|
Verschlüsselungstrojaner UCash / OTLPE Logfiles anhängend Hallo Trojaner-Board User, wie dem Titel zu entnehmen ist, habe ich hier einen Windows PC bei dem erst alle Daten verschlüsselt wurden und dann scheinbar 50 Euro UCash zu bezahlen waren. Eingefangen wurder der Virus wohl doch eine Fake-Email, die geöffnet wurde. Ich haber hier ein bisschen gelesen und hoffe ich habe alles richtig gemacht. Ich habe OTLPE laufen lassen und unter Custom Scan/Fixes folgendes eingetragen. (Ich weiß leider nicht, wie man hier so eine Box erstellt.) activex netsvcs msconfig %SYSTEMDRIVE%\*. %PROGRAMFILES%\*.exe %LOCALAPPDATA%\*.exe %systemroot%\*. /mp /s /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\system32\*.dll /lockedfiles %USERPROFILE%\*.* %USERPROFILE%\Local Settings\Temp\*.exe %USERPROFILE%\Local Settings\Temp\*.dll %USERPROFILE%\Application Data\*.exe Die OTL.txt ist im Anhang. Schonmal Danke für eure Hilfe. Max P.S. Die Datei war zu groß. Ich habe sie daher einfach in zwei Hälften geteilt. Ich hoffe das ist kein Problem. |
Hallo und Herzlich Willkommen! :) ► Welche Art und Weise wurden die Daten (Eigene Dateien wie Bilder, Dokumente, Musik etc) bereits verschlüsselt? Kannst Du ein Beispiel nennen? Dateiändung wurden zugefügt (z.B "locked- .wxyz"), oder nach einem Zufallsprinzip besteht ein Dateiname aus Groß und Kleinbuchstaben (wie z.B QsEEUTODXNVqyssQ) andere? Nämlich manche Varianten lassen sich entschlüsseln, andere wieder leider nicht.. gruß kira |
Hi und Danke erstmal. :) Es wurden Dateiendungen zugefügt. Also wie in deinem ersten Beispiel. Die Original Dateiendung ist auch noch da. Hab ich die richtigen Logfiles hochgeladen, oder brauchst du noch weitere Informationen? Danke Max |
Zitat:
1. zur Info: Vorgehen beim Verschlüsselungs-Trojaner :-> http://www.trojaner-board.de/114783-...ubersicht.html -> DecryptHelper von Matthias vom TrojanerBoard 2. damit das nochmal nicht passiert, wie vermeide ich Datenverlust: ► Da sieht man wieder einmal wie wichtig ist, um die regelmäßige Sicherung (wichtigen Daten) zu kümmern Denk daran: dein Hauptsystem ist doch kein Lagerhalle! Wichtige Daten Regelmäßig sichern, am besten 2x an verschiedenen Orten! - Externe Geräte (Festplatte USB-Stick etc) nicht ständig am PC anschließen, sondern nur kurzfristig während Du etwas sichern möchtest E-Mail-Anhang - Öffne keine E-Mail-Anhänge (Attachments), wenn du den Absender nicht kennst! -> Mails besonders mit Anhang, nicht anklicken, sondern als Text oder in Druckversion anzeigen lassen. Mailprogramm grundsätzlich so einstellen 3. ► wenn alle deine Daten separat gesichert hast, das System sollte neu aufgesetzt werden! Tipps & Rat: ➊ Datensicherung: ► NUR Daten sichern, die nicht ausführbaren Dateien enthalten - Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können. - Vorsicht mit den schon vorhandenen Dateien auf die extern gespeicherten Daten und auch jetzt mit dem Virus infizierte Dateien eine Datensicherung anzufertigen - Am besten alles was dir sehr wichtig, separat (extern) sichern - nicht mischen eventuell früher geschicherten Daten, also vor dem Befall! - Eventuell gecrackte Software nicht sichern und dann auf neu aufgesetztem System wieder drauf installieren! - Vor zurückspielen - bevor du mit deinem PC direkt ins Netz gehst...: - die Autoplay-Funktion für alle Laufwerke deaktivieren/ausschalten -> Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten Die auf eine externe Festplatte gesicherten Daten, gründlich zu scannen von einem suaberen System aus, am besten mit mehreren Scannern-> Kostenlose Online Scanner - Anleitung Absolut empfehlenswerter Scanner: Zitat:
➋ -> Anleitung: Neuaufsetzen des Systems + Absicherung -> Anleitung zum Neuaufsetzen - Windows XP, Vista und Win7 ➌ Ich würde Dir vorsichtshalber raten, dein Passwort zu ändern z.B. Login-, Mail- oder Website-Passwörter Tipps: Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern) auch noch hier unter: Sicheres Kennwort (Password) |
Hallo, ich bin etwas verwirrt. Im Moment ist mein Problem doch, dass ich beim starten nur eine Meldung bekomme 50 Euro zu bezahlen. Ich hab das nicht explizit so geschrieben. Das tut mir leid. Ich dachte wohl, dass das immer so wäre (hatte diverse andere Threads gelesen). Also die OTLPE Logfiles habe ich erstellt, indem ich von einer CD gebootet habe. Mit dem System welches hier auch empfohlen wird. Muss ich jetzt nicht irgendeinen FIX anwenden, damit ich Windows überhaupt wieder starten kann? Ich glaube auf diesem CD-Boot System kann ich nicht wirklich was installieren, oder? Danke für die Hilfe Max |
Poste bitte das OTLPE-Logfiles, dann sehen wir weiter |
Sind das nicht die, die ich gepostet habe? Im Erstellungspost. |
1. Zitat:
Code: :OTL
Zitat:
|
Danke für die Hilfe! Hier das Logfile: Code: ========== OTL ==========Ich kann Windows wieder normal starten. Die Verschlüsselung scheint auch kein Problem zu sein, da ich wieder auf alle Dateien vollen Zugriff habe. Ich habe Panda Global Protection installiert. Muss ich noch andere Maßnahmen ergreifen? Danke |
wie gehabt: 1. Daten sichern: am besten 2x an verschiedenen Orten! - auf Externe Geräte (Festplatte USB-Stick, CD/DVD etc) 2. Um alle Malware-Spuren zu vernichten: Festplatte formatieren und Windows neu einrichten |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:52 Uhr. |
Copyright ©2000-2025, Trojaner-Board