|
Desinfektion + Datenwiederherstellung bei Verschlüsselungstrojaner Guten Abend, ich habe ein Laptop auf dem sich der Verschlüsselungstrojaner breit gemacht hat. Meine Mutter öffnete eine Email mit einer Rechnung, entpackte den Inhalt (leider ist die Mail nicht mehr vorhanden, da gelöscht) und von dem Moment an lies sich Windows nicht mehr steuern. Nach Neustart des Rechners wurde immer nur das Bild angezeigt, auf dem ich aufgefordert wurde, einen Paysafecard-Code einzugeben. Der abgesicherte Modus ließ sich überhaupt nicht starten. Ich habe das Bild mit strg. alt. entf weggeklickt und den Benutzer abgemeldet, nach Neuanmeldung war Windows nicht mehr zu sehen, der Taskmanager ließ sich aber starten. Darüber habe ich auf msconfig zugegriffen und rugvtwllz aus dem Autostart entfernt. Nach einem weiteren Neustart des PCs erschien das Bild nicht mehr und Windows war wieder bedienbar. Ein Scan mit Malwarebytes hat 3 Treffer ergeben, ich habe den vollständigen Durchlauf ausgeführt, nicht die schnelle Variante. Ich bräuchte Hilfe bei der Desinfizierung des Systems und der Wiederherstellung der Daten. Da ich bereits sämtliche relevante Beiträge durchforstet habe, aber keine für mich hilfreichen Lösungsansätze gefunden habe, bitte ich darauf zu verzichten, mich mit dem Hinweis auf "lesen bildet" einfach auf andere Links zu verweisen. Danke LG Im Anhang mein Logfile Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.06.12.06 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Susi :: LAPTOP_SUSI [Administrator] 12.06.2012 19:17:53 mbam-log-2012-06-11 (19-17-53).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 282639 Laufzeit: 1 Stunde(n), 26 Minute(n), 10 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 3 C:\Programme\WinRAR\key & patch\RAR Slayer v1.1.exe (Malware.Tool) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\System Volume Information\_restore{6CE71417-F24E-41B3-AE5C-7BE2087685C6}\RP1\A0006014.exe (Trojan.Ransom.H) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\pss\rugvftwllz.exeStartup (Trojan.Ransom.H) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) |
Hallo und Herzlich Willkommen! :) Zitat:
Einen durch Keygen [Key Generator/Keymaker] verseuchten PC und eventuell gespeicherte externe Daten auf SB Sticks, ext.Platte etc,, sollte formatiert und neu aufgesetzt werden, weil ja durch gecrackte oder mit Viren verseuchte Software wie auch immer, ein Angreifer erfolgreich in dein System eingedrungen ist:-> *Technische Kompromittierung* Denn die angebotenen Programme und Dateien enthalten jede erdenkliche Art von Malware/Schadprogramm wie z.B. Backdoors, Rootkits etc, die dann den PC unter Kontrolle nehmen und die Administratorrolle übernehmen können Weil dieses `selbstzerrstörerischem Verhalten `illegal` ist bzw verstößt gegen das Gesetz, wir dürfen Dir nicht weiter helfen. Aus diesem Grund sehen wir uns gezwungen den Thread zu schließen:-> Ich möchte dich darauf hinweisen, dass wir bei Verwendung von Keygens & Cracks keine Beihilfe leisten wollen! :-> Forumregel:- Cracks, Keygens und andere illegale Software Also Du kannst Dir viel Ärger und unnötige Zeitverschwendung ersparen, indem du dein System und auch die externe potenziell verseuchte Platte, USB-Stick etc formatiers und Windows (ohne Cracks & Keygens) neu installierst! Aber wenigstens hast Du dann nach einer Neuinstallation wieder ein sauberes System und hoffentlich hast Du was draus gelernt und in Zukunft lässt die Finger von... ► Welche Art und Weise wurden die Daten (Eigene Dateien wie Bilder, Dokumente, Musik etc) bereits verschlüsselt? Kannst Du ein Beispiel nennen? Dateiändung wurden zugefügt (z.B "locked- .wxyz"), oder nach einem Zufallsprinzip besteht ein Dateiname aus Groß und Kleinbuchstaben (wie z.B QsEEUTODXNVqyssQ) andere? Nämlich manche Varianten lassen sich entschlüsseln, andere wieder leider nicht.. gruß kira |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:59 Uhr. |
Copyright ©2000-2025, Trojaner-Board