| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Tipp für alle, die Dateien entschlüsseln müssen...Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
04.05.2012, 20:12
| #1 |
| |  Tipp für alle, die Dateien entschlüsseln müssen... Hallo werte Forumsgemeinde, ein Arbeitskollege von mir hat sich auf seinem Vista Laptop den tollen Verschlüsselungstrojaner eingefangen. Wie er das gemacht hat wissen weder er noch nicht, nur dass es vorgestern abend 02.05. gegen 20 Uhr passiert ist, scheint klar (Änderungsdatum der Dateien) Die Sache mit dem Entschlüsseln kommt weiter unten... Nun habe ich mich erstmal unter Zuhilfenahme meiner bisherigen PC Kenntnisse (leider ohne vorheriger Internet Recherche...) ran gemacht, um den Rechner erstmal wieder zum laufen zu bekommen. Also: Abgesicherter Modus, Autostart und die Registrierung nach Auffälligkeiten durchsucht. Und, siehe da: In der Registrierung war eine komische Datei in HKEY_Current_Users/Software/microsoft/windows/currentversion/run - diese entfernt und dann lief die Kiste schonmal wieder ohne den nervigen obigen Screen. Mensch, dachte ich - ist ja einfach! Aber dann fielen mir die 928 teils wirklich wichtigen "locked" Dateien auf :-( Internet zur Hilfe genommen, und dieses Forum gefunden. Dann erstmal dieses Malwarebytes Anti-Malware runtergeladen und durchlaufen lassen. Eine Datei gefunden & gelöscht. So, nun an die Entschlüsselung und gleich auf das Problem einer fehlenden Original Datei zum erstellen des Entschlüsselungscodes gestoßen, denn der werte Herr hält nicht viel von Backups... Also Vista Bilder genommen, Schlüssel erstellt und los. Hier hatte ich egal mit welchem Decrypt Programm ich arbeiten wollte das Problem, dass der erstellte Schlüssel nur Jpg´s und mp3´s korrekt entschlüsselt hat. Alle anderen Dateien hatten zwar den richtigen Dateinamen, waren aber weiterhin fehlerhaft. Ich habe mir dann alle locked Dateien genauestens angeschaut und mir fiel auf, dass auch viele andere Dateien in den Weiten von C:\Benutzer\*NAME*\... betroffen waren. Unter anderem auch eine .htm (Hilfe-) Datei aus einem Samsung Programm. Nach dem durchsuchen der Festplatte nach nun dieser Datei stellte ich freudigerweise fest, dass diese Datei in c:/programme im Originalzustand sowie in den Benutzer Dateien c:/Benutzer/.../... im verschlüsselten Zustand vorlag. Nun nochmal einen neuen Schlüssel erstellt und siehe da: ALLE Dateiformate fehlerfrei wiederhergestellt. Also - nicht verzagen und zu früh aufgeben bei der Wiederherstellung! Nur die Suche und das finden eines geeigneten Paares zur Schlüsselerstellung erfordert etwas Geduld und Hirnschmalz, wo man vielleicht noch die eine oder andere Originaldatei herbekommt ;-) Jetzt noch meine Frage an die Profis: Der Rechner läuft und "scheint" fehlerfrei zu sein, da das auslösende Programm ja weg ist. Gibt es noch weitere Maßnahmen, die ich hier ergreifen sollte, um den Trojaner restlos zu entfernen? Versteckt sich da noch irgendwas? Offene Ports oder dergleichen? Grüße aus dem Norden, Mirko PS: Tolles Forum!  |
| Themen zu Tipp für alle, die Dateien entschlüsseln müssen... |
| anti-malware, autostart, bilder, dateien, dateiformate, einfach, entfernen, entfernt, entschlüsseln, erstellt, festplatte, frage, internet, kis, komische, laptop, locked dateien, malwarebytes, modus, neue, neuen, offene, offene ports, ports, problem, programm, rechner, versteckt sich, vista |
Baum-Darstellung