Hallo, soeben teilte mir mein Notebook aus heiterm Himmel mit einem Bluescreen oder eher blauem Screen ( nicht der klassische Dos like look) er müsse herunterfahren und ein Forschrittsbalken wurde angezeigt.
Aufgrund der jüngsten Petya Meldungen habe ich den Rechner hier durch ausschalten zunächst einmal am hochfahren gehindert.
Was mich ärgert ist dass alle Seiten immer nur das Ergebnis des späteren Verschlüsselungsvorganges zeigen und dann sagen man solle den Rechner bei Verdacht sofort ausschalten, müsse aber vor allem früh reagieren...
Ich weiss ja nicht ob dieses Vorgehen einen Screenshot vom Ende des Pferdes zu machen sinnvoller ist als mal ein Screenshot von dem üblichen ersten Schritt, wenn man den Leuten denn wirklich helfen will. Was nutzt mir der textuelle Teil wenn ich die optischen Unterschiede so früh nicht differentiell identifizieren kann.
Ist das in jedem Fall ein klassischer nicht vom Original unterscheidbarer Bluescreen? Alle scrrenshoten nur den Infoscreen..in Rot Aber bis dorthin sollte ich es ja erst garnicht kommen lassen.. also was soll das?

Ich habe bei mir jedenfalls definitv keinerlei Anhang einer Mail geöffnet; Malwarebytes und Adwcleaner ständig im EInsatz, muss aber aus beruflichen Gründen leider noch Adobe Flash auf dem Rechner haben.. Ich nehme mal an dass, wenn überhaupt, die Ramsomware so auf den Rechner gelangt ist... ich mit dem kürzlichen Update evtl. leider zu spät war...

Meine einfache Frage ans Trojanerboard: Kann ich denn irgendwie sicher feststellen, ob und wie ich betroffen wurde, ohne jetzt die weitere Verarbeitung der Plattenverschlüssleung zu begünstogen? Denn die meisten Ratgeber enden beim Ausschalten.....

Es könnte ja auch jemand auf die die dumme Idee kommen ein Hoax ins Netz zu stellen welches sowas nur simuliert und um Aufwand zu sparen würde eine IT dann einfach ungeprüft ein neues Image draufziehen... dies kann ich aber kaum -ausprobieren-.


Rettungsmedium erstellen und booten .. Ok und dann?
Keiner dieser Ratgeber ist auch nur annähernd vollständig oder logisch... sondern gerade nur soweit dass es eine Story wird...

Ich könnte platzen denn ich war gerade daran ein neues Vollbackup zu machen...

Könnt ihr dazu einen Tipp geben?

Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.


Bitte beachte folgende Hinweise:

• Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support unterbrechen bis jegliche Art von illegaler Software vom Rechner entfernt wurde.
• Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
• Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo. Solltest du einmal länger abwesend sein, so gib mir bitte Bescheid!
• Während der Bereinigung bitte nichts installieren oder deinstallieren, außer ich bitte dich darum!
• Bitte beachten: Download bei filepony.de: So ladet Ihr unsere Tools richtig!
• Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort als Administrator zu starten!

Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab und poste alle Logdateien in CODE-Tags:

So funktioniert es:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert deinem Helfer massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu groß für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke aauf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Danke für deine Mitarbeit!




FRST im Reparaturmodus starten, da startet die Ransomware nicht mit:




Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)

• Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit
• Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
• Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:

• Starte den Rechner neu.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu und starte von der CD.
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
  Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein.
  e:\frst.exe bzw. e:\frst64.exe
  Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Ja und klicke Untersuchen

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

und vielen Dank für die Hilfe... M.
Ich werde versuchen dies so schnell wie möglich auch durchzuführen... Ich bin heute und morgen jedoch ganztägig mit meinem beruflichen Rechner unterwegs und der betroffene private Rechner ruht solange.

Ich versuche es irgendwie hinzubekommen..

Zwei kleine Fragen aber noch:

1. Kann man den Rechner gefahrlos im abgesicherten Modus hochfahren lassen?

2. Gibt es irgendwo eine Datenbank mit Screenshots in der einzelne Fake-Screens potentiellen Schädlingen zugeordnet werden ( so als Referenz )?

Da Petya z.B. die Verschlüsselung in zweí Stufen durchführt könnte man anhand von Referenzfällen (Bildern), zumindest Auffälligkeiten und Indizien erkennen, die gehäuft bei befallenen Rechnern auftreten...

Ich war ja direkt dabei und habe auch recht schnell reagieren können aber soweit ich es verstanden habe ist bei einem Neustart und nach der dabei folgenden Verschlüsselung (getarnt als CHKDSK ) und rotem ASCCII dann ohnehin endgültig alles zu spät...
Je schneller der Datenträger desto schneller ist er wohl auch verschlüsselt...

Gruss
Tommit

Leider kann ich den Scan aus rechtlichen Gründen nicht posten, musste ich mich heute belehren lassen...

Hier komme ich nun aber mit meinem NDA in Konflikt...

Ich danke euch trotzdem vielmals für eure grosse Hilfsbereitschaft.
Zumindest ein Teil der Daten konnte ich schon retten...

Also trotzdem, Vielen Dank nochmal an dich M.

Gruss
Tommit

"Aus rechtlichen Gründen"... da muss ich gleich lachen




Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.