| |
| |||||||
Log-Analyse und Auswertung: Trojaner xrtn DateienWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
11.12.2015, 10:44
| #1 |
| |  Trojaner xrtn Dateien Hallo, wir haben das exakt gleiche Problem wie Riesel hier gepostet hat: ************************************************************************************************************************************************* Hallo, ja, ich wurde erwischt und ja, ich habe Backups. Win 7, Netzwerk, viele Laufwerke, noch viel mehr Dateien. Trotzdem, weil es viel einfacher ist, da inzwischen weiter gearbeitet wurde, habe ich das Lösegeld bezahlt. Es ist ein ganz aktueller Ransomware-Fall, denn ich habe auser einem Eintrag hier im Board nix googlen können. Die Dateien wurden alle mit .xrtn umbenannt. Ich habe inzwischen den decrypter erhalten, aber der entschlüsselt die Dateien nicht bzw. nur einige. Daher gehe ich mal davon aus, dass die Batch-Datei fehlerhaft ist. Zuerst hat er die inconv.dll vermisst. Die habe ich dann erhalten, in dem ich gpg4win installiert habe. Nun habe ich die Hoffnung, dass mir hier jemand weiterhelfen kann. Ich habe den betroffenen PC noch nicht bereinigt, d.h. ich habe noch kein einziges Tool laufen lassen, um das Verschlüsselsungstool zu entfernen. Hier ist nun das decrypt-script: @ECHO OFF attrib -s -h -r UNCRYPT.KEY if not exist UNCRYPT.KEY (echo UNCRYPT.KEY NOT EXIST - press any key&pause&goto eof) gpg.exe --import UNCRYPT.KEY FOR %%f IN ( C D E F G H I J K L M N O P Q R S T U V W X Y Z ) DO call :decode %%f goto eof :decode dir /B "%1:\"&& for /r "%1:\" %%i in (*.vault) do ( RENAME "%%~fi" "%%~ni.gpg" & gpg.exe --batch --no-verbose -q --decrypt-files "%%~pi%%~ni.gpg" & del /f /q "%%~pi%%~ni.gpg" ) dir /B "%1:\"&& for /r "%1:\" %%i in (*.gpg) do ( gpg.exe --batch --no-verbose -q --decrypt-files "%%~fi" & del /f /q "%%~fi" ) :eof ECHO. ECHO FINISHED! Wenn noch Infos fehlen, liefere ich gerne. Da ich schon den Erpresser bezahlt habe, würde ich auch demjenigen etwas zahlen, der mir hilft, die Dateien zu entschlüsseln. Danke und Gruß - riesel So, ich habe selbst die Lösung gefunden. Das Skript findet die .xrtn-Dateien nicht. Wenn ich den Dateien die Endung .gpg verpasse, dann werden sie entschlüsselt. Und wenn ich .vault im Skript in .xrtn umbenenne, dann brauche ich noch nicht mal das Umbenennen. Für mich ist das Thema gelöst. ****************************************************************************************************************************************************** ************* Kann mir hierzu jemand weiterhelfen? Geändert von Nbund (11.12.2015 um 10:59 Uhr) |
| Themen zu Trojaner xrtn Dateien |
| .xrtn, board, brauche, dateien, erhalte, erwischt, fehlen, fehlerhaft, gepostet, google, hilft, infos, installiert, laufen, laufwerke, lösung, netzwerk, not, pause, problem, skript, thema, tool, trojaner, würde, zahlen |
Baum-Darstellung