Auch ich habe mir einen Verschlüsselungstrojaner eingefangen

Trojaner war in einer Zip-Datei. Ist aber leider nicht mehr drin und so weiß ich leider nicht was es für einer ist.

Hat beliebige Dateien umbenannt locked-originalname.xcy

Leider hat der Trojaner auch auf die Backuplatte zugegriffen, so dass ich keine Originaldatei mehr habe (zum Vergleichen)

Ich habe nun mit dem Tool te94decrypt.exe (mit sämtlichen Keys) die Dateien
überprüft. Das Tool meldet aber imer dass es keine verschlüsselte Dateien gefunden hat.

Was kann ich sonst testen.

Gruß

hi,
auf das system kannst du zugreifen?
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die
  OTL.exe
  .
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die
  Textbox.

Code: Alles auswählenAufklappen

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere
  nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hallo

kann das leider erst nächste Woche durchführen da ich dringend weg muss.

Auf den Rechner kann ich zurückgreifen, da ich sofort ein Image eingespielt
habe. Ich vermute also dass der Rechner wieder sauber ist.
Muss ich aber noch prüfen.

Die Backupplatten, die auch betroffen sind, sind Netzwerkplatten
(Seagate BlackArmor). Kann ich davon ausgehen dass auf denen
der Trojaner nicht werkelt?

Gruß

kannst du
mache ein backup deiner dateien die verschlüsselt sind
dann entschlüsseln:
http://www.trojaner-board.de/114224-...-unlocker.html
teile mir mit obs geklappt hatt

Das Problem ist, dass ich keine Originaldatei mehr habe.

findet avira nichts automatisch?
du hast nichts mehr, evtl. nen foto was du im internet hochgeladen hast?
wie siehts mit nem zweit pc aus? von dort könnte man evtl. windows beispiel bilder nehmen.

Nein, Avira findet nichts automatisch.

Werde einmal auf allen CDs, Sticks, ..... Dateien suchen die ich
vergleichen kann.

Werde dann berichten.

auch mal in post 62 gucken:
http://www.trojaner-board.de/114115-...tml#post820441
da gibts n paar vergleichs dateien.

zur Info

das Tool, Avira Ransom File Unlocker, hat meine Dateien
wieder entschlüsselt.

Gruß
Dieter

hi
solche malware kommt per mail.
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.