Hallo zusammen,

mich hat es auch mit dem Verschlüsselungstrojaner erwischt. Gestern habe ich eine email mit eigentlich bekanntem Absender geöffnet und kurze Zeit später hat sich dieses ominöse "Windows-Update"-Fenster mit dem Verweis auf den Verschlüsselungstrojaner geöffnet.

Ich habe den ganzen Abend schon bei euch im Forum kreuzt und quer gestöbert und hoffe, dass Ihr mir zumindest beim Sichern der Daten weiterhelfen könnt. Da sind super wichtige, persönliche Daten drauf, die auf keinen Fall gelöscht werden sollten, daher entfällt ein kompletter Systemneustart erstmal, bis ich die Daten extern gespeichert und möglichst entschlüsselt bekommen habe.

Also laut "Trojaner" handelt es sich um eine 256 bit AES Verschlüsselung. Der Rest des Textes ist den meisten vermutlich bekannt.

Nachdem ich bei euch ein wenig gelesen habe, habe ich gestern versucht den abgesicherten Modus zu starten. Das funktioniert auch zum Glück. Alles andere klappt bisher nicht bzw wird sofort durch das Update-Fenster geblockt...

Ich freue mich auf eure Unterstützung. Ich muss euch aber direkt dazusagen, dass ich PC technisch zwar kein Neanderthaler aber doch nicht wirklich versiert bin; v.a. was Programmierung und so angeht. Daher entschuldigt schonmal im Voraus, falls ich dumme Fragen stellen sollte....Danke trotzdem schonmal für all eure Hilfe!

VG
clausen2309

hi
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

Hallo zusammen,

also ich habe alles wie oben beschrieben durchgeführt. Bis zum starten des Scans hat auch alles perfekt funktioniert. Zunächst startet der Scan auch ohne Probleme, doch nach ein paar Minuten kommt die Meldung "Out of memory". Danach läuft es noch weiter bis in der unteren Zeile lediglich folgendes steht

"Manual file scan - Getting foder structure..."

Danach passiert gar nix mehr. Habe ihn jetzt über Nacht und über Tag laufen lassen, aber unter dem angegebenen Pfad ist keine Datei abgespeichert. Woran kann das liegen?

Danke für ein paar Anregungen

VlG clausen2309

hi
versuche es mal ohne mein script bitte

Hallo zusammen,

danke für den schnellen HInweis. Habe den Scan durchgeführt. Ging dann auf einmal doch super schnell. Die Datei ist im Anhang zu finden....

Hoffe ihr könnt damit was anfangen?

VlG clausen2309

na wäre ja komisch wenn wir logs anfordern mit denen wir nichts anfangen können :-)
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKU\Mel_ON_C..\Run: [adgo.exe] C:\Users\Mel\AppData\Roaming\Gaokh\adgo.exe ()
[2012/06/25 12:11:53 | 000,000,000 | ---D | C] -- C:\Users\Mel\AppData\Roaming\Naus
:Files
C:\Users\Mel\AppData\Roaming\Gaokh
:Commands
[Reboot]
         

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.
falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die + E Taste.

• Öffne dein Systemlaufwerk ( meistens C: )
• Suche nun
  folgenden Ordner: _OTL und öffne diesen.
• Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
• 
  Dies wird eine Movedfiles.zip Datei in _OTL erstellen
• Lade diese bitte in unseren Uploadchannel
  hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus

Hallo,

also bei dem scan hat alles funktioniert, nur mit der datei musste ich ein wenig kämpfen...mit er zip-datei bzw dem upload hat es leider gar nicht geklappt...

daher musste ich jetzt den log einmal hier posten, hoffe das ist ok ?!

Log-Nr.1
========== OTL ==========
Registry value HKEY_USERS\Mel_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\adgo.exe deleted successfully.
C:\Users\Mel\AppData\Roaming\Gaokh\adgo.exe moved successfully.
C:\Users\Mel\AppData\Roaming\Naus folder moved successfully.
========== FILES ==========
C:\Users\Mel\AppData\Roaming\Gaokh folder moved successfully.
========== COMMANDS ==========

OTLPE by OldTimer - Version 3.1.48.0 log created on 07012012_021859

Danke und einen schönen abend noch...

VG clausen2309

was heißt nicht geklappt, worann scheiterts

Hallo,

also auf dem befallenen PC konnte ich die Datei nicht in eine zip-Datei umwandeln und also ich das auf meinem anderen durchführen wollte, bekam ich eine NAchricht, dass ein Trojaner entdeckt worden sei. Da war ich dann als gebrantes Kind ein wenig vorsichtig. Bei dem normalen Upload der *.txt Datei habe ich nur die Nachricht erhalten, dass der Upload nicht geklappt hat...

Reicht euch denn der log, den ich gepostet habe, oder soll ich es nochmal wiederholen und dann neu versuchen?

deaktiviere das antimalware auf dem infizierten pc und versuche erneut das archiv zu erstellen und hochzuladen, danke

Wo kann ich den antimalware ausschalten, wenn ich in dem gebooteten System bin?

Danke für die Info...

Hallo zusammen,

kann mir einer bei der Problematik helfen? Ich weiß nicht, wie ich antimalware ausschalten kann weil ich das Programm gar nicht auf dem betroffenen Rechner installiert habe...

Freu mich über die HIlfe...Danke!!

du hast schon gelesen in meiner signatur, das ich nicht da bin.
und das hier viele themen zu bearbeiten sind ist dir auch aufgefallen oder?
rechtsklick auf avira schirm und deaktivieren

Hey danke für die Info....

Meine Frage war nicht böse gemeint, nur dachte ich dass ich nach ein paar Tagen einfach mal nachfragen sollte und ehrlich gesagt hatte ich auch nicht gesehen, dass du nicht anwesen oder verhindert warst...

habe deinen Rat versucht umzusetzen, aber avira ist auf der Boot-Desktop leider nicht zu finden.

Habe dann den Fix-RUn nochmals durchgeführt, wobei ich den log wiederum nur als Text und nicht als Datei posten kann; hoffe trotzdem dass euch das weiterhilft....

========== OTL ==========
Registry value HKEY_USERS\Mel_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\adgo.exe not found.
File C:\Users\Mel\AppData\Roaming\Gaokh\adgo.exe not found.
Folder C:\Users\Mel\AppData\Roaming\Naus\ not found.
========== FILES ==========
File\Folder C:\Users\Mel\AppData\Roaming\Gaokh not found.
========== COMMANDS ==========

OTLPE by OldTimer - Version 3.1.48.0 log created on 07112012_042348


Die zip-Datei werde ich noch versuchen hochzuladen...Danke und noch einen schönen Restabend!

ok lassen wir es so.
wenn du verschlüsselte daten hast, guck mal hier rein:
http://www.trojaner-board.de/116851-...tml#post851585