|
How to decrypt files.txt Hallo! habe ein WIN7 Home Premium 64bit notebook, bei dem alle dateien offensichtlich verschlüsselt sind, in den ordnern finden sich "HOW TO DECRYPT FILES.TXT" files. die dateien haben alle ein geänderte extension z.B. "Desert.jpg.Bl9c98vcvv". habe die im Trojaner-Board zur verfügung gestellten decryper ausprobiert (WIN7 original beispielbilder), die sagen mir alle, dass original und encrypted file nicht zusammenpassen. habe einen malwarebytes scan gemacht der hat 2 infizierungen gefunden und entfernt, keiner der beiden hat jedoch vom namen auf einen decrypt-trojaner hingedeutet. Komm nicht weiter und ich hoffe Ihr könnt mir hier weiterhelfen, vielen dank im voraus! Lg, Hans ---------------------------------------- HOW TO DECRYPT FILES.txt All your files are encrypted! To decrypt them you need to send a voucher code or Paysafecard Ukash at email: tenagliamirella@gmail.com In return you get a code to decrypt files. You can find more information here hxxp://ukash.com/uk/en/home.aspx or hxxp://www.paysafecard.com/choose-country/ PLEASE READ CAREFULLY! To avoid problems, TURN OFF YOUR ANTI-VIRUS! AKA restore your files WILL NOT! ================================================================================ Todos os seus arquivos sao criptografados! Para decifra-los voce precisa enviar um codigo de voucher Ukash Paysafecard ou no e-mail: tenagliamirella@gmail.com Em troca, voce recebera um codigo para decifrar arquivos. Voce pode encontrar mais informacao aqui hxxp://ukash.com/uk/en/home.aspx ou hxxp://www.paysafecard.com/choose-country/ LEIA COM ATENCAO! Para evitar problemas, DESLIGUE seu anti-virus! AKA restaurar seus arquivos nao serao! -------------------------------------- mbam.log-2012-05-09 (08-23-45).txt Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.05.09.01 Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus) Internet Explorer 9.0.8112.16421 Purgi :: PURGI-PC [Administrator] 09.05.2012 08:23:45 mbam-log-2012-05-09 (08-23-45).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 429153 Laufzeit: 50 Minute(n), 41 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 2 C:\decrypt virus\DecryptHelper-0.5.3.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Purgi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\4Q5XGU90\FastDownload.exe (Affiliate.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) |
:hallo: Mein Name ist Marius und ich werde dir bei deinem Problem helfen. Eines vorneweg: Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass du clean bist. Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
Vista und Win7 User Alle Tools mit Rechtsklick "als Administrator ausführen" starten. Leite die Email bitte an diese Adresse weiter. Dann mach folgendes: Schritt 1: defogger Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.
Klicke den Re-enable Button nicht ohne Anweisung. Schritt 2: DDS Downloade dir bitte dds ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop. dds.com dds.scr dds.pif
Schritt 3: TDSS-Killer Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen. Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop
Schritt 4: aswMBR Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
|
Hallo Marius! danke für Deine rasche antwort! ich werde die hinweise so bald wie möglich durchführen und poste die ergebnisse in diesem thread. einrs noch: was ist mit "Leite die Email bitte an diese Adresse weiter." gemeint ? danke & lg, Hans |
Zitat:
Ignoriere den Hinweis! |
Guten Morgen Marius! habe die logfiles hochgeladen. danke & lg, Hans |
Bitte zippe die logfiles von MBAM (zu finden im Programm unter Logdateien) und hänge sie hier an deine nächste Antwort als Anhang an! |
Hallo! das malwarebytes log hatte ich in meine urspüngliche anfrage bereits eingefügt, habs nochmal raufgeladen. lg, Hans |
Bitte keine eigenmächtigen Versuche mehr anstellen, die Daten zu entschlüsseln - dazu später mehr! Combofix Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
|
Hallo! anbei das combofix-logfile. lg, Hans |
Schritt 1: CF-Script Hinweis für Mitleser: Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter: BleepingComputer.com - ForoSpyware.comund speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)! Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument. Code: REGISTRY::Wichtig:
Schritt 2: MBAM Downloade Dir bitte Malwarebytes
|
Guten Morgen! anbei die beiden logfiles. Danke! lg, Hans |
Wir brauchen die verschlüsselten Dateien, um eine Methode dagegen entwickeln zu können, da es sich um eine neue Variante der Malware handelt. Nutze dazu unseren Upload-Channel. Onlinescan zur Kontrolle ESET Online Scanner
Macht der Rechner noch Probleme? |
hab einige verschlüsselte files (WIN7 sample pictures) raufgeladen. lg, Hans |
Dann noch den ESET-Scan! :) |
Guten Morgen! der ESET hat nichts gefunden, konnte auch keine logfile speichern, da war kein button "list of found threads". hab auch mit AVIRA AntiVir gescannt, der hat auch nix gefunden. lg, Hans |
Zippe bitte den Ordner Zitat:
Momentan können unsere Experten kein Gegenmittel für deinen Fall entwickeln, weil der eigentliche Schädling noch zur Analyse fehlt. Außerdem: Custom scan mit OTL Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code: activex
|
Hallo! anbei die OTL logfles. 7-zip hat ene fehlermeldung ausgegeben beim zippen des ordners beim zugriff auf den ordner qoobox/backenv, ich lade das zip gleich rauf. wenn sich der virus in einer email versteckt hat, finden ihn die ganzen tools dann überhaupt ? hab sie durchgeschaut aber nix verdächtiges gefunden... danke & lg, Hans |
Hm...da kann ich auch nix sehen.:confused:
|
Hallo nochmal! bevor ich bei Euch geposted habe, habe ich einen Scan mit AntiVir gemacht, hier gab es keine funde. virenprogramm hat auch keins angeschlagen. soll ich mal SpyBot probieren ? das raufladen des gezippten Qoobox ordners (250 MB) hängt schon ziemlich lange, weiss nicht obs das zu Euch schafft ... ich mach gerade einen scan mit der DesInfect CD aus der c't 9/2012, vielleicht findet der Kaspersky was ... danke & lg, Hans |
Hm...das Problem ist, dass er den A1-Manager als Infektion erkannt und mit in den Ordner gepackt hat. Brech das ab, so kommen wir nicht weiter. Spybot hilft uns hier auch nicht. Zippe bitte alle Logfiles von Avira und hänge sie hier an den Thread an! |
Hallo! der A1-manager hat auch zum spinnen angefangen, spuckt immer fehlermeldungen aus, z.B. dass TCP/IP nicht enabled ist o.ä., spuckt auch access violations aus. anbei die avira logs... lg, Hans |
Deaktiviere deinen Virenscanner! Zippe folgenden Ordner: Zitat:
Vergiss nicht, anschließend den Virenscanner wieder zu aktivieren! |
Hallo! der INFECTED ordern ist in einem anderen verzeichnis gewesen: C:\Users\All Users\Avira\Antivir Desktop\INFECTED habs raufgeladen. lg, Hans |
Danke, haben wir bekommen. Bitte hab Geduld, wir müssen nun schauen, ob sich darunter der Schädling befindet. Ohne diesen können wir kein Tool dagegen entwickeln... |
Hallo! der Kaspersky hat 12 sachen gefunden. hab versucht Euch das logfile auf den upload-channel zu stellen, das zip hat aber 12,5 MB, weiss nicht obs durchgegangen ist, hab keine bestätigung erhalten. lg, Hans |
Gibt es in Antivir unter "Ereignisse" noch weitere Einträge? Wenn ja, diese Reporte bitte ebenfalls hier anhängen! Das Kaspersky-logfile hat 12,5mb? Seltsam, sollte nur text sein. Finde heraus, ob es eine reine Logdatei gibt und füge sie uns ebenfalls hier an. Du hast da nen ganz schön hartnäckigen Fall, das kann ich dir sagen! |
Hallo! ja, dort steht was drin: TR/Crypt.XPACK.Gen3 etc. ich hoffe das bringt Euch weiter! danke & lg, Hans |
Hallo Hans, einige der Tools sind weiterentwickelt worden - versuche es erneut mit der Entschlüsselung! http://www.trojaner-board.de/114783-...ubersicht.html Aber bitte nur an Dateien, von welchen du Sicherheitskopien hast! |
Hallo! habs jetzt nochmal probiert, leider ohne erfolg. konnte auch keine neuerungen bei den tools (version) entdecken. die meisten tools wollen immer noich ein .locked file, das hab ich nicht. entweder es passiert gar nix (shareuncrypt, eset decrypter), oder es kommt die meldung, das die original/crypeted dateien nicht zusammenpassen. hab auch ShadowCopy probiert, aber leider sind die ältesten export-dateien auch schon verschlüsselt ... konntet Ihr aus den AVIRA-logs was rauslesen ? Danke & lg, Hans |
Avira hat einige Dinge entfernt, jedoch war der Virus nicht darunter. Wir haben gesehen, dass du avast installiert hast/hattest - hast du eventuell DAMIT den Virus entfernt? Ohne die Dateien des Virus wird es schwer, dir zu helfen. Noch gibt es keine Lösung für den neuen Trojaner! :( |
Hallo! ich hab mal die registry auf die endung, die bei allen verschluesselten dateien dabei ist durchsucht (Bl9c98vcvv), anbei was ich gefunden hab: [HKEY_CLASSES_ROOT\.Bl9c98vcvv] @="Bl9c98vcvv_auto_file" [HKEY_CLASSES_ROOT\Bl9c98vcvv_auto_file\shell\open\command] @="\"C:\\Program Files (x86)\\Internet Explorer\\iexplore.exe\" %1" [HKEY_CURRENT_USER\Software\Classes\.Bl9c98vcvv] @="Bl9c98vcvv_auto_file" [HKEY_CURRENT_USER\Software\Classes\Bl9c98vcvv_auto_file\shell\open\command] @="\"C:\\Program Files (x86)\\Internet Explorer\\iexplore.exe\" %1" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.Bl9c98vcvv\OpenWithList] "a"="iexplore.exe" "MRUList"="hgecfadb" "b"="PhotoViewer.dll" "c"="DllHost.exe" "d"="matsnu1decrypt.exe" "e"="Avira-RansomFileUnlocker.exe" "f"="ScareUncrypt.exe" "g"="rannohdecryptor.exe" "h"="ESETTrustezebADecoder.exe" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.Bl9c98vcvv\OpenWithProgids] "Bl9c98vcvv_auto_file"=hex(0): [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.Bl9c98vcvv\UserChoice] "Progid"="Applications\\photoviewer.dll" hilft Euch das ? danke & lg, Hans |
Hallo Hans, leider hab ich schlechte Nachrichten... Wenn wir keine Probe des Trojaners von deinem Rechner bekommen, können wir deine Dateien auf absehbare Zeit nicht entschlüsseln. Du hattest avast! installiert, hast du evtl DAMIT den Trojaner gekillt? Denn während unserer Bereinigung haben wir ihn nicht gefunden und avira hat ihn auch nicht. Irgendwo ist er also hin! |
Guten Morgen! danke für Deine nachricht! das notebook gehört einer freundin von mir, sie hat mich gebeten ihr damit zu helfen. als ichs gekriegt hab, war Anitvir schon drauf, von avast! hab ich nix gesehn. hab auch jetzt kein avast-programmverzeichnsi etc. gefunden. wo seht Ihr das das avast! drauf ist/war ? danke & lg, Hans |
Zitat:
Es sieht so aus, als hätte jemand schon an dem Laptop rumgefummelt und -probiert, BEVOR du es bekommen hast. Frage mal deine Freundin danach! Frage sie außerdem nach der Email mit dem Schädling darin - sie muss sie bekommen und geöffnet haben, anders kann die Infektion nicht auf den Rechner gekommen sein. Ohne die Mail mit dem Trojaner darin können wir hier nichts mehr für euch tun! |
Hallo! hab alle emails durchgeforstet, kein verdächtiges dabei. das hat meine freundin wahrscheinlich schon (endgültig) gelöscht... sie verwendet Windows Live Mail, hast Du eine idee wie/ob man die eml files scannen kann ? beim googlen hab ich nicht wirklich was dazu gefunden. der trojaner war sicher schon eine ganze weile im system de verschlüsselung ist erst danach gekommen. ich probier gerade gelöschte dateien wiederherzustellen, vielleicht ist da ja noch was dabei. würden Euch die tmp-dateien im _avast4_ verzeichnis helfen ? hab ein image von der maschine, werd sie dann neu aufsetzen und falls es irgendwann eine lösung gibt, dann die datein aus dem image entschlüsseln und in die aktuelle installation übertragen. ich wünsch zwar keinem dass er diesen trojaner kriegt, aber vielleicht kann ja jemand anderer Euch die trojaner-datei zur verfügung stellen damit es eine lösung für alle betroffenen gibt. Danke für Eure unterstützung! lg, Hans |
Nein - es wird für jeden betroffenen Rechner DIE Datei benötigt, die die Verschlüsselung auf DIESEM Rechner verursacht hat. So zumindest der aktuelle Stand! Die temp-dateien bringen uns leider nix. Und die Maildateien kannst du unter http://www.virustotal.com scannen lassen. |
Dieses Thema wurde aus meinen Abos gelöscht. Solltest du das Thema erneut brauchen, schicke mir bitte eine PM. Jeder andere bitte hier klicken und ein eigenes Thema erstellen! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:38 Uhr. |
Copyright ©2000-2025, Trojaner-Board
