Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Malware hat Dateien verschlüsselt .xort wurde angehängt (https://www.trojaner-board.de/178458-malware-hat-dateien-verschluesselt-xort-wurde-angehaengt.html)

Trojakö 06.05.2016 22:38
Malware hat Dateien verschlüsselt .xort wurde angehängt
 
Auf dem Rechner wurde ein Email-Anhang im zip-Format geöffnet. Der Trojaner hat teilweise Dateien verschlüsselt (Endung nun .xrot). Antivirensoftware Avira und Microsoft essential haben nichts gefunden. Es gibt auf dem Desktop (Win 7 prof. 64 bit) 2 Einträge 0088.key und xort.key.

Curie 07.05.2016 10:07
Hallo Trojakö.

Mein Name ist Marie Curie. Bevor wir zur Sache kommen, möchte ich gern wissen, was Du von uns erwartest.

1. Möchtest Du die verschlüsselten Dateien wiederbekommen?
2. Möchtest Du den Rechner bereinigen?

Ich frage deshalb, weil ich oft erlebt habe, dass es diesbezüglich Missverständnisse gab. Einige interessiert die Bereinigung überhaupt nicht, weil sie sowieso formatieren wollen. Andere haben ihre Dateien in Backups und wollen nur wieder einen sauberen Rechner.

Lass es mich wissen.

Marie

Trojakö 07.05.2016 21:27
Bereinigung
 
Hallo Marie-Curie,

die wichtigen Daten habe ich, so dass die Entschlüsselung zunächst nicht so wichtig ist.

Wichtig wäre mir, dass ich um eine Neuinstallation herumkomme, da ich am neuen PC (letzte Woche installiert) noch keine Wiederherstellungs-CDs oder Image gezogen habe.

Wäre es mit der Systemherstellung auf einen früheren Wiederherstellungspunkt getan? Der liegt allerdings rel. weit zurück, so dass der Aufwand groß wäre.

So wäre mir eine Bereinigung des Rechners wichtig. Entschlüsselung ist nicht so wichtig.

Hallo Marie-Curie,

die wichtigen Daten habe ich, so dass die Entschlüsselung zunächst nicht so wichtig ist.

Wichtig wäre mir, dass ich um eine Neuinstallation herumkomme, da ich am neuen PC (letzte Woche installiert) noch keine Wiederherstellungs-CDs oder Image gezogen habe.

Wäre es mit der Systemherstellung auf einen früheren Wiederherstellungspunkt getan? Der liegt allerdings rel. weit zurück, so dass der Aufwand groß wäre.

So wäre mir eine Bereinigung des Rechners wichtig. Entschlüsselung ist nicht so wichtig.

Danke und Gruß

Curie 08.05.2016 07:05
Hi Trojakö.

Eine Systemwiederherstellung wird keine Schadsoftware entfernen.
Die Ransomware, die Deinen Rechner infiziert hat, nennt sich VaultCrypt. In allen mir bekannten Fällen kommt VaultCrypt über einen bösen E-Mail-Anhang auf den Rechner. Der E-Mail-Anhang hat üblicherweise die Endung .js. Erinnerst Du Dich an so eine E-Mail?

Mach Dich bitte mit den folgenden Regeln vertraut, bevor Du anfängst.
  • Lies meine Instruktionen sorgfältig, führe sie alle in der gegebenen Reihenfolge aus.
  • Nimm keine Änderungen an Deinem System vor und nutze keine anderen Programme als die in meinen Instruktionen. Dies würde eine ordentliche Beurteilung sehr beeinträchtigen.
  • Wenn Du bei irgendeinem Schritt unsicher bist oder Probleme hast, hör an der Stelle bitte auf und sag mir bescheid.
  • Bleib dabei, bis ich Dir sage, dass Dein Computer sauber ist. Nur weil etwaige Symptome verschwunden sind, heißt dies nicht, dass auch die Schadsoftware weg ist.
  • Erstelle ein Backup von wichtigen Dateien, bevor Du anfängst. Schadsoftware kann manchmal unvorhersehbar reagieren.

--------------------------------------------------------------

Schritt 1
http://i.imgur.com/aA7bkRO.png aswMBR
  • Bitte lade aswMBR runter und speichere die Datei auf Deinem Desktop.
  • Bitte schalte Deine Antivirensoftware temporär ab.
  • Mache einen Rechtsklick auf aswMBR.exe und wähle http://i.imgur.com/AVOiBNU.jpg Als Administrator ausführen .
  • Klick Ja , wenn Du gefragt wird avast! virus definitions runterzuladen. Warte bis AVAST engine defs: ### erscheinen.
  • Falls Du gefragt wirst, ob "Virtualization Technology" verwendet werden soll, klicke Ja.
  • Klick auf die AV Scan: Drop-Down-Box and klicke C:\.
  • Klick auf Scan.
  • Wenn der Scan fertig ist, wirst Du die Meldung Scan finished successfully sehen. Klick Save log. Speichere den Report auf Deinem Desktop.
  • Schalte jetzt Deine Antiviren-Software wieder an
  • Kopiere den gesamten Inhalt des Reports und poste ihn in Deiner nächsten Antwort.
Achtung: Klick NICHT auf Fix oder FixMBR.
Achtung: Eine Datei namens (MBR.dat) wird auf Deinem Desktop erscheinen. Klick NICHT auf diese Datei und lösche sie NICHT.

Schritt 2
http://i.imgur.com/xlK5Hdb.png Farbar Recovery Scanner (FRST) Script
  • Drück die Windowstaste http://i.imgur.com/pdKOQKY.png + r zur gleichen Zeit. Schreibe Notepad und klicke OK.
  • Kopiere den gesamten Inhalt der Codebox unten and füge es in das Notepaddokument ein.
    Code:
    start
    CreateRestorePoint:
    2016-05-05 20:04 - 2016-05-05 20:04 - 00001039 ____H C:\Users\Zimmermann \AppData\Roaming\upt43yiai3bjg2e4.hta
    2016-05-05 19:50 - 2016-05-05 20:04 - 00001419 ___RS C:\Users\Zimmermann \AppData\Roaming\xort.KEY
    2016-05-05 19:50 - 2016-05-05 19:50 - 00157615 _____ C:\Users\Zimmermann \AppData\Roaming\CONFIRMATION.KEY
    2016-05-05 19:42 - 2016-05-05 19:50 - 00000000 ____D C:\Users\Zimmermann \AppData\Roaming\gnupg
    Folder: C:\EFSTMPWP
    EmptyTemp:
    end
  • Klicke auf Datei, Speichern als und gib fixlist.txt für den Dateinamen ein.
  • Wichtig: Die Datei muss am gleichen Ort wie FRST64.exe gespeichert werden.
WARNUNG: Dieses Script ist nur dafür gedacht auf diesem System ausgeführt zu werden. Verwende es nicht auf einem anderen System! Dies kann Schäden am Betriebssystem verursachen.
  • Doppelklicke FRST64.exe, um es zu starten.
  • Klicke Entfernen.
  • Ein Report (Fixlog.txt) wird auf Deinem Desktop gespeichert. Bitte poste den Report in Deiner nächsten Antwort.

======================================================

Schritt 3
http://i.imgur.com/pfNZP4A.png Logs
Deine nächste Antwort sollte die folgenden Logs beinhalten
  • Fixlog.txt
  • aswMBR Report

Ich habe Dir die xort.KEY, xort.txt und 00088.KEY Dateien auf dem Desktop liegen gelassen. Sie sind nicht schädlich, sondern beinhalten Information, die zur Wiederherstellung nötig wären. Wenn Du sicher bist, dass Du sie nicht brauchst, dann kannst Du sie in den Papierkorb schieben.

Trojakö 08.05.2016 11:17
Hallo Marie-Curie,

avastmbr stürzt beim Scan ab. Meldung anbei.

Grüße

Curie 08.05.2016 11:35
Lass den ersten Schritt vorerst aus und mach nur den zweiten.

Trojakö 08.05.2016 12:38
Anbei die Fixlog.txt.

Curie 08.05.2016 17:58
Schritt 1
http://i.imgur.com/GfiJrQ9.png Malwarebytes Anti-Malware (MBAM)
  • Bitte lade Dir Malwarebytes Anti-Malware runter.
  • Führe mbam-setup.x.x.xxxx.exe (x steht für die Versionsnummer) aus und installiere das Programm.
  • Öffne Malwarebytes Anti-Malware and klick auf Jetzt updaten.
  • Klick auf den Tab Einstellungen, danach auf Erkennung und Schutz. Setze ein Häkchen bei Suche nach Rootkits
  • Klick auf den Tab Suchlauf, stell sicher, dass Bedrohungssuchlauf ausgewählt ist und klick Jetzt scannen.
  • Achtung: Du könntest die Nachricht "Konnte DDA-Treiber nicht laden" sehen. Falls das passiert, klick auf Ja, erlaube dem PC neuzustarten und fahre fort.
  • Falls Bedrohungen entdeckt wurden, klick Auswahl entfernen. Falls Du nach einem Neustart gefragt wirst, klick auf "Ja"
  • Wenn der Suchlauf beendet ist (oder nach dem Neustart), klick den Tab Verlauf.
  • Klick auf Anwendungsprotokolle und doppelklicke auf Suchlauf-Protokoll.
  • Klick auf Kopiere in Zwischenablage und füge den Report zu Deinem nächsten Post hinzu.

Schritt 2
http://i.imgur.com/YARWD1t.png TDSSKiller Scan
  • Bitte lade Dir TDSSKiller runter und speichere es auf Deinem Desktop.
  • Mach einen Rechtsklick auf TDSSKiller.exe und wähle http://i.imgur.com/AVOiBNU.jpg Als Administrator ausführen.
  • Klick auf Change parameters. Setze ein Häkchen für Detect TDLFS file system und Verify file digital signatures.
  • ​Klick Start Scan. Verwende den Computer während des Scans nicht.
  • Wenn etwas gefunden wurde, Setze die Aktion auf skip.
  • Klick Continue und schließe das Fenster.
  • Ein Report wird im Root-Ordner erzeugt (üblicherweise C:\). Bitte füge diesen Report zu Deinem nächsten Post hinzu.

======================================================

Schritt 3
http://i.imgur.com/pfNZP4A.png Logs
Deine nächste Antwort sollte die folgenden Logs beinhalten
  • MBAM Suchlauf-Protokoll
  • TDSSKiller-Report

Trojakö 08.05.2016 19:28
Es wurde nichts gefunden. Ich habe die Dateien teilweise splitten müssen.

Curie 09.05.2016 09:42
Gut zu wissen, dass es ein Upload-Limit gibt. Ich werde meine Instruktionen dafür anpassen.
Beide Scans sind sauber, aber wir sollten noch eine abschließende Überprüfung machen.

Schritt 1
http://i.imgur.com/GzlsbnV.png ESET Online Scan
Achtung: Dieser Scan kann lange dauern.
  • Bitte lade Dir ESET Online Scan runter und speichere die Datei auf Deinem Desktop.
  • Schalte Dein Antivirenprogramm temporär aus.
  • Führe esetsmartinstaller_enu.exe aus.
  • Stimme der EULA zu, indem Du ein Häkchen bei JA, ich bin mit den Nutzungsbedingungen einverstanden setzt. Dann klicke Starten.
  • Warte bis alle Komponenten heruntergeladen wurden.
  • Setze ein Häckchen für Erkennung von eventuell unerwünschten Anwendungen aktivieren.
  • Klick auf Advanced settings. Setze ein Häckchen für:
    • Archive prüfen
    • Auf potenziell unsichere Anwendungen prüfen
    • Anti-Stealth-Technologie aktivieren
  • Stell sicher, dass Entdeckte Bedrohungen entfernen deaktiviert ist.
  • Klicke Start.
  • Warte bis der Scan fertig ist. Bitte sei geduldig, es kann eine ganze Weile dauern.
  • Wenn der Scan fertig ist, klicke auf Liste der gefundenen Bedrohungen. Wenn keine Bedrohungen gefunden wurden, lass die folgenden zwei Punkte aus.
  • Klicke auf Als Textdatei exportieren... und speichere die Datei auf Deinem Desktop.
  • Drücke den Zurück Knopf.
  • Setze ein Häckchen für Anwendung nach dem Schließen deinstallieren und klicke Fertig.
  • Stell Deine Antivirensoftware wieder an.
  • Füge den Report zu Deiner nächsten Antwort hinzu.

Schritt 2
http://i.imgur.com/xlK5Hdb.png Farbar Recovery Scan Tool (FRST) Scan
  • Doubleklicke FRST.exe, um das Programm zu starten.
  • Stell sicher, dass ein Häckchen für Addition.txt gesetzt ist.
  • Drücke auf den Scan-Knopf und lass das Programm laufen.
  • Nach Fertigstellung klicke OK, und dann nochmals OK für die Addition.txt-Meldung.
  • Zwei Reports (FRST.txt & Addition.txt) sind nun auf Deinem Desktop. Bitte füge beide Reports zu Deiner nächsten Antwort hinzu.

======================================================

Schritt 3
http://i.imgur.com/pfNZP4A.png Logs
Deine nächste Antwort sollte die folgenden Logs beinhalten
  • ESET Report
  • FRST.txt
  • Addition.txt
  • Gibt es irgendwelche ausstehenden Probleme mit Deinem Computer?

Curie 18.05.2016 16:45
Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:52 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131