Hallo allerseits,

auch den Laptop meines Schwiegervaters hat der Windows Verschlüsselungs Trojaner erwischt. Nach seiner Aussage war es wohl eine Mail mit einer gefakten Telekom-Rechnung. Wenn wir den Rechner wieder hinbekommen haben, versuche ich diese Euch zukommen zu lassen.

In der Hoffnung, ihn (den Rechner) wieder hinzubekommen, bin ich mit Hilfe von Trojaner-Board.de aber schon ein weites Stück gekommen.

OTLPE ist heruntergeladen und auf CD gebrannt.

Scan ist mit den nötigen Einträgen in Custom Scans/Files durchgeführt.

Anhang 34409

Anhang 34410

Anhang 34411

(Sorry für die drei Teile. Die Gesamtdatei war 260KB)

Leider ist der Fix wohl sehr abhängig vom OTLPE-Scan. Oder gibt es eine allgemeine Lösung?

Nun brauche ich "nur noch" den entsprechenden Fix und dann sollte mein Schwiegervater wieder glücklich sein.

Mit vorauseilendem Dank und Gruß
Stefan P.

auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKU\V6545_ON_C..\Run: [D007B7C6] C:\WINDOWS\system32\B2F12C40D007B7C62C9B.exe (Pigna colada)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 
1
O7 - HKU\V6545_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\V6545_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
:Files
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

Hallo,

so weit erst mal vielen Dank für die Hilfe.
Sehr zur Freude aller Beteiligten startet der Rechner wieder und man kann auf ihm arbeiten.
Leider hat der Trojaner bei seiner zerstörerischen Tätigkeit auch einige hundert Dateien umbenannt und mit einer zusätzlichen Dateierweiterung versehen. Muss ich die jetzt alle wieder manuell umbennen oder gibt's da auch ein Tool?

Gruß
Stefan P.

hi,
umbenennen bringt nichts.
mache ein backup deiner wichtigen dateien die verschlüsselt sind
auf ein externes laufwerk
dann entschlüsseln:
http://www.trojaner-board.de/114224-...-unlocker.html
klicke: gesammtes verzeichniss entschlüsseln
teile mir mit obs geklappt hatt

Hallo,

und noch mal, weil's so schön war: vielen vielen Dank für Deine/Eure Arbeit.

Das Entschlüsseln der Dateien ist auf den ersten Blick durch das Avira Tool erfolgreich durchgeführt worden. Da der Rechner nicht mir gehört, möchte ich jetzt nicht alle Programme durchtesten.
Sobald mein Schwiegervater wieder an den Rechner kommt, versuche ich die gefakte Mail herauszusuchen und dann zur Verfügung stellen.

Gruß
Stefan P.

ok, meld dich dann mal, obs noch probleme mit dem gerät gibt :-)