Hallo zusammen,

leider hat sich meine bessere Hälfte auf ihrem Notebook einen der neuen Verschlüsselungstrojaner eingefangen, weil eine Chatcommunity 900€ von ihr haben wollte .

Nunja... ich dachte mit bei dem panischen Anruf heute Mittag nicht viel aber diese Biester scheinen ja recht fies zu sein, deshalb mache ich doch mal einen Beitrag auf.

Das gute Stück lädt nach dem Windows Start exakt die Ansicht, die im Diskussionsthread im 1. Post dargestellt ist: http://www.trojaner-board.de/115183-...te-umlauf.html

Im Anhang die defogger_disable.txt, OTL.txt, Extras.txt und Gmer.txt

OS ist Windows 7 Pro 32bit

Abgesicherter Modus lässt sich starten und die .doc Dateien auf dem Desktop des Users meiner Freundin lassen sich auch noch öffnen.


Ich hoffe ihr könnte mir helfen.


Bei Bedarf kann ich auch den Trojaner noch per Mail einreichen - von web.de direkt kann man leider keine .eml Dateien speichern sondern nur die Email selbst als html - müsste dazu also erst ein imap Konto einrichten.


Viele Grüße
davem

Ja, die Mails bitte immer weiterleiten, siehe Hinweise oben markusg - trojaner-board.de

Vorweg auch nochmal als Hinweis:
Wann genau deine Daten entschlüsselt werden können wird dir niemand genau sagen können außer vllt einer es kann sein, dass du eine neuere Variante hast, deren Verschlüsselungsalgorithmus noch unbekannt ist. Sowas kann man (noch) nicht entschlüsseln und ohne Schlüssel schon garnicht - ist ja auch logisch, sonst wär es ja keine vernünftige Verschlüsselung
Einfach hier nochmal reinsehen in regelmäßigen Abständen, obige Hinweise beachten. 8 Tools mitsamt hunderten Diskussionsbeiträgen stehen da schon

Entschlüsselungsversuche der verschlüsselten Dateien sind nur auf zusätzliche Kopien der verschlüsselten Dateien anzuwenden, sonst zerhackt man sich die noch weiter ohne die "original" verschlüsselte Datei mehr zu haben. Das willst du sicher nicht!

Und in Zukunft willst du sicher mal an ein besseres Backupkonzept denken. Hier ein Denkanstoß => http://www.trojaner-board.de/115678-...r-backups.html

Zitat:

Abgesicherter Modus lässt sich starten und die .doc Dateien auf dem Desktop des Users meiner Freundin lassen sich auch noch öffnen.

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?



Abgesicherter Modus zur Bereinigung

• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:
  
  

Hallo cosinus,

danke erst mal für deine Antwort.

Ja, der abgesicherte Modus lässt sich mit Internetverbindung ausführen.

Die Email mit dem Virus leite ich sofort weiter.


Ich habe inzwischen schon einmal Malwarebytes Anti-Malware drüber laufen lassen, was auch 9 infizierte Dateien gefunden hat, die in Quarantäne genommen wurden. Leider wird der Virus noch immer beim normalen Windows Start ausgeführt.

Gruß
davem

Zitat:

Die Email mit dem Virus leite ich sofort weiter.

Danke!

Zitat:

Ich habe inzwischen schon einmal Malwarebytes Anti-Malware drüber laufen lassen, was auch 9 infizierte Dateien gefunden hat, die in Quarantäne genommen wurden. Leider wird der Virus noch immer beim normalen Windows Start ausgeführt.

Bitte alle Logs davon posten! Alle die im Reiter Logdateien zu sehen sind!