-57CD-4F72-B545-65BE465FCAF6} (Adware.ShoppingReport2) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\Typelib\{D44FD6F0-9746-484E-B5C4-C66688393872} (Adware.ShoppingReport2) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\Interface\{0EB3F101-224A-4B2B-9E5B-DF720857529C} (Adware.ShoppingReport2) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\ShoppingReport2.HbAx (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\ShoppingReport2.HbAx.1 (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\ShoppingReport2.HbInfoBand (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\ShoppingReport2.HbInfoBand.1 (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\ShoppingReport2.IEButton (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\ShoppingReport2.IEButton.1 (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\ShoppingReport2.IEButtonA (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\ShoppingReport2.IEButtonA.1 (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\ShoppingReport2.RprtCtrl (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCR\ShoppingReport2.RprtCtrl.1 (Adware.ShopperReports) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 4 HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{EB620C54-E229-4942-87CE-E717109FC8C6} (Adware.ShoppingReport2) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping|{EB620C54-E229-4942-87CE-E717109FC8C6} (Adware.ShoppingReport2) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{DB38E21A-0133-419d-92AD-ECDFD5244D6D} (Adware.ShoppingReport2) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping|{DB38E21A-0133-419d-92AD-ECDFD5244D6D} (Adware.ShoppingReport2) -> Daten: 2 -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Geändert von Diebaer (07.05.2012 um 14:44 Uhr) Grund: Tante Edit |
![]() | #9 |
/// Malware-holic ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) hier ist nicht das forum für logfiles, die werden bitte in extra themen gepostet, danke
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
![]() | #10 |
| ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) Hallo, ich hatte das PRoblem auch. Ist mitlerweile alles wieder gut, dank eurer Hilfe. Habe aber gerade ein Interesantes Video gesehn welches sich mit dieser PRoblematik befasst. Es ist kein allheilmittel, jedoch für die kommenden Varianten vieleicht ganz nützlich um sich dagegen ein wenig zu schützen. Den Trojaner kann man sich immernoch einfangen, allerdings wird durch eintragen folgenden Daten in die Host-Datei das landen der Schadsoftware mit der anschliesenden Verschlüsselung der Daten verhindert. Eintragen muß man folgenden: 127.0.0.1 qoa-a.com 127.0.0.1 horad-fo.com 127.0.0.1 spatbe-w.com 127.0.0.1 dns.msftncsi.com 127.0.0.1 msftncsi.com Zu sehen ist das ganze unter: Video Ich hoffe ein wenig helfen zu können, denn ein versehentliches erneutes öfnen einer solchen Datei ist nicht ausgeschloßen :-) |
![]() | #11 |
/// Malware-holic ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) nur solange sie die server nicht wechseln klappt das. das nur als anmerkung, und bei malware ist damit zu rechnen :-)
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
![]() | #12 |
| ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) Hat schon jemand eine Entschlüsselungs-Lösung für die neue matsnu1 Variante gefunden? |
![]() | #13 | |
| ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware)Zitat:
Markusg braucht eine Original E-Mail in der der Auslöser-Anhang noch drin ist. Hier noch einmal seine Adresse: http://markusg.trojaner-board.de Gruß |
![]() | #14 |
| ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) Hy, sitz grad am rechner meiner Mutter, die leider diese dubiose rechnung geöffnet hat, soweit sieht alles ganz gut aus. Die meisten Dateien(eigentlich alle)wurden Fehlerfrei wiederhergestellt. Habe nun aber noch folgendes Prob: Wenn ich MSOOutlook2007 öffne möchte dieser ein Kennwort,Wie behebt man das? Danke im Voraus J3ss3 |
![]() | #15 |
/// Malware-holic ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) hatt sie denn ein kennwort festgelegt? ist das ne abfrage von outlook oder eine abfrage des mail kontos?
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
![]() |
Themen zu Wiederherstellung der verschlüsselten Dateien (Rechnung.exe, Realtecdriver.exe Schadsoftware) |
abrechnung.zip, applikation, beliebige, bytes, dateien verschlüsselt, decrypthelper, ebenfalls, locked, log-analyse und auswertung, neue, ransomware, realtecdriver, rechnung.exe, sie haben sich mit einen windows-verschlüsselungs trojaner infiziert, tr/crypt.xpack.gen, tr/injector.lo, trojan.crypt.ebj, trojan:w32/ransomcrypt, trojan:win32/ransom.opv, verschlüsselt, verschlüsselte dateien, verschlüsselung, wiederherstellung, windows update virus |