Ich habe folgendes Problem. Ich habe mir einen Verschlüsselungstrojaner eingefangen. Habe die Mails mit den Viren schon weitergeleitet. Weiß allerdings nicht mehr welches davon ich geöffnet habe. Konnte mit dem Notebook nichts mehr machen weil nach dem Start gleich dieser Bildschirm kam wo man bezahlen und den Code eingeben sollte.

Nach Recherche bin ich auf dieses Forum gestoßen und hoffe auf hilfe.

Meine Vorgehensweise bisher:

Habe mir den Windows defender auf einem anderen Rechner runtergeladen und auf CD gebrannt. Damit konnte ich das befallene Notebook starten, scannen und erste befallene Dateien entfernen. Konnte das Notebook (Win XP) dann wieder starten ohne das die Aufforderung zum zahlen kam.

Habe dann mit weiteren Scannern gescannt woraufhin noch weitere befallene Dateien gefunden wurden. --> entfernt (logs folgen)

Ich habe nun das Problem, dass die Dateien noch immer verschlüsselt sind. Habe alle im Forum angegebenen Programme probiert, allerdings ohne Erfolg. (Dateipaare hätte ich genug, die meisten Programme können aber keinen Schlüssel erzeugen, Scareuncrypt konnte scheinbar einen Schlüssel erzeugen mit einem Dateipaar allerdings bei der Anwendung passiert dann nichts)

Die Dateien haben keine Endung oder locked .... vorangestellt sondern haben diese Form. z.B. guoyLpDTUsVOQNyLjla

Habe gerade gesehen (http://www.trojaner-board.de/115183-...te-umlauf.html) dass dazu schon ein Eintrag besteht und daran gearbeitet wird. Erstelle dennoch einen Eintrag mit den Logs.

1. Defogger Disabled

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 22:42 on 09/06/2012 (tom)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...

-=E.O.F=-

2. OTL

im Anhang

3. Gmer hat nicht funktioniert. Kommt ein Bluescreen und das Notebook wird neu gestartet. Bluescreen kann ich nicht lesen das geht zu schnell.

4. Im Anhang noch die Logfiles der Scanner. Vom Windows defender hab ich leider keins bzw. weiß ich nicht wo das abgespeichert ist.

Vl kann mir ja jemand helfen bzw. findet jemand einen Weg um die Dateien zu entschlüsseln, werde jedenfalls die Diskussion weiter verfolgen sonst bleibt wohl nur neu aufsetzen.

Hinweise bzgl. der verschlüsselten Dateien:
Wann genau deine Daten entschlüsselt werden können wird dir niemand genau sagen können außer vllt einer es kann sein, dass du eine neuere Variante hast, deren Verschlüsselungsalgorithmus noch unbekannt ist. Sowas kann man (noch) nicht entschlüsseln und ohne Schlüssel schon garnicht - ist ja auch logisch, sonst wär es ja keine vernünftige Verschlüsselung
Einfach hier nochmal reinsehen in regelmäßigen Abständen, obige Hinweise beachten. 8 Tools mitsamt hunderten Diskussionsbeiträgen stehen da schon

Eine Notlösung für Vista und Win7-User => http://www.trojaner-board.de/115496-...erstellen.html

Entschlüsselungsversuche der verschlüsselten Dateien sind nur auf zusätzliche Kopien der verschlüsselten Dateien anzuwenden, sonst zerhackt man sich die noch weiter ohne die "original" verschlüsselte Datei mehr zu haben. Das willst du sicher nicht!

Man darf sich aber keine falschen Hoffnungen machen. Mittlerweile sieht es finster aus => Delphi-PRAXiS - Einzelnen Beitrag anzeigen - Verschlüsselungs-Trojaner, Hilfe benötigt

Und in Zukunft willst du sicher mal an ein besseres Backupkonzept denken. Hier ein Denkanstoß => http://www.trojaner-board.de/115678-...r-backups.html

habe das notebook mittlerweile formatiert um das ganze system sicher rein zu machen. das mit den daten is eigentlich nicht so schlimm weil ich von meinen daten ohnehin ein backup in meist zweifacher ausfertigung habe. is nur unwesentlich was ich verloren habe.

lg

Na dann war das ganze ja nichtmal halb so schlimm...aber stell dir vor, vielen ist das passiert und die hatten NIEMALS ein Backup vorher gemacht