Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Trojan.Ransomcrypt.F in c:\users\XXX\appdata\roaming\{112c4a02-1112-2f13-0e22-00181b0b15df}.exe: Wiederherstellung verschlüsselter Dateien

Trojan.Ransomcrypt.F in c:\users\XXX\appdata\roaming\{112c4a02-1112-2f13-0e22-00181b0b15df}.exe: Wiederherstellung verschlüsselter Dateien


Plagegeister aller Art und deren Bekämpfung: Trojan.Ransomcrypt.F in c:\users\XXX\appdata\roaming\{112c4a02-1112-2f13-0e22-00181b0b15df}.exe: Wiederherstellung verschlüsselter Dateien

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 21.09.2013, 10:54   #1
lom1980
 
Trojan.Ransomcrypt.F in c:\users\XXX\appdata\roaming\{112c4a02-1112-2f13-0e22-00181b0b15df}.exe: Wiederherstellung verschlüsselter Dateien - Standard

Trojan.Ransomcrypt.F in c:\users\XXX\appdata\roaming\{112c4a02-1112-2f13-0e22-00181b0b15df}.exe: Wiederherstellung verschlüsselter Dateien


Hallo zusammen,

leider hatte ich das Pech, dass einer unserer Rechner im Netzwerk (Wichtiger Hinweis: Wir sind gewerblicher Nutzer!) mit dem Trojan.Ransomcrypt.F - Trojaner befallen wurde.

Der entsprechende Rechner ist in der Zwischenzeit vom Netz+ausgeschaltet. Internet Security hat auf diesem Rechner den Trojaner vermeintlich entfernt und gemeldet:

Code:
ATTFilter
Kategorie:Quarantäne
Datum/Uhrzeit,Risiko,Aktivität,Status,Empfohlene Aktion,Pfad - Dateiname
18.09.2013 10:09,Hoch,{112c4a02-1112-2f13-0e22-00181b0b15df}.exe (Trojan.Ransomcrypt.F) erkannt von Virenscanner und Auto-Protect,Isoliert,Behoben - Keine Aktion erforderlich,c:\users\XXX\appdata\roaming\{112c4a02-1112-2f13-0e22-00181b0b15df}.exe
18.09.2013 08:25,Hoch,pgengh.exe (Trojan.Gen) erkannt von Auto-Protect,Isoliert,Behoben - Keine Aktion erforderlich,c:\users\XXX\appdata\local\temp\pgengh.exe
18.09.2013 08:01,Hoch,tp3[1].exe (Suspicious.Cloud) erkannt von Auto-Protect,Isoliert,Behoben - Keine Aktion erforderlich,c:\users\XXX\appdata\local\microsoft\windows\temporary internet files\content.ie5\q0tgxi9u\tp3[1].exe
18.09.2013 08:01,Hoch,pebqoxxetxuz.exe (pebqoxxetxuz.exe) erkannt von SONAR,Isoliert,Behoben - Keine Aktion erforderlich,c:\users\XXX\pebqoxxetxuz.exe
18.09.2013 07:55,Hoch,waibfa.exe (Suspicious.Cloud) erkannt von Auto-Protect,Isoliert,Behoben - Keine Aktion erforderlich,c:\users\XXX\appdata\roaming\juyq\waibfa.exe
Infiziert wurde der Rechner durch eine E-Mail mit dem Betreff "citizensbank.com "Issue File I3774 Processed" spam" mit einem verseuchten-Attachement. Eine EML-Datei kann ich gerne zur Verfügung stellen, wenn das andere vor dem gleichen Problem bewahrt...

Die "Zahlmaske" wurde, wahrscheinlich da der Trojaner vor Beendigung eliminiert wurde, gar nicht eingeblendet.

Leider hat der Trojaner trotzdem volle Arbeit geleistet und bereits eine großzahl Dateien auf einer eingebundenen Netzwerkfreigabe verschlüsseln können, bevor Internet Security ihn erkannt und "das Risiko behoben" hat. Leider existiert für diese Dateien kein Backup mehr bzw. nur eine teilweise Kopie der Dateien. Auch Volumenschattenkopien sind auf dem entsprechenden Laufwerk nicht vorhanden und scheiden daher als Wiederherstellungssquelle aus.

Ich habe nun hier im Forum recherchiert (ich hoffe, dass ich nichts übersehen habe), funktionsfähige sowie verschlüsselte Dateien auf einen anderen Datenträger+Rechner kopiert. Anschließend habe ich an Kopien der Dateien die Liste der Tools (lt. Forum) ausprobiert, welche dazu dienen sollen, mit Hilfe von existierenden unverschlüsselten sowie den verschlüsselten Dateien einen Schlüssel zu extrahieren. Wichtig dabei: Die Dateien haben keine unterschiedliche Endung. D.h. es wurde kein ._CRYPTED o.ä. angefügt. Der Dateiname zwischen unverschlüsselt und verschlüsselt ist somit identisch.

Allerdings beschweren sich die Tools über eine unterschiedliche Dateigröße zwischen intakter/lesbarer und nicht verschlüsselter Datei. Bei ein paar Dateien scheint das der Fall zu sein, allerdings nicht bei allen (wenn ich der Anzeige im Filesystem glauben schenken kann). Auch scheinen sich die Tools auf andere "Versionen" (ältere?) des Trojaners zu beziehen. Ein Bedienfehler kann aber nicht ausgeschlossen werden.

Wenn ich die Symantec-Quellen zu dem Trojaner lese:
Trojan.Ransomcrypt.F Removal - Removing Help | Symantec dann sieht es so aus, als handele es sich um eine neue Version des Trojaners...?

Jetzt die Frage an das Forum: Hat jemand schon Erfahrung mit diesem Sammeln können und ggf. noch ein paar Tipps, welche Wege ich zur Wiederherstellung bzw. Entschlüsselung der Dateien gehen könnte?

Besten Dank bereits im Voraus für Eure Antworten!

Schöne Grüße
Lars
Geändert von lom1980 (21.09.2013 um 11:09 Uhr)

 

Themen zu Trojan.Ransomcrypt.F in c:\users\XXX\appdata\roaming\{112c4a02-1112-2f13-0e22-00181b0b15df}.exe: Wiederherstellung verschlüsselter Dateien
anzeige, appdata, code, datei, dateien, e-mail, encrypted, fehler, forum, frage, help, internet, laufwerk, microsoft, netzwerk, neue, problem, rechner, roaming, scan, security, spam, temp, tipps, trojan.ransomcrypt.f, trojaner, verschlüsselt, windows


« Computer hängt eventuell in einem Bot-Netz | SoftwareUpdater.Ui.exe »


Ähnliche Themen: Trojan.Ransomcrypt.F in c:\users\XXX\appdata\roaming\{112c4a02-1112-2f13-0e22-00181b0b15df}.exe: Wiederherstellung verschlüsselter Dateien


  1. Trojan.Agent.Gen in C:\Users\Sandra\AppData\Roaming\KB00012983.exe nach Öffnen einer Vodafone-Fake-Email
    Log-Analyse und Auswertung - 16.01.2014 (1)
  2. C:\Users\didi\AppData\Roaming\skype.dat
    Log-Analyse und Auswertung - 30.09.2013 (2)
  3. Mit Malwarebytes C:\Users\Zig\AppData\Roaming\Ygowq\irqy.exe (Trojan.ZbotR.Gen) gefunden.
    Plagegeister aller Art und deren Bekämpfung - 16.04.2013 (6)
  4. Mit Malwarebytes C:\Users\Zig\AppData\Roaming\Ygowq\irqy.exe (Trojan.ZbotR.Gen) gefunden.
    Mülltonne - 07.02.2013 (1)
  5. Online- Banking gesperrt! Trojan.FakeAlert.Gen & Trojan.ZbotR.Gen in (C:\Users\\AppData\Temp & C:\Users\\AppData\Roaming\Osje\rutaap.exe)
    Log-Analyse und Auswertung - 06.02.2013 (1)
  6. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|dll (Trojan.Agent) -> Daten: C:\Users\Papa\AppData\Roaming\dll\svchost.exe -> Keine Aktio
    Log-Analyse und Auswertung - 13.01.2013 (10)
  7. Trojan.Zbot in C:\Users\Name\AppData\Roaming\Ixiha\wiez.exe
    Log-Analyse und Auswertung - 05.01.2013 (3)
  8. RunDLL Probleme beim Starten von C:\users\***\AppData\Roaming\pndeb.dll & AppData\Local\powstak.dll
    Plagegeister aller Art und deren Bekämpfung - 22.10.2012 (5)
  9. Viren in C:\Users\***\AppData\Roaming\BAcroIEHelpe*.dll
    Plagegeister aller Art und deren Bekämpfung - 28.08.2012 (5)
  10. TR/Crypt.ZPACK.Gen2 [trojan] in C:\Users\user\AppData\Roaming\Spotify\spotify.exe | Avira Profession
    Log-Analyse und Auswertung - 29.06.2012 (3)
  11. Sonderbare Ordner in C:\users\.......\appData\Roaming
    Log-Analyse und Auswertung - 05.03.2012 (9)
  12. Trojan.Generic.5423606 in C:\Users\Name\AppData\Roaming\WinDefender.exe (Forenregeln beachtet)
    Plagegeister aller Art und deren Bekämpfung - 27.02.2012 (7)
  13. c:\Users\Name\AppData\Roaming\acroiehelpe050.dll
    Log-Analyse und Auswertung - 05.12.2011 (15)
  14. 'TR/Crypt.FKM.Gen' [trojan] in C:\Users\Elvis\AppData\Roaming\29388\mscjm.exe
    Plagegeister aller Art und deren Bekämpfung - 03.02.2011 (14)
  15. Trojan.Gen in C:\Users\***\AppData\Roaming\default\svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 12.08.2010 (7)
  16. TR/Spy.Zb.aaw.14997 in C:\Users\ICH\appdata\Roaming\...
    Plagegeister aller Art und deren Bekämpfung - 11.07.2010 (17)
  17. Users/***/Appdata/Roaming/Winlogon.exe
    Log-Analyse und Auswertung - 04.07.2010 (7)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Trojan.Ransomcrypt.F in c:\users\XXX\appdata\roaming\{112c4a02-1112-2f13-0e22-00181b0b15df}.exe: Wiederherstellung verschlüsselter Dateien - Hallo zusammen, leider hatte ich das Pech, dass einer unserer Rechner im Netzwerk (Wichtiger Hinweis: Wir sind gewerblicher Nutzer!) mit dem Trojan.Ransomcrypt.F - Trojaner befallen wurde. Der entsprechende Rechner ist - Trojan.Ransomcrypt.F in c:\users\XXX\appdata\roaming\{112c4a02-1112-2f13-0e22-00181b0b15df}.exe: Wiederherstellung verschlüsselter Dateien...
Archiv
Du betrachtest: Trojan.Ransomcrypt.F in c:\users\XXX\appdata\roaming\{112c4a02-1112-2f13-0e22-00181b0b15df}.exe: Wiederherstellung verschlüsselter Dateien auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131