|
Log-Analyse und Auswertung: Auch uns hat der Windows Verschlüsselungs Trojaner erwischt ..wie entschlüsseln ?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
20.05.2012, 12:28 | #1 |
| Auch uns hat der Windows Verschlüsselungs Trojaner erwischt ..wie entschlüsseln ? Erst einmal ein freundliches Hallo an die Menschen hier in diesem Board Ich habe mich heute hier angemeldet weil ich bzw unsere Rechner seit gestern auch mit diesem Windows Verschlüsselungs Trojaner befallen sind . Ich habe eine Versendungsmail bekommen mit einem Anhang in der eine Rechnung war ..weil ich mit dieser nichts anfangen konnte habe ich die meinem Lebensgefährten weiter geschickt ..was ein großer fehler war . Nun sind unsere beiden Rechner mit diesem Virus verseucht . (Beide Rechner fuhren im abgesicherten Modus hoch ,dies nur um die Form des Virus zu bestimmen) Wir haben uns letzte Nacht akriebisch durch dieses Forum gearbeitet und haben so gut es ging uns an Eure Lösungen / Tips gehalten und diese durchgeführt . Als erstes haben wir uns den Kaspersky WindowsUnlocker von einer sicheren Seite herunter geladen Haben beide Rechner damit neu starten lassen und mit dem Programm den Virus gelöscht . Dann haben wir beide Rechner mit Malwarebytes Anti-Malware durchlaufen lassen und es waren keine funde mehr Dann haben wir mit dem DecryptHelper von Matthias versucht unsere Dateien zu entschlüsseln zusätzlich mit dem Tool von Dr. Web . Leider sind unsere Dateien nicht entschlüsselt worden Bei uns sind die Dateien ..Bilder etc ohne Endung ..haben eine Buchstaben Bezeichnung "aAtndgtemNmg" Ich hoffe Ihr könnt uns helfen ..denn auf meinem Rechner sind alle wichtigen Daten für mein eigenes Opelforum welches ich seit 3 Jahren führe und gesammelt habe ....weg sind ..zusätzlich natürlich alle Privaten Bilder etc Und was noch erschwerend dazu kommt auf dem Rechner meines Freundes wo er seine Ordner hat in dem er 15 Jahre Aufbau etc seines Fahrzeuges dokomentiert hat .. Wenn ich etwas unbeholfen rüber komme möchte ich mich schon mal entschuldigen ..denn was PC betrifft bin ich doch eher Laie Ich möchte mich für Eure mühen und hilfe schon mal im vorraus bedanken .. Viele Grüße die Opelmaus Wollte nur kurz bescheid sagen ..wir haben festgestellt das die verschlüsselten Bilder beim durchlauf des Bildschirmschoners zu sehen sind . Vielleicht hilft das beim lösen unserem Problems Vielen Grüße die Opelmaus Dies ist das Ergebniss des Eset online scanner vom pc meines Freundes .. Den von meinem PC hänge ich gleich mit ran... [code]# version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6583 # api_version=3.0.2 # EOSSerial=5ca8af9710ff4b43b75bb0bbd29a7ec4 # end=finished # remove_checked=true # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2012-05-20 06:49:52 # local_time=2012-05-20 08:49:52 (+0100, Mitteleuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=6.1.7601 NT Service Pack 1 # compatibility_mode=1792 16777215 100 0 18939645 18939645 0 0 # compatibility_mode=5893 16776574 100 94 28870714 89156855 0 0 # compatibility_mode=8192 67108863 100 0 120 120 0 0 # scanned=267447 # found=4 # cleaned=4 # scan_time=12786 C:\$Recycle.Bin\S-1-5-21-3807869583-4054037166-1025389846-1000\$RKKJDZQ.exe Win32/SoftonicDownloader.D application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Users\Dennis i500\AppData\Local\Temp\zrbsowgiln.pre Win32/Trustezeb.B trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Users\Dennis i500\AppData\Local\Temp\IM\Bestellung.zip Win32/Trustezeb.B trojan (deleted - quarantined) 00000000000000000000000000000000 C C:\Users\Dennis i500\AppData\Roaming\Qunlfxg\7DED2B9AB833CE5BC8CD.exe Win32/Trustezeb.B trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C [code] Hier ist das Ergebnis von meinem Rechner ... Code:
ATTFilter ESETSmartInstaller@High as downloader log: all ok # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6583 # api_version=3.0.2 # EOSSerial=5d9f6c9993018440936a920ec46eff92 # end=finished # remove_checked=true # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2012-05-20 07:05:24 # local_time=2012-05-20 09:05:24 (+0100, Mitteleuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=6.1.7601 NT Service Pack 1 # compatibility_mode=1792 16777215 100 0 12959928 12959928 0 0 # compatibility_mode=5893 16776573 100 94 48 89160821 0 0 # compatibility_mode=8192 67108863 100 0 90 90 0 0 # scanned=170115 # found=51 # cleaned=51 # scan_time=9753 C:\Program Files (x86)\MyWebSearch\bar\1.bin\F3CJPEG.DLL Win32/Toolbar.MyWebSearch application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\MyWebSearch\bar\1.bin\F3DTACTL.DLL Win32/FunWeb application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\MyWebSearch\bar\1.bin\F3HISTSW.DLL Win32/FunWeb application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\MyWebSearch\bar\1.bin\F3HKSTUB.DLL a variant of Win32/Toolbar.MyWebSearch.G application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\MyWebSearch\bar\1.bin\F3HTMLMU.DLL Win32/Toolbar.MyWebSearch.B application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\MyWebSearch\bar\1.bin\F3HTTPCT.DLL Win32/Toolbar.MyWebSearch application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\MyWebSearch\bar\1.bin\F3IMSTUB.DLL Win32/Toolbar.MyWebSearch application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\MyWebSearch\bar\1.bin\F3POPSWT.DLL Win32/FunWeb application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\MyWebSearch\bar\1.bin\F3PSSAVR.SCR Win32/Toolbar.MyWebSearch application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\MyWebSearch\bar\1.bin\F3REGHK.DLL a variant of Win32/Toolbar.MyWebSearch.I application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\MyWebSearch\bar\1.bin\F3REPROX.DLL Win32/Toolbar.MyWebSearch.D application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\MyWebSearch\bar\1.bin\F3RESTUB.DLL Win32/Toolbar.MyWebSearch application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\MyWebSearch\bar\1.bin\F3SCHMON.EXE Win32/FunWeb application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\MyWebSearch\bar\1.bin\F3SCRCTR.DLL Win32/Toolbar.MyWebSearch.P application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\MyWebSearch\bar\1.bin\F3WPHOOK.DLL Win32/FunWeb application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\MyWebSearch\bar\1.bin\M3AUXSTB.DLL Win32/Toolbar.MyWebSearch.H application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\MyWebSearch\bar\1.bin\M3DLGHK.DLL a variant of Win32/Toolbar.MyWebSearch.I application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\MyWebSearch\bar\1.bin\M3HTML.DLL Win32/Toolbar.MyWebSearch.F application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\MyWebSearch\bar\1.bin\M3IDLE.DLL Win32/Toolbar.MyWebSearch.P application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\MyWebSearch\bar\1.bin\M3IEOVR.DLL Win32/Toolbar.MyWebSearch.P application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\MyWebSearch\bar\1.bin\M3IMPIPE.EXE Win32/Toolbar.MyWebSearch application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\MyWebSearch\bar\1.bin\M3MSG.DLL Win32/Toolbar.MyWebSearch application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\MyWebSearch\bar\1.bin\M3OUTLCN.DLL Win32/Toolbar.MyWebSearch.J application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\MyWebSearch\bar\1.bin\M3PLUGIN.DLL a variant of Win32/Toolbar.MyWebSearch application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\MyWebSearch\bar\1.bin\M3SKIN.DLL Win32/Toolbar.MyWebSearch.P application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\MyWebSearch\bar\1.bin\M3SKPLAY.EXE Win32/Toolbar.MyWebSearch application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\MyWebSearch\bar\1.bin\M3SLSRCH.EXE Win32/Toolbar.MyWebSearch.J application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\MyWebSearch\bar\1.bin\M3SRCHMN.EXE a variant of Win32/Toolbar.MyWebSearch.I application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\MyWebSearch\bar\1.bin\M3TPINST.DLL Win32/Toolbar.MyWebSearch.I application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\MyWebSearch\bar\1.bin\MWSBAR.DLL a variant of Win32/Toolbar.MyWebSearch.K application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\MyWebSearch\bar\1.bin\MWSMLBTN.DLL Win32/Toolbar.MyWebSearch application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\MyWebSearch\bar\1.bin\MWSOEMON.EXE Win32/Toolbar.MyWebSearch application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\MyWebSearch\bar\1.bin\MWSOEPLG.DLL Win32/Toolbar.MyWebSearch.J application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\MyWebSearch\bar\1.bin\MWSOESTB.DLL Win32/Toolbar.MyWebSearch application (cleaned by deleting (after the next restart) - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\MyWebSearch\bar\1.bin\MWSSRCAS.DLL Win32/Toolbar.MyWebSearch application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\MyWebSearch\bar\1.bin\MWSSVC.EXE Win32/Toolbar.MyWebSearch application (cleaned by deleting (after the next restart) - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\MyWebSearch\bar\1.bin\MWSUABTN.DLL Win32/Toolbar.MyWebSearch application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\MyWebSearch\bar\1.bin\NPMYWEBS.DLL Win32/Toolbar.MyWebSearch application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\Windows Live\Messenger\msimg32.dll Win32/Toolbar.MyWebSearch application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Program Files (x86)\Windows Live\Messenger\riched20.dll Win32/Toolbar.MyWebSearch application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Users\Antje's\AppData\Local\IM\Identities\{8543A2C6-8875-462B-AA47-2290771F38A4}\Message Store\Attachments\Bestellung.zip Win32/Trustezeb.B trojan (deleted - quarantined) 00000000000000000000000000000000 C C:\Users\Antje's\AppData\Local\IM\Identities\{8543A2C6-8875-462B-AA47-2290771F38A4}\Message Store\Attachments\TvNvAXlVedsOpjXQAJ Win32/Trustezeb.B trojan (deleted - quarantined) 00000000000000000000000000000000 C C:\Users\Antje's\AppData\Local\IM\Identities\{8543A2C6-8875-462B-AA47-2290771F38A4}\Message Store\Attachments\{1D825D7E-E18A-4EAF-8DAE-8486124EC088}\Bestellung.zip Win32/Trustezeb.B trojan (deleted - quarantined) 00000000000000000000000000000000 C C:\Users\Antje's\AppData\Local\IM\Identities\{8543A2C6-8875-462B-AA47-2290771F38A4}\Message Store\Attachments\{A6E40DDE-DF47-4C53-8DA5-50B3835C39DD}\Bestellung.zip Win32/Trustezeb.B trojan (deleted - quarantined) 00000000000000000000000000000000 C C:\Users\Antje's\AppData\Local\Temp\NODD5FE.tmp Win32/Toolbar.MyWebSearch application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Users\Antje's\AppData\Local\Temp\NODD747.tmp Win32/Toolbar.MyWebSearch application (cleaned by deleting (after the next restart) - quarantined) 00000000000000000000000000000000 C C:\Users\Antje's\AppData\Local\Temp\wyoutpgyfw.pre Win32/Trustezeb.B trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Users\Antje's\AppData\Local\Temp\IM\Bestellung.zip Win32/Trustezeb.B trojan (deleted - quarantined) 00000000000000000000000000000000 C C:\Users\Antje's\AppData\LocalLow\FunWebProducts\Installr\Cache\0002E899.exe a variant of Win32/Toolbar.MyWebSearch.O application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Users\Antje's\AppData\Roaming\Fhyb\3C887E719C42C511952D.exe Win32/Trustezeb.B trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Windows\System32\f3PSSavr.scr Win32/Toolbar.MyWebSearch application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C Code:
ATTFilter # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6583 # api_version=3.0.2 # EOSSerial=5ca8af9710ff4b43b75bb0bbd29a7ec4 # end=finished # remove_checked=true # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2012-05-20 06:49:52 # local_time=2012-05-20 08:49:52 (+0100, Mitteleuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=6.1.7601 NT Service Pack 1 # compatibility_mode=1792 16777215 100 0 18939645 18939645 0 0 # compatibility_mode=5893 16776574 100 94 28870714 89156855 0 0 # compatibility_mode=8192 67108863 100 0 120 120 0 0 # scanned=267447 # found=4 # cleaned=4 # scan_time=12786 C:\$Recycle.Bin\S-1-5-21-3807869583-4054037166-1025389846-1000\$RKKJDZQ.exe Win32/SoftonicDownloader.D application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Users\Dennis i500\AppData\Local\Temp\zrbsowgiln.pre Win32/Trustezeb.B trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Users\Dennis i500\AppData\Local\Temp\IM\Bestellung.zip Win32/Trustezeb.B trojan (deleted - quarantined) 00000000000000000000000000000000 C C:\Users\Dennis i500\AppData\Roaming\Qunlfxg\7DED2B9AB833CE5BC8CD.exe Win32/Trustezeb.B trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C |
21.05.2012, 14:08 | #2 |
/// Malwareteam | Auch uns hat der Windows Verschlüsselungs Trojaner erwischt ..wie entschlüsseln ?Vorgehen bei Verschlüsselungstrojaner
Mit freundlichem Gruß Das Team von Trojaner-Board.de
__________________ |
23.05.2012, 07:13 | #3 |
/// Malwareteam | Auch uns hat der Windows Verschlüsselungs Trojaner erwischt ..wie entschlüsseln ? Dieses Thema wurde aus meinen Abos gelöscht.
__________________Solltest du das Thema erneut brauchen, schicke mir bitte eine PM. Jeder andere bitte hier klicken und ein eigenes Thema erstellen!
__________________ |
24.05.2012, 14:42 | #4 |
/// Malwareteam | Auch uns hat der Windows Verschlüsselungs Trojaner erwischt ..wie entschlüsseln ? Achtung! Der Trojaner selbst wird für die Datenrettung benötigt! ESET-Quarantäne nicht löschen! Dein Mann soll einen eigenen Thread für seinen Rechner eröffnen! Um eine genauere Analyse zu ermöglichen, befolge bitte diesen Link: An alle Hilfesuchenden! Was muss ich vor Eröffnung eines Themas beachten?
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
27.05.2012, 10:38 | #5 |
/// Malwareteam | Auch uns hat der Windows Verschlüsselungs Trojaner erwischt ..wie entschlüsseln ? Muss jetzt hier noch ein PC bereinigt werden oder kann ich DIESEN Thread schließen?
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
28.05.2012, 12:11 | #6 |
/// Malwareteam | Auch uns hat der Windows Verschlüsselungs Trojaner erwischt ..wie entschlüsseln ? Fehlende Rückmeldung Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten. PM an mich falls Du denoch weiter machen willst. Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist. Jeder andere bitte hier klicken und einen eigenen Thread erstellen
__________________ --> Auch uns hat der Windows Verschlüsselungs Trojaner erwischt ..wie entschlüsseln ? |
29.05.2012, 00:07 | #7 |
| Auch uns hat der Windows Verschlüsselungs Trojaner erwischt ..wie entschlüsseln ? So ich möchte hier mal kurz ne Rückmeldung machen .. Meine Daten auf meinem Desktop konnte ich retten indem ich ihnen einfach ihre Endung wieder gegeben habe Also zb .mp3 , jpg oder pdf Aber meine Daten auf D: konnte ich Anhand diesem nicht zurück holen .. Zusätzlich wurden auch meine ganzen E Mails aus meinem E Mail Programm ( Incredit Mail) gelöscht und irgendwie habe ich jetzt nur noch einen normalem Mozilla als Browser ..also meine ganzen Einstellungen sind weg und auch der Hintergrund den ich gespeichert hatte ist weg Ich würde meinen Laptop gerne neu einrichten ...kann ich meine Daten von D: erst einmal auf eine Festplatte speichern und dann später mit einem Programm retten wenn dieses gefunden wurde ? Viele Grüße die Opelmaus |
Themen zu Auch uns hat der Windows Verschlüsselungs Trojaner erwischt ..wie entschlüsseln ? |
anti-malware, dateien, entschlüsseln, fehler, forum, gelöscht, gen, helper, kaspersky, locker, malwarebytes, neu, ordner, programm, rechner, rechnung, recycle.bin, seite, starten, tool, trojaner, verseucht, virus, virus verseucht, web, win32/toolbar.mywebsearch.g, win32/toolbar.mywebsearch.i, win32/toolbar.mywebsearch.o, windows, windowsunlocker |