Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Windows-Verschlüsselungs-Trojaner entfernt - Daten sind verschlüsselt (https://www.trojaner-board.de/114155-windows-verschluesselungs-trojaner-entfernt-daten-verschluesselt.html)

Birgit70 26.04.2012 14:53
Windows-Verschlüsselungs-Trojaner entfernt - Daten sind verschlüsselt
 
Hallo,
Ich weiß, ich darf keine unbekannten Anhänge öffnen, aber ich war heute wohl nicht die einzigste die ein Mausklick zuviel gemacht hat.
Nur mein Account war betroffen, wir haben noch 2 weitere auf dem Laptop, wo ich jederzeit drauf kam. Über die habe ich dann auch eine Systemprüfung (AntiVir) gestartet, aber die hat nichts gefunden. (??!)
Im abgesicherten Modus habe ich den Trojaner (hieß bei mir: Bella Giampolo von Tastiera penna) aus dem Systemstart rausgenommen und die Datei (stand unter: User\name\appData\roaming) dann gelöscht.
Soweit so gut, komme jetzt wieder auf mein Account.
Aber alle Daten sind verschlüsselt worden mit unlocked-(Name der urspr. Datei) und 4 für mich wahllose Buchstaben. Auch die Daten auf den anderen Accounts und auch die auf der anderen Hälfte (E: ) der geteilten Festplatte sind betroffen.
Eine Systemwiederherstellung hat leider nicht funktioniert.
Die eMail habe ich noch.
Wenn Ihr die Daten entschlüsseln könnt, hätte ich auch gerne den Entschlüsselscode/-programm.
Schon mal danke für euren Einsatz.
LG Birgit

markusg 26.04.2012 18:55
hi
hast du die mail in einem mail programm?

dann mal markieren, datei speichern unter,
irgendwo hin, wo du sie findest
dann mail an:
http://markusg.trojaner-board.de
dort das eben gespeicherte anhängen.
wenn du nen web mailer nutzt, sag mir welchen, danke
bitte keine eigenmächtigen spielereien mehr an deinen dateien, info bekommst du dann

Birgit70 27.04.2012 23:00
Hallo,
bin schwer beeindruckt, was ihr hier leistet. :dankeschoen:

Habe die Anti-Maleware gestartet, und er hatte noch 3 Dateien gefunden. Habe diese, wie beschrieben, gelöscht.
Dann habe ich den super super tollen DecprytHelper 0.5.1 von euch gestartet.
Dauert ein bisschen, weil ich soviele Dateien habe, aber den Großteil meiner Dateien ist schon wieder sichtbar. Den Rest mache ich morgen früh.
DANKE :applaus: DANKE :applaus: DANKE :applaus: DANKE
Ganz liebe Grüße und :bussi: Birgit

markusg 30.04.2012 15:56
hi,
kannst du das malwarebytes rgebniss posten?
hatt das mit dem entschlüsseln geklappt?

Birgit70 03.05.2012 08:40
Hallo,

Das Malwarebyte Anti-Maleware hat 3 Dateien gefunden.

Infizierte Dateien: 3
C:\Users\Birgit\AppData\Roaming\Bphfwcevin\F1960257921B2A9D969B.exe (Trojan.Agent.SZ) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Birgit\AppData\Local\Temp\pcezomvobi.pre (Trojan.Agent.SZ) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Birgit\AppData\Local\Temp\ptfiurafib.pre (Trojan.Agent.SZ) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Habe jetz AVG Internet Security 2012 - das mich schützen soll.
Tut es auch: Der AVG E-Mail-Scanner hat gestern (02.05) und am 30.04. noch jeweils eine eMail mit Trojaner-Anhang ausgefiltert.
Scheine die Dinger jetzt wohl magisch anzuziehen. :heulen:

Meine Daten habe ich, Dank decrypter, alle wieder. :singsing:

Was weg ist, sind meine E-Mails, die ich in verschied. Unterordnern hatte.
Benutze Thunderbird.

Nochmals ganz ganz dickes Lob :daumenhoc für eure tolle Arbeit.

LG Birgit

markusg 03.05.2012 09:55
wo ist das komplette malwarebytes log?

Birgit70 03.05.2012 12:36
Hier :

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.27.09

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421


27.04.2012 22:04:57
mbam-log-2012-04-27 (22-04-57).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 254174
Laufzeit: 3 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\Users\Birgit\AppData\Roaming\Bphfwcevin\F1960257921B2A9D969B.exe (Trojan.Agent.SZ) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Birgit\AppData\Local\Temp\pcezomvobi.pre (Trojan.Agent.SZ) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Birgit\AppData\Local\Temp\ptfiurafib.pre (Trojan.Agent.SZ) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

markusg 03.05.2012 19:01
mache ein backup deiner wichtigen dateien die verschlüsselt sind
auf ein externes laufwerk
dann entschlüsseln:
http://www.trojaner-board.de/114224-...-unlocker.html
verzeichniss entschlüsseln wählen.
teile mir mit obs geklappt hatt


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:56 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131