Guten Tag Community,

eure Ratschlaege hab mir in den vergangenen Jahren sehr gute Dienste erwiese doch jetzt bin ich hier da ich mit meinem aktuellen Problem nicht zurecht komme in diesem Sinne Hallo.

Zu meinem Problem : Ich habe eine mit Truecrypt verschluesselte Partition(win7 32bit). Passwort ist mir natuerlich bekannt jedoch habe ich mir gestern den aggresivsten aller GVU Trojaner eingefangen.Dh die abgesicherten Modis sind deaktiviert und auch kein erzwungenes aufhaengen des Systems das dazu fuehrt das der Rat beendet wird ist moeglich. Erschwerend kommt hinzu das meine Platte mit Truecrypt gecryptet ist.
Dh Programme wie kickstart oder windowsunlocker starten zwar aber nur bis zu dem Punkt wo TC ins Spiel kommt und keinen Zugriff auf win zulaesst. Backups hab ich natuerlich immer mal wieder gemacht nur das Problem ist Aktuell das mein letztes 3. Wochen alt ist und ich in der Zeit wichtige Dokumente erstellt habe-.-
Ich hoffe euch reizt es dieses Problem mit mir anzugehn. Defakto ist mir klar zuerst die TC verschluesselung eeg muss bevor die Tools richtig arbeiten koennen.

Mfg Nighthawk93

Hi,



Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

• Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit
• Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
• Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

• Starte den Rechner neu.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu und starte von der CD.
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Yes und klicke Scan

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

Fettes Danke schonmal. Folgendes hat der Scan ergeben:

FRST Logfile:

FRST Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 29-06-2013
Ran by SYSTEM on 29-06-2013 12:16:03
Running from F:\
WIN_7 (X86) OS Language: German Standard
Boot Mode: Recovery
Attention: Could not load system hive.
Attention: System hive is missing.

==================== Registry (Whitelisted) ==================

Attention: Software hive is missing.

ATTENTION: Software hive is not loaded.

BootExecute: 

========================== Services (Whitelisted) =================


==================== Drivers (Whitelisted) ====================


==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========


==================== One Month Modified Files and Folders ========


==================== Known DLLs (Whitelisted) ============


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe IS MISSING <==== ATTENTION!.
C:\Windows\System32\winlogon.exe IS MISSING <==== ATTENTION!.
C:\Windows\System32\svchost.exe IS MISSING <==== ATTENTION!.
C:\Windows\System32\services.exe IS MISSING <==== ATTENTION!.
C:\Windows\System32\User32.dll IS MISSING <==== ATTENTION!.
C:\Windows\System32\userinit.exe IS MISSING <==== ATTENTION!.
C:\Windows\System32\Drivers\volsnap.sys IS MISSING <==== ATTENTION!.
C:\Windows\system32\codeintegrity\Bootcat.cache IS MISSING <==== ATTENTION!.
C:\Windows\System32\winsrv.dll IS MISSING <==== ATTENTION!.

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: <===== ATTENTION!
HKLM\...\exefile\DefaultIcon:  <===== ATTENTION!
HKLM\...\exefile\open\command:  <===== ATTENTION!

==================== Restore Points  =========================


==================== Memory info =========================== 

Percentage of memory in use: 13%
Total physical RAM: 3062.68 MB
Available physical RAM: 2660.11 MB
Total Pagefile: 3058.89 MB
Available Pagefile: 2652.32 MB
Total Virtual: 2047.88 MB
Available Virtual: 1910.17 MB

==================== Drives ================================

Drive f: (HITMANPRO) (Removable) (Total:3.81 GB) (Free:3.81 GB) FAT32
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: (System-reserviert) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[System with boot components (obtained from reading drive)]

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (Size: 1863 GB) (Disk ID: A962CC0C)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=-198731366400) - (Type=07 NTFS)

========================================================
Disk: 1 (Size: 4 GB) (Disk ID: 42D33A7F)
Partition 1: (Active) - (Size=4 GB) - (Type=0B)

==================== End Of Log ============================
         

--- --- ---

--- --- ---

Nice...

Kannste TC von aussen irgendwie abschalten?

Das ist ja das spaßige an der ganzen Sache, ich hab bis jetzt keinen Weg gefunden an TC vorbei dh mein aktueller Ansatz ist da ich ja das PW weiß evtl über einen parallele Ubuntu partition die andere zu entschlüsseln. Allerdings bin ich noch nich sonderlich fit was Linux+Tc angeht. Über hilfe wäre ich dankbar

Edit: Also folgendes so wies aussieht muss ich jetzt unter Linux (Ubuntu) TC installieren und kann dann die Platte mounten jedoch nicht entschlüsseln. Dh ich hab WARSCHEINLICH(nicht sicher) lese jedoch keine schreib Rechte somit könnte ich alle Daten Retten wenns den klappt. Gibts ne möglichkeit trz noch ansatzweise das System zu retten oder ist das unmöglich ? Das ich das System in den nächsten Tagen platt machen muss, ist mir bewusst jedoch wäre es ganz geil wenn es noch paar Tage gehn würde da ichs da brauche.

Ich hab Zugriff auf die Windows Reperatur Konsole koennt ich darueber irgendwie ein Programm einschleusen was spaeter wie der Gvu startet und ihn beseitigt ?HitmanPro braucht leider internet :/

FRST liest ja eben aus der REcovery auch nur Müll aus.

Kannst Du Regedit und WIndows Explorer aus der Recovery starten?

Regedit laeuft, explorer.exe find ich nicht waere jedoch moeglich das ich es runterlad und es ueber den usb stick draufzieh und starte..Wie wuerde dir das helfen ?

Wie fit biste am PC und Regedit?

Hmmm wie fit sagen wir ich kann zmd alles oeffnen tieferes wissen ueber schad hafte eintraege usw hab ich nicht. Hab schon gegoogelt welche eintraege dieser gvu erstellt allerdings nichts brauchbares gefunden :/

Navigier mal nach C:\Programdata, dir /p zum Anzeigen des Inhalts, lösche alle Exe-Dateien die komisch aussehen bzw deren Namen Random(zufällig generiert) ist.

Gleiches Spiel mit Dein Useraccount\AppData und AppData\Roaming

Notier dir welche dateien du löschst und schreib es mir hier, dann gehen wir in die Registry.

So alles abgesucht leider keine daten gefunden die sonderlich auffaellig sind:/ gibts trz einen ansatz fuer die registry ?

start menu\programs\startup

dort auch nosch schauen, in deinem Benutzerprofil. irgendwas mit.dat oder LNK (aber klein geschrieben, also lnk)

Konnte leider nix loeschen....sah fuer mich alles regulaer und in ordnung aus.. hmm :/ haette auch lieber was geloescht scheint wohl als staende es schlecht um das system.

Sieht so aus. Truecrypt is halt scheisse in so einem Moment.

Du kannst noch ne Reg-Suche machen nach lnk Dateien, dat-dateien und pad-Dateien.

Ja eigt sollte es mich schützen und jetzt sowas... ironie des Schicksals würd ich mal sagen Im mom beschäftige ich mich stark mit der Datenrettung in Verbindung mit Linux und Truecrypt... macht zicken ohne ende -.-