Hallo Trojaner Board,

mein PC mit Betriebssystem XP ist mit dem Trojaner Matsnu.EB.20 infiziert (gewesen?). Alle MS Office Dokumente sowie pdf, jpg, mp3 sind mit Buchstabenfolgen verschlüsselt. Das Adressbuch sowie Emails unter Thunderbird sind unsichtbar, die Favoriten von Firefox und Kalendereinträge von Sunbird ebenfalls. Antivir schreibt in der Reportdatei: "Der Archivheader ist defekt".

Jetzt warte ich auf die guten Geister, die meine Werke wieder zum Leben erwecken.

Mit freundlichem Gruß

Krttx07

Hallo und Herzlich Willkommen!

► Betriebsystem?
- Welche Art und Weise wurden die Daten (Eigene Dateien wie Bilder, Dokumente, Musik etc) bereits verschlüsselt? Kannst Du ein Beispiel nennen? Dateiändung wurden zugefügt (z.B "locked- .wxyz"), oder nach einem Zufallsprinzip besteht ein Dateiname aus Groß und Kleinbuchstaben (wie z.B QsEEUTODXNVqyssQ) andere?
Nämlich manche Varianten lassen sich entschlüsseln, andere wieder leider nicht..

zur Info: Vorgehen beim Verschlüsselungs-Trojaner :-> http://www.trojaner-board.de/114783-...ubersicht.html

gruß
kira

Hallo kira,

herzlichen Dank, dass Du Dich mit dem Trojaner Matsnu.EB.20 beschäftigst.

Die Antwort für deine Frage nach dem Betriebssystem steht in meiner Problemschilderung. Es handelt sich um das Betriebssystem XP professional.

Die Verschlüsselung: nach einem Zufallsprinzip, der Dateiname besteht aus Groß- und Kleinbuchstaben (wie z.B QsEEUTODXNVqyssQ).
Umbenennen lassen sich Musikdateien, mp3, die sich anschließend abspielen lassen.

Wie in meiner Anfrage geschrieben, schreibt Antivir in der Reportdatei: "Der Archivheader ist defekt". Eine altertümliche Frage an Dich: mit welchem Editor läßt sich eine defekte .doc Datei öffnen, um eventuell den Header zu reparieren?
(Vielleicht lachst du jetzt - war halt so eine Denkweise aus der Zeit, als es noch einfache .txt Dateien gab.)

Wenn du noch weitere Informationen brauchst, melde dich.

Mit freundlichem Gruß

Krttx07

Ich kann Dir beim Entfernen der Malware helfen (einen PC-Zugang zu ermöglichen), aber mit dem Verschlüsselung aufheben wird es auch nach Malwarevernichtung (vermutlich) nicht möglich sein!

Ich habe leider eine schlechte Nachricht für Dich: -> zur Info: Es tut mir leid. Kein Happy End!
Diese Art der Verschlüsselung ist momentan nicht reparierbar!
Die einzige Möglichkeit deine Daten zu retten ist (wenn schon dann irgendwann), aber niemand soll sich falsche Hoffnungen machen:
Festplatte ausbauen (also aufheben in den aktuellen Zustand) nicht mehr etwas löschen, ändern! eine neue Festplatte kaufen und einbauen, Windows drauf installieren damit Du am PC arbeiten kannst!
Die befallene Platte auf Seite legen und warten solange, bis es eine Lösung gibt

damit das nochmal nicht passiert, wie vermeide ich Datenverlust:
► Da sieht man wieder einmal wie wichtig ist, um die regelmäßige Sicherung (wichtigen Daten) zu kümmern
Denk daran: dein Hauptsystem ist doch kein Lagerhalle!
Wichtige Daten Regelmäßig sichern, am besten 2x an verschiedenen Orten!
- Externe Geräte (Festplatte USB-Stick etc) nicht ständig am PC anschließen, sondern nur kurzfristig während Du etwas sichern möchtest
E-Mail-Anhang - Öffne keine E-Mail-Anhänge (Attachments), wenn du den Absender nicht kennst!
-> Links und Anhang nicht anklicken,, Mails als Text oder in Druckversion anzeigen lassen. Mailprogramm grundsätzlich so einstellen

zur Info: Vorgehen beim Verschlüsselungs-Trojaner :-> http://www.trojaner-board.de/114783-...ubersicht.html

** eventuell noch wenn Du weiß was für dateien sind (z.B *.jpg, *.doc usw) dann benenne sie alle wieder in Originalform wie vorher, also z.B in eine .jpg Datei
ansonsten -> http://www.trojaner-board.de/116851-...strojaner.html

Hallo Kira,

mit diesem Nachrichten-Editor umzugehen ist sehr gewohnheitsbedürftig. (Warum gibt es hier kein "Senden" Button?)

Ich habe den Kaspersky Anti-Antivirus installiert. Er behauptet, mein PC sei frei von Viren. Kann ich ihm glauben?


"Daten retten nach Verschlüsselungstrojaner": Diesen Vorschlag muß ich noch in Ruhe austesten.

Danke für Deine Tips.

Krttx07

PS.: Eine Anzeige wegen "Vorsätzlicher Beschädigung von Eigentum" habe ich bei der Polizei aufgegeben.

Zitat:

Ich habe den Kaspersky Anti-Antivirus installiert. Er behauptet, mein PC sei frei von Viren. Kann ich ihm glauben?

ich denke, nein. Zumindest sollte man den Rechner auf Trojaner noch überprüfen, da Virenscannern können nur mit Daten umgehen die sie kennen.

Zitat:

► Ein Anti-Viren-Programm bzw. Spezial-Tool,kann nur vor jenen Viren schützen bzw. entfernen, die es auch kennt. Leider sehr oft Virenprogrammierer sind schneller auf dem Markt mit ihrem Produkt als Antivirenprogrammierer mit dem Gegenmittel. Es ist daher ganz natürlich, dass vom Zeitpunkt des Auftretens eines neuen Virus eine bestimmte Zeit vergeht,bis der Antivirenhersteller ein Gegenmittel in Form von Virendefinitionsfiles bereithält.

Zitat:

PS.: Eine Anzeige wegen "Vorsätzlicher Beschädigung von Eigentum" habe ich bei der Polizei aufgegeben.

richtig gehandelt!

Guten Morgen kira,

welche Vorgehensweise schlägst du vor, um meine Festplatte nach den Resten des Trojaners zu durchsuchen?

Im ersten Fenster "Hinweise" des Trojaner-Boards gibt es eine Anweisung: "Vorgehen beim Verschlüsselungs-Trojaners". Gibt es eine bessere strukturierte/formatierte Anleitung?
Dieses ist mir zu "popig". Drei Schriftfarben, Unterstrichen, Fettschrift und verschiedene Schriftgrößen. Es wirkt auf mich etwas unseriös. Tut mir Leid, aber mit +50 denkt man leicht konservativ.

Einen schönen Sonntag

Krrtx07

Zitat:

Zitat von Krttx07

Im ersten Fenster "Hinweise" des Trojaner-Boards gibt es eine Anweisung: "Vorgehen beim Verschlüsselungs-Trojaners". Gibt es eine bessere strukturierte/formatierte Anleitung?
Dieses ist mir zu "popig". Drei Schriftfarben, Unterstrichen, Fettschrift und verschiedene Schriftgrößen. Es wirkt auf mich etwas unseriös.

Wenn du etwas Bedenken hast was unser Forum betrifft, bzw als unseriös empfindest, dann würde ich dir empfehlen, dich an einen Fachmann zu wenden!

Kira,

entschuldige bitte, wenn ich mich in der Wortwahl vergriffen haben sollte. Mit "unseriös" meinte ich die optische Aufmachung.
Nachmals: Meinst du, mit dem Prozedere "Vorgehen beim Verschlüsselungs-Trojaner" den Trojaner auf meiner Festplatte zu finden, oder schlägst du eine andere Vorgehensweise vor?

Mit freudlichem Gruß

Krttx07

wie gesagt bei Betriebsystem XP, sieht leider schlecht bw hoffnungslos aus
Wir sind intensiv mit der Lösung beschäftigt, wird das aber noch einige Zeit in Anspruch nehmen. Bisher leider kein Schema entdecken können, wie die Virenprogrammierern mit den Daten umgegangen sind (vermutlich ein Teil verschlüsselt, andere einfach nur zerstört und umbenannt?). Leider mußt du damit rechnen, diese Änderung vlt so gut wie nie rückgängig zu machen können.
Zwar stehen versch. Entschlüsselungsprogramme von namhaften Virenprogramm Herstellern uns zur Verfügung, allerdings waren bisher alle Versuche erfolglos

alternativ versuchen:

Zitat:

Zitat von kira

** eventuell noch wenn Du weiß was für dateien sind (z.B *.jpg, *.doc usw) dann benenne sie alle wieder in Originalform wie vorher, also z.B in eine .jpg Datei
ansonsten -> http://www.trojaner-board.de/116851-...strojaner.html

Hallo kira,

meinen PC hatte ich zu IT-Fachleuten gebracht, in der Hoffnung, sie könnten mir helfen. (Wie schon geschrieben - sie waren erfolglos bei begrenzten Resourcen Zeit und Geld.)
Nur, dieser Spezialist meinte, dass die Codierung hardwareabhängig sein könnte. Es könnte z.B. die Seriennummer der Festplatte verwendet werden.

Einen schönen Abend und viel Erfolg beim Knacken der Nuß

Krttx07

PS.: Interessanterweise sind auf meinem PC zwei Bilder und ein pdf Dokument, die nicht verschlüsselt wurden. Warum waren sie immun?

Zitat:

Zitat von Krttx07

Nur, dieser Spezialist meinte, dass die Codierung hardwareabhängig sein könnte. Es könnte z.B. die Seriennummer der Festplatte verwendet werden.

ja, vermutlich ist so, habe darauf hingedeutet:-> http://www.trojaner-board.de/118656-...tml#post861737

Zitat:

Zitat von Krttx07

PS.: Interessanterweise sind auf meinem PC zwei Bilder und ein pdf Dokument, die nicht verschlüsselt wurden. Warum waren sie immun?

scheinbar hast Du den Verschlüsselungsvorgang unterbrochen, PC abgedreht oder so

Hallo kira,

vielen herzlichen Dank, dass Ihr euch die Mühe macht, die Chiffrierung zu knacken.

Da mein PC stabiel läuft, werde ich zum Tageschäft übergehen und mit dem Datenverlust leben.

Das Ahnenforschungsprogramm der Firma SOFTKEY wurde chiffriert.
Es ist unter D:Eigene Dateien installiert.
Die Anwendungsprogramme (MS Office, Mozilla, EpsonScanner...),
die unter C:Programme wurden nicht angegriffen. Interessant. b es zur Lösungsfindung beiträgt?

Bis denn

Mit freundlichen Grüssen

Krttx07

Zitat:

Zitat von Krttx07

die unter C:Programme wurden nicht angegriffen. Interessant. b es zur Lösungsfindung beiträgt?

wenn während des Verschlüsselungsvorgangs wurde der Rechner z.B runtergefahren, oder vom Netzwerk/Internetverbindung getrennt, werden nicht alle Daten verschlüsselt, bzw bricht den Vorgang plötzlich ab. in den meisten Fällen betrifft eher wie Bilder, Musik also die eigene Dateien, Mails, MS Office etc.
An deiner Stelle, ich würde mein System gleich neu aufsetzen, da der tatsächliche Schaden, der durch diese Attacken angerichtet wurde, nie nachvollziehbar bzw reparierbar sind!

Tipps & Rat:

➊
Datensicherung:
► NUR Daten sichern, die nicht ausführbaren Dateien enthalten - Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können.
- Vorsicht mit den schon vorhandenen Dateien auf die extern gespeicherten Daten und auch jetzt mit dem Virus infizierte Dateien eine Datensicherung anzufertigen
- Am besten alles was dir sehr wichtig, separat (extern) sichern - nicht mischen eventuell früher geschicherten Daten, also vor dem Befall!
- Eventuell gecrackte Software nicht sichern und dann auf neu aufgesetztem System wieder drauf installieren!

- Vor zurückspielen - bevor du mit deinem PC direkt ins Netz gehst...:
- die Autoplay-Funktion für alle Laufwerke deaktivieren/ausschalten -> Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten

Die auf eine externe Festplatte gesicherten Daten, gründlich zu scannen von einem suaberen System aus, am besten mit mehreren Scannern-> Kostenlose Online Scanner - Anleitung
Absolut empfehlenswerter Scanner:

Zitat:

Eset Online Scanner (NOD32)
Panda-Aktivscan
Symantec Security Check

Die Online-Scanner sind alle reine On-Demand-Scanner. Sie durchsuchen einzelne Dateien oder Verzeichnisse, wahlweise die gesamte Festplatte, haben keinen Hintergrundwächter oder andere residente Prozesse. Dadurch verbrauchen sie ausser Festplattenspeicher keine Resourcen und man kann beliebig viele gleichzeitig installieren. Die Online-Scanner sind gut geeignet um sich eine zweite Meinung einzuholen.

➋
-> Anleitung: Neuaufsetzen des Systems + Absicherung
-> Anleitung zum Neuaufsetzen - Windows XP, Vista und Win7

➌
Ich würde Dir vorsichtshalber raten, dein Passwort zu ändern
z.B. Login-, Mail- oder Website-Passwörter
Tipps:
Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern)
auch noch hier unter: Sicheres Kennwort (Password)