Moinsen,



ich habe mir für circa 2 Stunden durch ein Popup im Firefox einen der Crypto-Trojaner wohl eingefangen. (Browser POP-UP öffnete sich -üblicher Text- und ließ nicht mehr schließen. einem Prozessbeenden wurden Daten (Bilder, Audio-Files, Dokumente) nur sehr langsam geöffnent. Teilweise kam nach erstmaligen öffnen auch bekannte Meldungen wie "Dateiformat nicht erkannt"

also schnell das Backup von C: vorgeholt und via Acronis von HDD02 eingspielt.

Nun stellt sich mir folgende Frage.

Ausgangsitutation:

HDD01 => C: + D:
HDD02 => B:
OS => Windows 7 64x

Die C: Partition habe ich durch ein Backup der B HDD wiederhergestellt.

1. Ist es nun notwendig die D: Partition von HDD01 zu formatieren, weil daruf sich dieser Trojaner befinden könnte oder von dort aus die Festplatte wieder infizieren kann oder gar alle Festplatten?

Oder ist eure Erfahrung mit der Neuinstallation des OS ist der Trojaner entfernt (Da laut verschiedenen Internet-Quellen sich der Trojaner, in Mailware-Variante nur auf C: reinhängt.)

2. Laut Trojaner Website hat man 48h Zeit zum bezahlen. Kann es also sein das der Trojaner erst am Freitag seinen C&C erneut kontaktiert, da bisher bei mir keinerlei Daten wirklich verschlüsselt waren. Es wurde beim ersten Ausführen von Daten nur manchmal Fehlermeldung angezeigt oder Sie wurden ausgerwöhnlich langsam geöffnet.


Grüße

Pilan

PS wäre super wenn heute noch Jemand was dazu sagen könnten dann kann ich meine Rechner heute noch vollständig wieder herstellen.

moin moin,
bisschen confus was du da schreibst.
Ich versuche es zu verstehen.

Zitat:

einem Prozessbeenden wurden Daten (Bilder, Audio-Files, Dokumente) nur sehr langsam geöffnent.

Warum sollten beim beenden eines Prozesses diese Dateien geöffnet werden?
Ich kenne keinen Prozess der sowas tut.

Die Infektionswelle des Verschlüsselers war vor knapp zwei Jahren.
Keine der damaligen Varianten gab eine Schonfrist von 48 Stunden bis zur Datenverschlüsselung.

Entweder hast du da was ganz neues oder die Warnung der Verschlüsselung ist ein Fake, was ich eher glaube.

Wie verhalten sich die Dateien denn jetzt?

Wenn ich das richtig verstehe, hast du die Systempartition durch ein Acronis-Image zurück gesetzt.

Zitat:

Oder ist eure Erfahrung mit der Neuinstallation des OS ist der Trojaner entfernt

Das mit Sicherheit, aber du hast keine Neuinstallation durchgeführt.
Dein System ist nur dann sauber, wenn das Image sauber war.

Zitat:

Ist es nun notwendig die D: Partition von HDD01 zu formatieren

Was ist denn auf dieser Partition?

Zitat:

Laut Trojaner Website hat man 48h Zeit zum bezahlen.

Na da hast du ja noch bis Übermorgen Zeit, deine Daten zu sichern.
Sind doch nette Leute, diese Gangster, oder?
Und was, wenn du übermorgen nicht online gehst?

Nein, im Ernst, ich glaube das war lediglich eine Drohung.

Gruß Undertaker