Hallo,

ich wurde am 5.6.2012 ebenfalls mit einem Rechnungsanschreiben von Flirt-Fever mit dem Trojaner infiziert.
Ich habe die meisten eigenen Dateien inklusive Zweitsystem glücklicherweise auf einer zweiten Festplatte. Erstsystem ist auf einer SSD.
Der Trojaner ließ sich nicht mit Malware, Avira, etc. finden. Jedoch ist der typische Startbildschirm weiter zu sehen.

Ich konnte ihn dennoch manuell entfernen, indem ich über den abgesicherten Modus mit Netzwerktreibern startete und über ein neu erstelltes Benutzerkonto die Regedit wieder frei geschaltet habe.
Dazu habe ich in der Registry mit regedit des neuen Benutzerkontos das befallene Nutzerkonto von entsprechenden Disable-Einträgen befreit.:

HKEY_USERS\SID

SID steht dann für die befallene User ID, die entsprechende Disable-Einträge vorweisen muss.
dann:

\Software\Microsoft\Windows\CurrentVersion\Policies\System

dort steht unter anderem der Eintrag "DisableRegistryTools". Dieser und ein paar weitere disable Einträge habe ich gelöscht.
Danach hatte ich wieder regedit-Zugang unter meinem Standard-Nutzerkonto.
Dann habe ich weiterhin, immernoch im abgesicherten Modus den Trojaner unter:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

gefunden. Der Name besteht ebenso aus wirren Buchstabenfolgen wie die Dateien selbst.

Ich konnte das System wieder normal starten. Allerdings funktioniert noch keines der Entschlüsselungstools.
Die befallene E-mail mit Anhang habe ich bereits markusG geschickt.

Grüße

MinisterPhil

Hallo MinisterPhil,
bist Du sicher dass Dein System nun sauber ist?

Was Du hier beschreibst ist nur ein Teil der Standardvorgehensweise.

Du schreibst nicht ob Du noch einen abschließenden Scan gemacht hast.
Du schreibst nicht, ob Du auch gecheckt hast, ob der Trojaner nicht eine Mirrordatei angelegt hat und ob es eventuell einen Link darauf gibt.

Noch ein Hinweis zum Zugriff auf das System.
So wie Du das gemacht hast geht das natürlich.
Eleganter ist die Umleitung der utilman.exe auf die cmd.exe.
Dann brauchst Du nur einen Benutzerwechsel andeuten und Du hast als SYSTEM Zugriff auf die Konsole.
Damit bist Du jedem Administrator überlegen.

Die Entschlüsselungstools gelten nur bei Verschlüsselungen mit dem Präfix locked-.
Bei jeder anderen Verschlüsselung lohnt nichtmal der Versuch.
Da hilft ein Blick in das Reparaturthema.

Gruß Volker

Hallo Undertaker,

nein ich bin mir nicht sicher, deswegen schreibe ich hier ja was rein. Das sollte nur schon mal beschreiben was ich gemacht habe. Wenn ichs besser wüßte hätte ich das geschrieben.
Ich finde das im Forum nicht klar rüber kommt, dass nur locked Verschlüsselungen knackbar sind. Ich finde wenn man immerhin wieder Zugriff auf sein System bekommt und ist das durchaus postbar. Zumindest wird man hier im Forum ja auch deutlich dazu aufgefordert.
Ein nachträglicher Scan hat im Appdata-Ordner einen Adware-file gefunden.
Ich werde noch weiter im Reparatur-Forum schauen...

Gruß
Philipp

Zitat:

Zitat von MinisterPhil

Hallo,

ich wurde am 5.6.2012 ebenfalls mit einem Rechnungsanschreiben von Flirt-Fever mit dem Trojaner infiziert.
Ich habe die meisten eigenen Dateien inklusive Zweitsystem glücklicherweise auf einer zweiten Festplatte. Erstsystem ist auf einer SSD.
Der Trojaner ließ sich nicht mit Malware, Avira, etc. finden. Jedoch ist der typische Startbildschirm weiter zu sehen.

Ich konnte ihn dennoch manuell entfernen, indem ich über den abgesicherten Modus mit Netzwerktreibern startete und über ein neu erstelltes Benutzerkonto die Regedit wieder frei geschaltet habe.
Dazu habe ich in der Registry mit regedit des neuen Benutzerkontos das befallene Nutzerkonto von entsprechenden Disable-Einträgen befreit.:

HKEY_USERS\SID

SID steht dann für die befallene User ID, die entsprechende Disable-Einträge vorweisen muss.
dann:

\Software\Microsoft\Windows\CurrentVersion\Policies\System

dort steht unter anderem der Eintrag "DisableRegistryTools". Dieser und ein paar weitere disable Einträge habe ich gelöscht.
Danach hatte ich wieder regedit-Zugang unter meinem Standard-Nutzerkonto.
Dann habe ich weiterhin, immernoch im abgesicherten Modus den Trojaner unter:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

gefunden. Der Name besteht ebenso aus wirren Buchstabenfolgen wie die Dateien selbst.

Ich konnte das System wieder normal starten. Allerdings funktioniert noch keines der Entschlüsselungstools.
Die befallene E-mail mit Anhang habe ich bereits markusG geschickt.

Grüße

MinisterPhil

danke ich hab das gemacht, alles fein. Doch jetzt habe ich das problem das sich der format von allen meinen dateien wie z.b.(Textdateien, Bilder etc.), sich geändert haben. Kann mir da einer helfen?

Im Forum steht einiges dazu,

ich habe mir auch nicht die Zeit genommen alles anzuschauen, aber versuchs mal hier:

Reparaturanleitungen für Dateien vom Verschlüsselungstrojaner "12 kB / neue Version"

Gruß

Habs endlich hingekriegt
Für jeden der das selbe Problem wie ich hat, holt euch shadow explorer 0.8.
Und wenn wir nicht wisst wie das funktioniert schaut einen Tutorial oder fragt mich.