Verschlüsselungstrojaner, Zugang zum Rechner gelingt nicht
 

Guten Tag in die Runde !
Ein unkonzentrierter Augenblick hat zum Anklicken des als ZIP-Dateianhang daherkommenden Trojaners geführt. So geschehen am Freitag, 25.05. Uhr 18:20.
Die Zip-Datei ist noch in meine Email-Postfach verfügbar.
Ergebnis : Das bekannte Bild mit der Aufforderung zur Zahlung zwecks Erwerb des Entschlüsselungscodes. Bei Anklicken des Windows-Startfensters nach Neustart keine Änderung. Bei Start im abgesicherten Modus erscheint irgendwann wieder die Windows-Startmaske, dann auch mit dem Administrator als alternativen Benutzer. Klick darauf führt zum Wiedersehen mit dem Erpresser-Bild.
Nach dem Durchforsten des Trojaner-Boards mit erschreckenden Erkenntnissen (insbesondere da ich mich außerstande sehe, auch nur ansatzweise den Anweisungen und Ratschlägen Folge leisten zu können) stellen sich hierzu jetzt einige Fragen eines reichlich ahnungslosen PC-Nutzers :
1. Könnte das Problem theoretisch durch Fernwartung beseitigt werden ?
2. Da ich davon ausgehen muss, dass auch bei mir sämtliche Dateien verschlüsselt sind, gibst es erfahrungsgemäß Hoffnung, dass eine Wiederherstellung mittels Decryptor in angemessener Zeit (1-4 Wochen) verfügbar ist und dann auch von Laien angewendet werden kann ?
3. Sofern es zum derzeitigen Zeitpunkt überhaupt Chancen zur Wiederherstellung meines Rechners in den gewünschten Zustand inkl. Entschlüsselung der Nutzerdateien gibt, habt Ihr alternativ eine Empfehlung für einen Dienstleister in meiner Wohnortnähe PLZ 53577, der sich der Sache annhemen kann ?

Folgend die Daten zur empfangenen Email :

Return-Path: dfctq706@kcc.zaq.ne.jp
Received: from omx03.zaq.ne.jp ([211.124.9.25]) by mx-ha.web.de (mxweb006) with ESMTP (Nemesis) id 0LqSOX-1RtvY01we1-00dpbU for <ars_securitas@web.de>; Fri, 25 May 2012 18:20:59 +0200
Received: from sma03.zaq.ne.jp ([10.2.30.76]) by omx03.zaq.ne.jp with ESMTP id <20120525162055339.SYVM.24460.sma03.zaq.ne.jp@omx03.zaq.ne.jp> for <ars_securitas@web.de>; Sat, 26 May 2012 01:20:55 +0900
Received: from mpm-server.mpm-service.it ([79.34.44.248]) by sma03.zaq.ne.jp with ESMTP id <20120525162039860.LEZR.12848.mpm-server.mpm-service.it@sma03.zaq.ne.jp> for <ars_securitas@web.de>; Sat, 26 May 2012 01:20:39 +0900
MIME-Version: 1.0
Date: Fri, 25 May 2012 18:20:16 +0200
X-Priority: 3 (Normal)
X-Mailer: The Bat! (v2.00.9) Personal
Subject: Mahnung nach Vertragsbruch 22.05.2012
From: dfctq706@kcc.zaq.ne.jp
To: ars_securitas@web.de
Content-Type: multipart/mixed; boundary=-----_chilkat_a3e_7a7f_c91d9a95.c89cd601_.MIX
Message-ID: <CHILKAT-MID-372b391d-2b7f-e2a7-5819-612c40b89ce8@mpm-server.mpm-service.it>
Envelope-To: <ars_securitas@web.de>
X-UI-Filterresults: ;V01:K0:v6bP4x+Y:cDqA5UNyy9woku0b3VRUCJE06fje5dZPHIi PB2SiivcbWBNTzSe9Gv+nY6MXQlGPhbFL1UvWhDMFJcjxooKWPIThBR6FOy8NXbaMmvTJiU /HQ2JQcR0zdPkxecF8+sFaYEnSZpaG8h/bb4o1w7dSInnnlxWTZx0eRr+L2KROk81wDPc4m ifvrLNY+EbghKWnWV5x0KLcHYm09pBZpp1KmZVZLaSq+eBKA4QLgtOqlIrc3er254brI7En 0cznIUufvQEFkQGEBhd22qY3SS9KiA==

Ordner: Unbekannt
Größe: 39 KB

Habt vielen Dank im Voraus und schenkt mir Bitte ein wenig Hoffnung.

Grüße

dgsan

Hallo, ich vergaß noch mitzuteilen, dass der Rechner mit Windows XP/SP3 lief.

Warum? Was genau verstehst du unter Fernwartung?

Es wird an Lösungen gearbeitet, so dass auch andere/neue Verschlüsselungs-Varianten rückgängig gemacht werden können - obige Hinweise beachten => Vorgehen beim Verschlüsselungs-Trojaner (Übersicht der 8 Tools) INFO: Windows Update Trojaner bitte Sendet uns die Viren!

Mit Fernwartung meine ich den möglichen Zugang zum Rechner per Internet zu nutzen, um direkt darauf Zugriff zu nehmen und den Trojaner zu eliminieren und seine Missetaten rückgängig machen zu lassen. Die vorliegenden Probleme meinerseits sind :
Bodenlose Blödheit (siehe Trojaner-Problem), absolut lernunwillig, lernunfähig im erforderlichen Themenbereich und zeitlich arg eingeschränkt.
Auf meinem Back-up fehlen zwar "nur" 4 Monate, dennoch wäre es gut, würden die wahrscheinlich verschlüsselten Daten wiederhergestellt werden können. Wenn es Aussicht gibt, warte ich gerne noch einige Zeit, bis eine "smarte" und realisierbare Entschlüsselungslösung vorliegt. Allerdings habe ich bisher noch gar keinen Zugagng zum Rechner geschafft, da es ja auch im abgesicherten Modus nicht klappt. Soll ich die Mail mit Virus-Anhang weiterleiten, und wenn, an wen ?
Liebe Grüße und besten Dank für die Antwort.

Und warum das ganze? Hast du keinen physischen Zugriff auf die Kiste? :confused:

Also doch physischer Zugriff?... aber was soll das mit der Fernwartung oder verwendest du einfach nur das falsche Vokabular? Mit Fernwartung wird idR eine Fernsteuerung eines Rechners zB über Remotedesktop, VNC oder SSH gemeint

Sind die Hinweise denn so unscheinbar? Steht doch da wo und wie du die Mail an uns senden sollst => markusg - trojaner-board.de


Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Hallo Arne,

1. wie ich schon sagte, Blödheit ist ein treuer Begleiter.
Versuche z. Zt. erfolgsfrei, die betreffende Mail an markusg und virus@.. weiterzuleiten.
Letzte Mail delivery failure Meldung :

Gesendet: Dienstag, 29. Mai 2012 um 17:23 Uhr
Von: "Mail Delivery System" <MAILER-DAEMON@fmmailgate04.web.de>
An: ars_securitas@web.de
Betreff: Undelivered Mail Returned to Sender
This is the mail system at host fmmailgate04.web.de.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

The mail system

<virus@trojaner-board.de>: host mail.variomedia.de[81.28.224.27] said: 550-This
e-mail is considered spam. Therefore, the server rejects it. 550
(150741::1338305032-00003040-A9E936EC/3583765843-0/0-3) (in reply to end of
DATA command)

2. Physisch ist der Rechner in greifbarer Nähe, sprich rund 45 cm vom linken Knie entfernt. Praktisch ist er aber unantastbar, da mein Respekt und meine Demut mich glauben machen, ich müsste demnächst am offenen Herzen operieren, obschon ich bisher lediglich Gulaschfleisch bratfertig geschnitten habe. Hatte halt die wunderbare Vorstellung, dass ein Spezialist mit gebotener Sorgfalt und seinen Kenntnissen entgeltpflichtig seine Dienstleistung tut, und ich mit nach angemessener Zeit einen funktionierenden Rechner mitsamt meiner Daten wiederfinde. Scheint jedoch so, dass ich zu den offenbar bereits verbratenen tausenden Arbeitsstunden der anderen Opfer noch meine eigenen dazu beitrage muss. Danke übrigens für die übermittelten Anleitungen.

Gruß an Alle