| |
| |||||||
Log-Analyse und Auswertung: Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsseltWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
02.06.2014, 13:08
| #1 |
| |  Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt Hallo, ich habe mich dem Problem meiner Freundin angenommen, die selbst keine Ahnung von Computern hat. Leider komme ich auch nicht weiter. Zu den Symptomen: Meine Freundin hat plötzlich gemerkt, dass sich die Dateien auf ihrem Netzlaufwerk nicht mehr öffnen ließen. Die Dateien heißen wie vorher, jedoch zeigt das jeweilige Programm (Excel, Adobe, Word, ...) einen Dateifehler beim öffnen an: Datei beschädigt. Von einem anderen Rechner liessen sich die Dateien auf dem Netzlaufwerk auch nicht mehr öffnen. Als ich den Rechner unter die Lupe nehmen wollte, startete dieser gar nicht mehr. Egal ob im abgesicherten Modus oder normal, irgend wann erscheint nur noch ein schwarzer Bildschirm und es passiert weiter nichts. Mein erster Verdacht, dass es um einen dieser Trojaner handelt, der die Dateien auf dem Rechner verschlüsselt und nur gegen Zahlung eines Lösegeldes wieder entschlüsselt, kann ich leider nicht erhärten, da sich meine Freundin nicht mehr richtig an irgend welche seltsamen Nachrichten erinnern kann. Scheinbar gab es wohl ein Fenster, dass sie als Werbung für ein Antivirenprogramm gehalten und geschlossen hat. Leider weiss ich weder wo sie es gesehen hat, noch was der Inhalt war. Ich habe den Rechner mit der Systemrettungs-DVD aus der aktuellen C't gestartet und einen Virenscan gemacht. Dort wird auch allerhand angezeigt ich weiss jedoch nicht wie ich weiter vorgehen soll. Deswegen würde ich euch gerne um Hilfe bitten. Ich habe den Computer nach Anleitung hier im Forum mit dem Farbar Recovery Scan Tool gescannt: FRST Logfile: Code:
ATTFilter Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version:01-06-2014 01
Ran by SYSTEM on MININT-CFLELHP on 02-06-2014 13:36:46
Running from F:\
Platform: Windows 7 Professional (X86) OS Language: English(US)
Internet Explorer Version 8
Boot Mode: Recovery
The current controlset is ControlSet001
ATTENTION!:=====> If the system is bootable FRST could be run from normal or Safe mode to create a complete log.
==================== Registry (Whitelisted) ==================
HKLM\...\Run: [SynTPEnh] => C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [1594664 2010-01-04] (Synaptics Incorporated)
HKLM\...\Run: [SysTrayApp] => C:\Program Files\IDT\WDM\sttray.exe [495711 2009-12-03] (IDT, Inc.)
HKLM\...\Run: [ccApp] => C:\Program Files\Common Files\Symantec Shared\ccApp.exe [115560 2010-01-25] (Symantec Corporation)
HKLM\...\Run: [StartCCC] => C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [98304 2010-10-26] (Advanced Micro Devices, Inc.)
HKLM\...\Run: [QLBController] => C:\Program Files\Hewlett-Packard\HP HotKey Support\QLBController.exe [256056 2010-10-01] (Hewlett-Packard Company)
HKLM\...\Run: [Adobe ARM] => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959904 2013-11-21] (Adobe Systems Incorporated)
HKLM\...\Run: [SunJavaUpdateSched] => C:\Program Files\Common Files\Java\Java Update\jusched.exe [254336 2013-07-02] (Oracle Corporation)
HKLM\...\Run: [axoleoyt] => C:\Windows\System32\axoleoyt.exe [43008 2014-05-05] ()
HKLM Group Policy restriction on software: C:\Program Files\LimeWire <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\iMesh Applications <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\DNA <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Azureus <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\aMule <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Ares <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\uTorrent <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\eMule <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\BitSpirit <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Anubis P2P <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\PokerStars <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\BearShare Applications <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\BitTornado <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Shareaza <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\FrostWire <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\ABC <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\BitTorrent <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\BitComet <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Messenger Plus! Live <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <====== ATTENTION
Winlogon\Notify\AtiExtEvent: Ati2evxx.dll [X]
HKU\Administrateur\...\Run: [swg] => "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
HKU\A**********\...\Run: [Google Update] => C:\Users\A**********\AppData\Local\Google\Update\GoogleUpdate.exe [116648 2012-09-05] (Google Inc.)
HKU\A**********\...\Run: [Spotify Web Helper] => C:\Users\A**********\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe [1176632 2014-05-23] (Spotify Ltd)
HKU\A**********\...\Run: [Spotify] => C:\Users\A**********\AppData\Roaming\Spotify\spotify.exe [6170168 2014-05-23] (Spotify Ltd)
HKU\A**********\...\Run: [Aqila] => C:\Users\A**********\AppData\Local\Temp\Ojelji\aqila.exe [638976 2010-12-23] () <===== ATTENTION
HKU\A**********\...\Run: [axoleoyt] => C:\Users\A**********\axoleoyt.exe [43008 2014-05-05] ()
HKU\A**********\...\Run: [CryptoLocker] => C:\Users\A**********\AppData\Local\Xeawowpralqfnj.exe [806400 2014-05-22] (Smule)
HKU\A**********\...\RunOnce: [*CryptoLocker] - C:\Users\A**********\AppData\Local\Xeawowpralqfnj.exe [806400 2014-05-22] (Smule)
========================== Services (Whitelisted) =================
S2 ccEvtMgr; C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe [108392 2010-01-25] (Symantec Corporation)
S2 ccSetMgr; C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe [108392 2010-01-25] (Symantec Corporation)
S2 hpHotkeyMonitor; C:\Program Files\Hewlett-Packard\HP HotKey Support\hpHotkeyMonitor.exe [280120 2010-10-01] (Hewlett-Packard Company)
S3 LiveUpdate; C:\Program Files\Symantec\LiveUpdate\LuComServer_3_3.EXE [3093880 2010-02-17] (Symantec Corporation)
S3 OpenVPNService; C:\Program Files\OpenVPN\bin\openvpnserv.exe [36352 2010-08-20] ()
S2 SmcService; C:\Program Files\Symantec\Symantec Endpoint Protection\Smc.exe [1881368 2010-04-16] (Symantec Corporation)
S4 SNAC; C:\Program Files\Symantec\Symantec Endpoint Protection\SNAC.EXE [349512 2010-04-01] (Symantec Corporation)
S2 STacSV; C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_x86_neutral_9fc8b38ddee9fbba\STacSV.exe [229461 2009-12-03] (IDT, Inc.)
S2 Symantec AntiVirus; C:\Program Files\Symantec\Symantec Endpoint Protection\Rtvscan.exe [1831024 2010-04-22] (Symantec Corporation)
S2 -settings; "\\SERVWDS\DeploymentShare$\Applications\UltraVNC Server 1.0.5\winvnc.exe" -service [X]
==================== Drivers (Whitelisted) ====================
S0 486b950da2b4770a; C:\Windows\System32\Drivers\486b950da2b4770a.sys [56704 2014-05-05] () <===== ATTENTION Necurs Rootkit?
S3 AR5416; C:\Windows\System32\DRIVERS\athw.sys [1585728 2009-10-14] (Atheros Communications, Inc.)
S3 AtiHDAudioService; C:\Windows\System32\drivers\AtihdW73.sys [101904 2010-07-15] (ATI Technologies, Inc.)
S3 BTDriver; C:\Windows\system32\DRIVERS\btport.sys [37160 2009-12-03] (Broadcom Corporation.)
S3 btwhid; C:\Windows\system32\DRIVERS\btwhid.sys [56992 2009-12-03] (Broadcom Corporation.)
S3 BTWUSB; C:\Windows\System32\Drivers\btwusb.sys [45984 2009-12-03] (Broadcom Corporation.)
S1 eeCtrl; C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys [376920 2013-11-19] (Symantec Corporation)
S3 EraserUtilRebootDrv; C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [108120 2013-11-21] (Symantec Corporation)
S3 NAVENG; C:\ProgramData\Symantec\Definitions\VirusDefs\20140522.001\NAVENG.SYS [93272 2013-08-22] (Symantec Corporation)
S3 NAVEX15; C:\ProgramData\Symantec\Definitions\VirusDefs\20140522.001\NAVEX15.SYS [1612376 2013-08-22] (Symantec Corporation)
S3 SNP2UVC; C:\Windows\System32\DRIVERS\snp2uvc.sys [1763968 2009-12-18] ()
S3 SPBBCDrv; C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCDrv.sys [421424 2009-12-18] (Symantec Corporation)
S1 SRTSP; C:\Windows\System32\Drivers\SRTSP.SYS [283184 2010-03-08] (Symantec Corporation)
S3 SRTSPL; C:\Windows\System32\Drivers\SRTSPL.SYS [320944 2010-03-08] (Symantec Corporation)
S1 SRTSPX; C:\Windows\System32\Drivers\SRTSPX.SYS [43696 2010-03-08] (Symantec Corporation)
S3 SymEvent; C:\Windows\system32\Drivers\SYMEVENT.SYS [124976 2014-05-23] (Symantec Corporation)
S3 SYMREDRV; C:\Windows\System32\Drivers\SYMREDRV.SYS [26416 2009-09-03] (Symantec Corporation)
S1 SYMTDI; C:\Windows\System32\Drivers\SYMTDI.SYS [188080 2009-09-03] (Symantec Corporation)
S4 SysPlant; C:\Windows\SYSTEM32\Drivers\SysPlant.sys [97096 2010-04-16] (Symantec Corporation)
S3 tap0901; C:\Windows\System32\DRIVERS\tap0901.sys [26112 2010-08-20] (The OpenVPN Project)
S3 Teefer2; C:\Windows\System32\DRIVERS\teefer2.sys [67472 2009-12-28] (Symantec Corporation)
S1 WPS; C:\Windows\system32\drivers\wpsdrvnt.sys [43336 2010-04-16] (Symantec Corporation)
S3 WpsHelper; C:\Windows\system32\drivers\WpsHelper.sys [174056 2012-11-06] (Symantec Corporation)
==================== NetSvcs (Whitelisted) ===================
==================== One Month Created Files and Folders ========
2014-06-02 13:36 - 2014-06-02 13:36 - 00000000 ____D () C:\FRST
2014-05-23 08:02 - 2014-05-23 08:02 - 00124976 _____ (Symantec Corporation) C:\Windows\System32\Drivers\SYMEVENT.SYS
2014-05-22 18:37 - 2014-05-23 07:53 - 01685430 _____ () C:\Users\A**********\Desktop\Aqnfosyqztpfzfblr.bmp
2014-05-22 13:13 - 2014-05-22 13:13 - 00806400 ___SH (Smule) C:\Users\A**********\AppData\Local\Xeawowpralqfnj.exe
2014-05-16 07:19 - 2014-05-16 07:19 - 00296448 _____ () C:\Users\A**********\Desktop\Feedback S********** A**********.pdf.msg
2014-05-15 08:07 - 2014-05-15 08:07 - 00000844 __RSH () C:\Users\A**********\ntuser.pol
2014-05-15 03:10 - 2014-05-22 05:21 - 00002096 _____ () C:\Users\A**********\Desktop\Delphi MPE.lnk
2014-05-15 03:10 - 2014-05-22 05:21 - 00002090 _____ () C:\Users\A**********\Desktop\Crystal Reports 85.lnk
2014-05-15 03:10 - 2014-05-22 05:21 - 00002046 _____ () C:\Users\A**********\Desktop\PAYE V7.lnk
2014-05-15 03:10 - 2014-05-22 05:21 - 00002042 _____ () C:\Users\A**********\Desktop\Bureau.lnk
2014-05-14 02:13 - 2014-05-14 02:13 - 17938608 _____ (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerInstaller.exe
2014-05-08 22:23 - 2014-05-08 22:23 - 00000000 __RSH () C:\MSDOS.SYS
2014-05-08 22:23 - 2014-05-08 22:23 - 00000000 __RSH () C:\IO.SYS
2014-05-07 00:49 - 2014-05-07 00:49 - 00004224 _____ () C:\Windows\System32\jupdate-1.7.0_55-b14.log
2014-05-07 00:49 - 2014-04-14 10:13 - 00094632 _____ (Oracle Corporation) C:\Windows\System32\WindowsAccessBridge.dll
2014-05-07 00:49 - 2014-04-14 10:05 - 00264616 _____ (Oracle Corporation) C:\Windows\System32\javaws.exe
2014-05-07 00:49 - 2014-04-14 10:05 - 00175528 _____ (Oracle Corporation) C:\Windows\System32\javaw.exe
2014-05-07 00:49 - 2014-04-14 10:04 - 00175016 _____ (Oracle Corporation) C:\Windows\System32\java.exe
2014-05-06 08:48 - 2014-05-06 08:48 - 00921512 _____ (Oracle Corporation) C:\Users\A**********\Downloads\chromeinstall-7u55.exe
2014-05-05 06:41 - 2014-05-05 06:41 - 00043008 _____ () C:\Windows\System32\axoleoyt.exe
2014-05-05 06:41 - 2014-05-05 06:41 - 00043008 _____ () C:\Users\A**********\axoleoyt.exe
2014-05-05 06:39 - 2014-05-05 06:39 - 00056704 _____ () C:\Windows\System32\Drivers\486b950da2b4770a.sys
==================== One Month Modified Files and Folders =======
2014-06-02 13:36 - 2014-06-02 13:36 - 00000000 ____D () C:\FRST
2014-05-25 03:47 - 2010-09-30 04:06 - 00026502 _____ () C:\Windows\PFRO.log
2014-05-23 08:59 - 2013-11-11 03:42 - 00000000 ____D () C:\Users\A**********\AppData\Roaming\Spotify
2014-05-23 08:33 - 2010-09-29 23:57 - 01557414 _____ () C:\Windows\System32\PerfStringBackup.INI
2014-05-23 08:31 - 2010-12-20 08:27 - 00000000 ____D () C:\Users\A**********\AppData\Local\Temp
2014-05-23 08:02 - 2014-05-23 08:02 - 00124976 _____ (Symantec Corporation) C:\Windows\System32\Drivers\SYMEVENT.SYS
2014-05-23 08:02 - 2010-12-08 05:52 - 00007456 _____ () C:\Windows\System32\Drivers\SYMEVENT.CAT
2014-05-23 08:02 - 2010-12-08 05:52 - 00000000 ____D () C:\Program Files\Symantec
2014-05-23 08:01 - 2010-12-20 08:06 - 00000104 _____ () C:\Windows\System32\config\netlogon.ftl
2014-05-23 07:56 - 2013-11-11 03:42 - 00000000 ____D () C:\Users\A**********\AppData\Local\Spotify
2014-05-23 07:53 - 2014-05-22 18:37 - 01685430 _____ () C:\Users\A**********\Desktop\Aqnfosyqztpfzfblr.bmp
2014-05-23 07:51 - 2009-07-13 20:39 - 00116802 _____ () C:\Windows\setupact.log
2014-05-23 07:43 - 2013-11-12 03:03 - 00000000 ____D () C:\Users\A**********\Documents\Fichiers Outlook
2014-05-23 04:00 - 2013-11-04 06:59 - 00000000 ____D () C:\Users\A**********\Documents\Emailarchiv
2014-05-22 13:33 - 2011-01-13 18:10 - 00000000 ____D () C:\Users\A**********\Documents\preparation semaine
2014-05-22 13:33 - 2011-01-02 10:18 - 00000000 ____D () C:\Users\A**********\photos A**********
2014-05-22 13:33 - 2010-12-20 08:27 - 00000000 ____D () C:\users\A**********
2014-05-22 13:26 - 2012-08-31 05:37 - 00000000 ____D () C:\Users\A**********\Documents\Clé USB
2014-05-22 13:22 - 2014-02-17 05:29 - 00000000 ____D () C:\A**********b
2014-05-22 13:13 - 2014-05-22 13:13 - 00806400 ___SH (Smule) C:\Users\A**********\AppData\Local\Xeawowpralqfnj.exe
2014-05-22 05:56 - 2010-12-20 08:07 - 00035072 __RSH () C:\ProgramData\ntuser.pol
2014-05-22 05:21 - 2014-05-15 03:10 - 00002042 _____ () C:\Users\A**********\Desktop\Bureau.lnk
2014-05-22 05:21 - 2010-12-20 08:31 - 00000000 ____D () C:\Users\A**********\AppData\Roaming\ICAClient
2014-05-21 04:09 - 2011-06-13 08:43 - 00002133 _____ () C:\Users\Public\Desktop\Google Chrome.lnk
2014-05-20 12:53 - 2010-12-20 08:37 - 00000000 ____D () C:\Users\A**********\AppData\Roaming\Mozilla
2014-05-16 07:19 - 2014-05-16 07:19 - 00296448 _____ () C:\Users\A**********\Desktop\Feedback S********** A**********.pdf.msg
2014-05-15 08:07 - 2014-05-15 08:07 - 00000844 __RSH () C:\Users\A**********\ntuser.pol
2014-05-14 02:14 - 2012-09-03 01:38 - 00692400 _____ (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerApp.exe
2014-05-14 02:14 - 2012-09-03 01:38 - 00070832 _____ (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerCPLApp.cpl
2014-05-14 02:13 - 2014-05-14 02:13 - 17938608 _____ (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerInstaller.exe
2014-05-08 22:23 - 2014-05-08 22:23 - 00000000 __RSH () C:\MSDOS.SYS
2014-05-08 22:23 - 2014-05-08 22:23 - 00000000 __RSH () C:\IO.SYS
2014-05-07 00:50 - 2014-01-18 02:14 - 00000000 ____D () C:\ProgramData\Oracle
2014-05-07 00:49 - 2014-05-07 00:49 - 00004224 _____ () C:\Windows\System32\jupdate-1.7.0_55-b14.log
2014-05-07 00:49 - 2012-02-28 02:29 - 00000000 ____D () C:\Program Files\Java
2014-05-06 08:48 - 2014-05-06 08:48 - 00921512 _____ (Oracle Corporation) C:\Users\A**********\Downloads\chromeinstall-7u55.exe
2014-05-05 06:41 - 2014-05-05 06:41 - 00043008 _____ () C:\Windows\System32\axoleoyt.exe
2014-05-05 06:41 - 2014-05-05 06:41 - 00043008 _____ () C:\Users\A**********\axoleoyt.exe
2014-05-05 06:39 - 2014-05-05 06:39 - 00056704 _____ () C:\Windows\System32\Drivers\486b950da2b4770a.sys
Files to move or delete:
====================
C:\Users\A**********\AppData\Local\Temp\Ojelji\aqila.exe
C:\Users\A**********\axoleoyt.exe
Some content of TEMP:
====================
C:\Users\A**********\AppData\Local\Temp\ApnStub.exe
C:\Users\A**********\AppData\Local\Temp\drm_dialogs.dll
C:\Users\A**********\AppData\Local\Temp\drm_dyndata_7350007.dll
C:\Users\A**********\AppData\Local\Temp\GLFF136.tmp.ConduitEngineSetup.exe
C:\Users\A**********\AppData\Local\Temp\GoogleToolbarInstaller.exe
C:\Users\A**********\AppData\Local\Temp\ImationLOCKv2.26.exe
C:\Users\A**********\AppData\Local\Temp\jre-6u37-windows-i586-iftw.exe
C:\Users\A**********\AppData\Local\Temp\lcica.exe
C:\Users\A**********\AppData\Local\Temp\nsd56D0.tmp.ConduitEngineEmbbed.exe
C:\Users\A**********\AppData\Local\Temp\nsm2FC3.tmp.ConduitEngineEmbbed.exe
C:\Users\A**********\AppData\Local\Temp\SkypeSetup.exe
C:\Users\A**********\AppData\Local\Temp\tbElf2.dll
C:\Users\A**********\AppData\Local\Temp\tbVeo2.dll
C:\Users\A**********\AppData\Local\Temp\_isAE52.exe
C:\Users\A**********\AppData\Local\Temp\_isC3A.exe
C:\Users\A**********\AppData\Local\Temp\_isE098.exe
==================== Known DLLs (Whitelisted) ============
==================== Bamital & volsnap Check =================
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit
==================== Restore Points =========================
==================== Memory info ===========================
Percentage of memory in use: 15%
Total physical RAM: 3954.43 MB
Available physical RAM: 3334.38 MB
Total Pagefile: 3952.71 MB
Available Pagefile: 3374.66 MB
Total Virtual: 2047.88 MB
Available Virtual: 1949.29 MB
==================== Drives ================================
Drive c: (OSDisk) (Fixed) (Total:297.79 GB) (Free:135.53 GB) NTFS
Drive e: (CDROM) (CDROM) (Total:1.26 GB) (Free:0 GB) CDFS
Drive f: (MARKUS) (Removable) (Total:14.92 GB) (Free:14.56 GB) FAT32
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: (BDEDrive) (Fixed) (Total:0.29 GB) (Free:0.25 GB) NTFS ==>[System with boot components (obtained from reading drive)]
==================== MBR & Partition Table ==================
========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 298 GB) (Disk ID: 451027EB)
Partition 1: (Not Active) - (Size=298 GB) - (Type=07 NTFS)
Partition 2: (Active) - (Size=300 MB) - (Type=07 NTFS)
========================================================
Disk: 1 (MBR Code: Windows XP) (Size: 15 GB) (Disk ID: C3072E18)
Partition 1: (Active) - (Size=15 GB) - (Type=0C)
LastRegBack: 2014-05-01 14:18
==================== End Of Log ============================
Mir geht es weniger um den Computer, den ich auch neu installieren kann. Wichtiger sind jedoch die Dateien, die nun verschlüsselt sind. Wenn mir jemand helfen könnte, das wäre grossartig. Vielen Dank schon einmal im vorraus für eure Hilfe. Markus Edit: Nachdem ich hier im Forum gelesen habe, dass Cryptolocker eine Nachricht auf dem Desktop hinterlässt, bin ich auch auf diesem Computer fündig geworden. Ich weiss nicht wie ich hier Fotos hochladen kann, deswegen der Inhalt: Cryptolocker Your important files encryption produced on this computer: photos, videos, documents, etc. If you see this text, but do not see the "Cryptolocker" window, then your antivirus deleted "CryptoLocker" from computer. If you need your files, you have to recover "Cryptolocker" from the antivirus quarantine, or find a copy of "Cryptolocker" in the Internet and start it again. You can download "Cryptolocker" from the link given below. hxxp://rxcahxobqdru.com/0388.exe Approximate destruction time of your private key: 27/05/2014 04:39 If the time is finished you are unable to recover files anymore! Simply remove this wallpaper from your desktop. Geändert von mistaluna (02.06.2014 um 13:28 Uhr) |
|
02.06.2014, 14:24
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt Hi und
__________________ Zitat:
Das hier => http://www.trojaner-board.de/144615-...entfernen.html habt ihr zum Cryptolocker gelesen?
__________________ |
|
02.06.2014, 14:32
| #3 | ||
| | Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt Hallo,
__________________Zitat:
Zitat:
1. Dateien reparieren => habe ein pdf genommen und das Programm RecoveryToolboxForPDFInstall.exe ausprobiert. Es bricht jedoch mit einer Fehlermeldung ab: Kein PDF-Dokument in der Quelldatei gefunden 2. Dateien entschlüsseln => Habe DecryptHelper-0.5.3.exe ausprobiert und ihn mit einer verschlüsselten Datei und der zugehörigen Orginaldatei gefüttert, die ich zufällig noch auf einem älteren USB-Stick gefunden habe (Button Schlüssel erzeugen). Fehlermeldung : Die Dateien sind unterschiedlich groß. (Anmerkung: Der Grössenunterschied beträgt etwa 1 kb.) 3. Dateien entschlüsseln => Habe ebenfalls Avira-RansomFileUnlocker-1.0.1 ausprobiert. Fehlermeldung : The given pair does not match. Habe bei 2 und 3 jeweils mehrere Dateien ausprobiert jedoch immer mit identischen Ergebnis. Geändert von mistaluna (02.06.2014 um 15:04 Uhr) |
|
02.06.2014, 15:01
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt Das wird verdammt schwierig bei Cryptolocker. Unsere Tools helfen da so nicht weiter, also sowas wie FRST oder Malwarebytes, die sind "nur" für die Systemanalyse und Beseitigung der Malware gedacht, aber nicht zum Entschlüsseln konzipiert. U.U. hast du Chancen mit den Tools die auf Posting #2 im Cryptolocker-Thread erwähnt werden. Den Rechner setzt du einfach neu auf oder was hast du vor?
__________________ Logfiles bitte immer in CODE-Tags posten  Geändert von cosinus (02.06.2014 um 15:10 Uhr) |
|
02.06.2014, 15:07
| #5 | ||
| | Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsseltZitat:
Zitat:
|
|
02.06.2014, 15:10
| #6 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt Hätte ich auch empfohlen allein wegen diesem "hübschen" Eintrag  Zitat:
__________________ --> Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt |
|
02.06.2014, 15:25
| #7 |
| | Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt Gut zu wissen. Noch eine Frage dazu. Ich habe den Rechner ja mit Farbar Recovery Scan Tool gescant, nachdem ich ihn über die Computerreparaturoptionen (Windowsstart mit F8) booten konnte. Farbar Recovery Scan habe ich von nem USB-Stick gestartet auf den auch der Logfile gespeichert wurde. Den Logfile habe ich mit nem USB-Stick auf nem meinen Rechner geladen. Gibt es ein Risiko, dass das Rootkit auch den USB-Stick und damit meinen Rechner infiziert hat? |
|
02.06.2014, 15:26
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt Rootkits befallen ein Betriebssystem, keine Datenträger.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
02.06.2014, 16:15
| #9 | |
| | Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt Also sind die Windows-Computerreparaturoptionen kein Teil des Betriebssystems und daher auch nicht Rootkit-gefährdet? Zitat:
Wenn ich den diversen Berichten zum Cryptolocker im Internet glauben schenken darf, werden die Dateien mit RSA-2048 verschlüsselt. Eine simple Reparatur sollte wohl unter diesen Umständen keinen Erfolg versprechen. Damit bleibt mir wohl als erste Option den Schlüssel durch Bruteforce selbst herauszufinden. Wenn ich weiterhin den diversen Artikeln glauben darf, sollte dies beim derzeitigen Stand der Technik unmöglich sein. Ausser jemand entwickelt mir mal schnell einen Quantencomputer und die nötige Software. Mit anderen Worten: Das kann ich wohl vergessen. Die zweite Option wäre wohl das Lösegeld zu zahlen und zu hoffen, dass ich den Schlüssel bekomme. Davon abgesehen, dass mir dies wiederstrebt, müsste ich allerdings erst einmal auf den infizierten Rechner zugreifen können. Dieser ist jedoch wie schon beschrieben blockiert. Daher meine Frage: Wie komme ich jetzt wieder soweit in den Computer, um die erforderlichen Informationen zu bekommen? |
|
02.06.2014, 20:55
| #10 | |||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsseltZitat:
Zitat:
Wenn das stimmt was die sagt ist der Key zum Entschlüsseln eh schon weg: Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt |
| adobe, antivirus, bildschirm, computer, cryptolocker, dateien verschlüsselt, desktop, excel, explorer, feedback, google, helper, limewire, private key, problem, programm, registry, rootkit, scan, schwarzer bildschirm, services.exe, software, spotify web helper, sttray.exe, svchost.exe, symantec, temp, trojaner, werbung, windows, windows xp |
Linear-Darstellung
