Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Verschlüsselungstrojaner - Entschlüsseln (zufallsgenerierte Dateinamen)

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 18.06.2012, 23:00   #1
f00
 
Verschlüsselungstrojaner - Entschlüsseln (zufallsgenerierte Dateinamen) - Standard

Verschlüsselungstrojaner - Entschlüsseln (zufallsgenerierte Dateinamen)



hallo!

habe mir ende mai einen verschlüsselungstrojaner ("Kaufvertrag"-version) eingefangen und diesen im abgesicherten modus mittels Malwarebytes erfolgreich entfernt.

seitdem kann ich wieder normal am rechner arbeiten, internet surfen, dateien erstellen, alles kein problem. der abgesicherte modus funktioniert auch nach wie vor.

allerdings sind eine ganze menge daten (insbesondere in den eigenen dateien, aber auch auf c:\ generell ) noch verschlüsselt, wobei die dateien nicht im "*locked-format" sind, sondern zufallsgenerierte namen (mix aus groß- und kleinbuchstaben) und keine dateiendung aufweisen.

avira ransom unlocker, scareuncrypt, rannoh descrypter und der windows unlocker von kaspersky bringen trotz einer originaldatei (~3mb) und einer verschlüsselten datei in exakt derselben größe nichts ein. avira erkennt nicht mal, dass überhaupt verschlüsselte dateien vorliegen...

wiederherstellung bzw. shadow explorer fällt weg, da keine wiederherstellungspunkte existieren, die ausreichend lange zurückliegen. das schlichte anhängen einer dateiendung funktioniert auch nicht. logs vom entfernen des trojaners sind leider nicht mehr vorhanden.

was kann ich noch probieren?

danke im voraus!
f00

hab doch noch ein paar mbam logs gefunden.

der erste scan:
Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.18.07

Windows 7 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
XY :: XY-PC [Administrator]

Schutz: Deaktiviert

18.05.2012 20:36:12
mbam-log-2012-05-18 (20-36-12).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 298924
Laufzeit: 40 Minute(n), 41 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|048548A7 (Trojan.Agent.RNSGen) -> Daten: C:\Users\XY\AppData\Roaming\Dvvvvvnn\9EF3AC5D048548A73681.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\XY\AppData\Roaming\Dvvvvvnn\9EF3AC5D048548A73681.exe (Trojan.Agent.RNSGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
beim zweiten mal taucht dann nichts mehr auf:
Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.18.07

Windows 7 x86 NTFS
Internet Explorer 9.0.8112.16421
XY :: XY-PC [Administrator]

Schutz: Aktiviert

18.05.2012 21:23:54
mbam-log-2012-05-18 (21-23-54).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 300474
Laufzeit: 1 Stunde(n), 5 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         
heute nochmal gescannt und siehe da - wieder 6 infizierte dateien:
Code:
ATTFilter
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.19.03

Windows 7 x86 NTFS
Internet Explorer 9.0.8112.16421
XY :: XY-PC [Administrator]

19.06.2012 09:02:55
mbam-log-2012-06-19 (09-02-55).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 319778
Laufzeit: 1 Stunde(n), 25 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 6
C:\Users\XY\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\RQSDR484\DecryptHelper-0.5.3.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\XY\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\FJ5R1BC3\370038_100000692646543_578746784_n[1].jpg (Extension.Mismatch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\XY\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\NS38MLQT\app_1_155727011143809_4606[1].gif (Extension.Mismatch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\XY\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\YM2L2H7R\72x60_new[1].jpg (Extension.Mismatch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\XY\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\YM2L2H7R\50012_100000404994315_1428784640_n[1].jpg (Extension.Mismatch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\XY\Downloads\DecryptHelper-0.5.3.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
außerdem befindet sich auf dem desktop die datei ACHTUNG-LESEN.txt auf dem Desktop mit folgendem inhalt:

Code:
ATTFilter
Sehr geehrte Damen und Herren,
anscheinend wurde das Update Programm vollständig unterbrochen. Jetzt kann das Virus nur manuell beseitigt werden. Dies brauchen Sie um Ihre Dateien benutzen zu können. Falls Sie also die gesperrten Daten brauchen, senden Sie uns bitte 200 Euro Ukash Code an die Email: security-center@inbox.lt, so bald dieser Code geprüft wurde, erhalten Sie ein Update Programm. Falls Sie Ihre Daten nicht brauchen raten wir Ihnen dringend Ihren Computer zu formatieren um den Virus vollständig zu entfernen. Ukash können Sie an einer beliebigen Tankstelle erwerben und auch in mehreren Internetcafes in Ihrer Nähe.
mfG Ihr Security Team
         

Alt 21.06.2012, 15:50   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Verschlüsselungstrojaner - Entschlüsseln (zufallsgenerierte Dateinamen) - Standard

Verschlüsselungstrojaner - Entschlüsseln (zufallsgenerierte Dateinamen)



Hinweise bzgl. der verschlüsselten Dateien:
Wann genau deine Daten entschlüsselt werden können wird dir niemand genau sagen können außer vllt einer es kann sein, dass du eine neuere Variante hast, deren Verschlüsselungsalgorithmus noch unbekannt ist. Sowas kann man (noch) nicht entschlüsseln und ohne Schlüssel schon garnicht - ist ja auch logisch, sonst wär es ja keine vernünftige Verschlüsselung
Einfach hier nochmal reinsehen in regelmäßigen Abständen, obige Hinweise beachten. 8 Tools mitsamt hunderten Diskussionsbeiträgen stehen da schon

Eine Notlösung für Vista und Win7-User => http://www.trojaner-board.de/115496-...erstellen.html

Entschlüsselungsversuche der verschlüsselten Dateien sind nur auf zusätzliche Kopien der verschlüsselten Dateien anzuwenden, sonst zerhackt man sich die noch weiter ohne die "original" verschlüsselte Datei mehr zu haben. Das willst du sicher nicht!

Man darf sich aber keine falschen Hoffnungen machen. Mittlerweile sieht es finster aus => Delphi-PRAXiS - Einzelnen Beitrag anzeigen - Verschlüsselungs-Trojaner, Hilfe benötigt


Und in Zukunft willst du sicher mal an ein besseres Backupkonzept denken. Hier ein Denkanstoß => http://www.trojaner-board.de/115678-...r-backups.html
__________________

__________________

Antwort

Themen zu Verschlüsselungstrojaner - Entschlüsseln (zufallsgenerierte Dateinamen)
abgesicherten, crypt, datei, dateien, dateinamen, dateisystem, daten, eingefangen, entfernen, entschlüsseln, explorer, extension.mismatch, funktioniert, gen, heuristiks/extra, heuristiks/shuriken, hängen, internet, kaspersky, locker, malwarebytes, modus, namen, nicht mehr, nichts, rechner, surfen, trotz, unlocker, windows, windows unlocker




Ähnliche Themen: Verschlüsselungstrojaner - Entschlüsseln (zufallsgenerierte Dateinamen)


  1. Verschlüsselungstrojaner- Dateien entschlüsseln
    Plagegeister aller Art und deren Bekämpfung - 09.03.2015 (4)
  2. Endungen an den Dateinamen
    Alles rund um Windows - 31.01.2014 (4)
  3. Dateien nach Verschlüsselungstrojaner entschlüsseln
    Überwachung, Datenschutz und Spam - 06.02.2013 (2)
  4. Windows-Verschlüsselungstrojaner ! Gelöscht, aber wie Daten wieder entschlüsseln.
    Plagegeister aller Art und deren Bekämpfung - 13.08.2012 (21)
  5. Verschlüsselungstrojaner - Dateinamen vollständig erhalten
    Plagegeister aller Art und deren Bekämpfung - 06.07.2012 (20)
  6. Dateien entschlüsseln nach Verschlüsselungstrojaner funktioniert nicht
    Log-Analyse und Auswertung - 13.06.2012 (3)
  7. Verschlüsselungs-Trojaner: Dateinamen lassen sich nicht entschlüsseln
    Diskussionsforum - 08.06.2012 (3)
  8. Verschlüsselungstrojaner - Dateien lassen sich nicht entschlüsseln
    Log-Analyse und Auswertung - 07.06.2012 (5)
  9. Verschlüsselungstrojaner - trojaner weg, daten lassen sich nicht mehr entschlüsseln
    Plagegeister aller Art und deren Bekämpfung - 03.06.2012 (1)
  10. Verschlüsselungstrojaner mit unveränderten Dateinamen.
    Log-Analyse und Auswertung - 03.06.2012 (5)
  11. Verschlüsselungstrojaner - ohne "locked" - im Dateinamen
    Log-Analyse und Auswertung - 24.05.2012 (2)
  12. Verschlüsselungstrojaner normale Dateinamen
    Plagegeister aller Art und deren Bekämpfung - 23.05.2012 (3)
  13. Verschlüsselungstrojaner: Loganalyse nach Entfernen und Entschlüsseln
    Log-Analyse und Auswertung - 06.05.2012 (3)
  14. .locked datein entschlüsseln nach verschlüsselungstrojaner
    Plagegeister aller Art und deren Bekämpfung - 03.05.2012 (3)
  15. Alle Dateinamen geändert
    Plagegeister aller Art und deren Bekämpfung - 31.01.2010 (2)
  16. Dateinamen der Windowsanwendungen
    Alles rund um Windows - 28.04.2005 (2)
  17. Netsky_P und seine Dateinamen...
    Plagegeister aller Art und deren Bekämpfung - 27.03.2004 (3)

Zum Thema Verschlüsselungstrojaner - Entschlüsseln (zufallsgenerierte Dateinamen) - hallo! habe mir ende mai einen verschlüsselungstrojaner ("Kaufvertrag"-version) eingefangen und diesen im abgesicherten modus mittels Malwarebytes erfolgreich entfernt. seitdem kann ich wieder normal am rechner arbeiten, internet surfen, dateien erstellen, - Verschlüsselungstrojaner - Entschlüsseln (zufallsgenerierte Dateinamen)...
Archiv
Du betrachtest: Verschlüsselungstrojaner - Entschlüsseln (zufallsgenerierte Dateinamen) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.