Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: How to decrypt files.txt

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 09.05.2012, 09:19   #1
hpesata
 
How to decrypt files.txt - Standard

How to decrypt files.txt



Hallo!

habe ein WIN7 Home Premium 64bit notebook, bei dem alle dateien offensichtlich verschlüsselt sind, in den ordnern finden sich "HOW TO DECRYPT FILES.TXT" files. die dateien haben alle ein geänderte extension z.B. "Desert.jpg.Bl9c98vcvv". habe die im Trojaner-Board zur verfügung gestellten decryper ausprobiert (WIN7 original beispielbilder), die sagen mir alle, dass original und encrypted file nicht zusammenpassen. habe einen Malwarebytes scan gemacht der hat 2 infizierungen gefunden und entfernt, keiner der beiden hat jedoch vom namen auf einen decrypt-trojaner hingedeutet.

Komm nicht weiter und ich hoffe Ihr könnt mir hier weiterhelfen, vielen dank im voraus!

Lg,
Hans

----------------------------------------

HOW TO DECRYPT FILES.txt

All your files are encrypted!
To decrypt them you need to
send a voucher code or Paysafecard Ukash at email: tenagliamirella@gmail.com
In return you get a code to decrypt files.
You can find more information here hxxp://ukash.com/uk/en/home.aspx
or hxxp://www.paysafecard.com/choose-country/

PLEASE READ CAREFULLY!
To avoid problems, TURN OFF YOUR ANTI-VIRUS!
AKA restore your files WILL NOT!
================================================================================
Todos os seus arquivos sao criptografados!
Para decifra-los voce precisa
enviar um codigo de voucher Ukash Paysafecard ou no e-mail: tenagliamirella@gmail.com
Em troca, voce recebera um codigo para decifrar arquivos.
Voce pode encontrar mais informacao aqui hxxp://ukash.com/uk/en/home.aspx
ou hxxp://www.paysafecard.com/choose-country/

LEIA COM ATENCAO!
Para evitar problemas, DESLIGUE seu anti-virus!
AKA restaurar seus arquivos nao serao!

--------------------------------------

mbam.log-2012-05-09 (08-23-45).txt

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.09.01

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus)
Internet Explorer 9.0.8112.16421
Purgi :: PURGI-PC [Administrator]

09.05.2012 08:23:45
mbam-log-2012-05-09 (08-23-45).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 429153
Laufzeit: 50 Minute(n), 41 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\decrypt virus\DecryptHelper-0.5.3.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Purgi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\4Q5XGU90\FastDownload.exe (Affiliate.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Alt 09.05.2012, 09:47   #2
Psychotic
/// Malwareteam
 
How to decrypt files.txt - Standard

How to decrypt files.txt





Mein Name ist Marius und ich werde dir bei deinem Problem helfen.

Eines vorneweg:

Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass du clean bist.

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Solltest du irgendwo nicht weiterkommen, stoppe an diesem Punkt und beschreibe dein Problem hier!
  • Nur Scans durchführen, zu denen du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren) - wenn du die anweisungen mehrere Helfer ausführst, kann das schwere Probleme nach sich ziehen!.
  • Installiere oder Deinstalliere während der Bereinigung keine Software (ausser, du wurdest dazu aufgefordert).
  • Wenn etwas unklar ist: Frage, bevor du etwas "blind" machst!
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen, außer, ich fordere dich dazu auf. Erschwert mir nämlich das Auswerten.


Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.


Leite die Email bitte an diese Adresse weiter.

Dann mach folgendes:


Schritt 1: defogger


Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.
  • Starte das Tool mit Doppelklick.
    Vista und Win7 User mit Rechtsklick "als Administrator starten".
  • Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
  • Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
  • Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.
Sollte Defogger eine Fehlermeldung ausgeben, poste bitte die defogger_disable Log von deinem Desktop.
Klicke den Re-enable Button nicht ohne Anweisung.


Schritt 2: DDS


Downloade dir bitte dds ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop. dds.com dds.scr dds.pif
  • Schließe alle laufenden Programme.
  • Starte DDS mit Doppelklick.
  • Es wird 2 Logfiles erstellen.
    • dds.txt
    • attach.txt
  • Speichere beide Logfiles auf deinem Desktop
  • Poste beide Logfiles hier.



Schritt 3: TDSS-Killer


Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen. Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop
  • Starte die TDSSKiller.exe
  • Klicke Change parameters, wähle Detect TDLFS file system, klicke OK.
  • Drücke Start Scan
  • Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile. TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ ) Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt
Poste den Inhalt bitte hier in deinen Thread.



Schritt 4: aswMBR


Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen ) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.
__________________

__________________

Alt 09.05.2012, 10:28   #3
hpesata
 
How to decrypt files.txt - Standard

How to decrypt files.txt



Hallo Marius!

danke für Deine rasche antwort!

ich werde die hinweise so bald wie möglich durchführen und poste die ergebnisse in diesem thread.

einrs noch:

was ist mit "Leite die Email bitte an diese Adresse weiter." gemeint ?

danke & lg,
Hans
__________________

Alt 09.05.2012, 10:37   #4
Psychotic
/// Malwareteam
 
How to decrypt files.txt - Standard

How to decrypt files.txt



Zitat:
Zitat von hpesata Beitrag anzeigen

was ist mit "Leite die Email bitte an diese Adresse weiter." gemeint ?

danke & lg,
Hans
Alles okay, ich dachte zuerst, der Schädling sei per Email gekommen.
Ignoriere den Hinweis!
__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Alt 11.05.2012, 04:52   #5
hpesata
 
How to decrypt files.txt - Standard

How to decrypt files.txt



Guten Morgen Marius!

habe die logfiles hochgeladen.

danke & lg,
Hans


Alt 11.05.2012, 06:46   #6
Psychotic
/// Malwareteam
 
How to decrypt files.txt - Standard

How to decrypt files.txt



Bitte zippe die logfiles von MBAM (zu finden im Programm unter Logdateien) und hänge sie hier an deine nächste Antwort als Anhang an!
__________________
--> How to decrypt files.txt

Alt 11.05.2012, 12:10   #7
hpesata
 
How to decrypt files.txt - Standard

How to decrypt files.txt



Hallo!

das Malwarebytes log hatte ich in meine urspüngliche anfrage bereits eingefügt, habs nochmal raufgeladen.

lg,
Hans

Alt 11.05.2012, 16:01   #8
Psychotic
/// Malwareteam
 
How to decrypt files.txt - Standard

How to decrypt files.txt



Bitte keine eigenmächtigen Versuche mehr anstellen, die Daten zu entschlüsseln - dazu später mehr!


Combofix

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.
__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Alt 13.05.2012, 09:55   #9
hpesata
 
How to decrypt files.txt - Standard

How to decrypt files.txt



Hallo!

anbei das combofix-logfile.

lg,
Hans

Alt 13.05.2012, 11:13   #10
Psychotic
/// Malwareteam
 
How to decrypt files.txt - Standard

How to decrypt files.txt



Schritt 1: CF-Script


Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:
BleepingComputer.com - ForoSpyware.com
und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Code:
ATTFilter
REGISTRY::
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{00000000-6E41-4FD3-8538-502F5495E5FC}"=-
[-HKEY_CLASSES_ROOT\clsid\{00000000-6e41-4fd3-8538-502f5495e5fc}]
[-HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[-HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[-HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
FOLDER::
c:\program files (x86)\Ask.com
CLEARJAVACACHE::
         
Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:
  • Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
    Danach wieder anstellen nicht vergessen!
  • Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
    Dies kann dazu führen, dass ComboFix sich aufhängt.
  • Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
  • Mache nichts am PC solange ComboFix läuft.
  • In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
  • Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.
Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.


Schritt 2: MBAM


Downloade Dir bitte Malwarebytes
  • Installiere das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.
__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Alt 14.05.2012, 08:21   #11
hpesata
 
How to decrypt files.txt - Standard

How to decrypt files.txt



Guten Morgen!

anbei die beiden logfiles.

Danke!

lg,
Hans

Alt 14.05.2012, 08:35   #12
Psychotic
/// Malwareteam
 
How to decrypt files.txt - Standard

How to decrypt files.txt



Wir brauchen die verschlüsselten Dateien, um eine Methode dagegen entwickeln zu können, da es sich um eine neue Variante der Malware handelt.

Nutze dazu unseren Upload-Channel.


Onlinescan zur Kontrolle



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset




Macht der Rechner noch Probleme?
__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Alt 14.05.2012, 09:57   #13
hpesata
 
How to decrypt files.txt - Standard

How to decrypt files.txt



hab einige verschlüsselte files (WIN7 sample pictures) raufgeladen.

lg,
Hans

Alt 14.05.2012, 14:44   #14
Psychotic
/// Malwareteam
 
How to decrypt files.txt - Standard

How to decrypt files.txt



Dann noch den ESET-Scan!
__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Alt 15.05.2012, 06:32   #15
hpesata
 
How to decrypt files.txt - Standard

How to decrypt files.txt



Guten Morgen!

der ESET hat nichts gefunden, konnte auch keine logfile speichern,
da war kein button "list of found threads".

hab auch mit AVIRA AntiVir gescannt, der hat auch nix gefunden.

lg,
Hans

Antwort

Themen zu How to decrypt files.txt
administrator, affiliate.downloader, anti-malware, appdata, autostart, code, dateien, dateisystem, download.exe, e-mail, email, explorer, gelöscht, heuristiks/extra, heuristiks/shuriken, home, malwarebytes, microsoft, namen, notebook, ordner, quarantäne, scan, service, speicher, trojan.fakealert, trojaner-board, version, win, win7




Ähnliche Themen: How to decrypt files.txt


  1. help-file-decrypt.enc in jedem Ordner (safefiles32@mail.ru)
    Plagegeister aller Art und deren Bekämpfung - 22.08.2015 (3)
  2. Meldung help file decrypt bei Start des Computers
    Plagegeister aller Art und deren Bekämpfung - 19.08.2015 (21)
  3. help file decrypt Daten verschlüsselt
    Log-Analyse und Auswertung - 14.08.2015 (9)
  4. how to decrypt the files
    Log-Analyse und Auswertung - 03.06.2015 (8)
  5. decrypt instruction--kann einige dateien nicht mehr öffnen
    Plagegeister aller Art und deren Bekämpfung - 12.07.2014 (28)
  6. Log Files Beurteilung: insb. Vorgehen bei Meldung in Log Files "Files to move or delete:..."
    Log-Analyse und Auswertung - 20.05.2014 (15)
  7. Dirty Decrypt
    Plagegeister aller Art und deren Bekämpfung - 25.08.2013 (13)
  8. Wichtige Dateien durch Virus verschlüsselt "Read to Decrypt!"
    Plagegeister aller Art und deren Bekämpfung - 09.07.2013 (9)
  9. Decrypt / Encrypter Trojaner / Virus. KILLT MEINE FOTOS
    Mülltonne - 25.05.2013 (2)
  10. Decrypt / Encrypter Trojaner / Virus.
    Mülltonne - 25.05.2013 (14)
  11. How to decrypt files.txt, Alle Datein mit <Blockage> gesperrt
    Log-Analyse und Auswertung - 28.09.2012 (31)
  12. doppellog How to decrypt files.txt, Alle Datein mit <Blockage> gesperrt
    Mülltonne - 22.09.2012 (0)
  13. O4 - HKLM..\Run: [SearchSettings] C:\Program Files\Common Files\Spigot\Search Settings\SearchSetting
    Mülltonne - 02.07.2012 (0)
  14. Mail trojaner eingefangen. decrypt und avira ransom funktionieren nicht
    Plagegeister aller Art und deren Bekämpfung - 21.05.2012 (1)
  15. Verschlüsselungs-Trojaner (Logfiles nach Anwendung von Decrypt-Helper)
    Log-Analyse und Auswertung - 08.05.2012 (5)
  16. C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe
    Log-Analyse und Auswertung - 31.05.2009 (1)

Zum Thema How to decrypt files.txt - Hallo! habe ein WIN7 Home Premium 64bit notebook, bei dem alle dateien offensichtlich verschlüsselt sind, in den ordnern finden sich "HOW TO DECRYPT FILES.TXT" files. die dateien haben alle ein - How to decrypt files.txt...
Archiv
Du betrachtest: How to decrypt files.txt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.