|
Wiederherstellung/Entschlüsselung von Dateien Hallo, leider habe auch ich per E-Mail einen Windows Verschlüsselungs Trojaner abbekommen :headbang: Den Anleitungen im Forum folgend habe ich über Malwarebytes Anti-Malware einen Scan durchgeführt und die gefundenen Dateien (3) in Quarantäne gebracht. Leider blieben die Wiederherstellungsversuche der infizierten Dateien mit Hilfe des DecryptHelper von Matthias und Avira Ransom File Unlocker erfolglos. Die Dateien der Formate .xls und .jpeg wurden namentlich verändert (z.B. von 'NYASChevyImpalaReveal159.jpg' auf 'nqEJNQtUGDXsqojNQgUxV') und lassen sich in keinem der üblichen Programme mehr öffnen. Betroffen sind sämtliche Formate. Back-Up der Dateien existieren leider keine :-( Nur einzelne Dateien wären im Original auf einem Stick verfügbar - aber weder mit dem DecryptHelper von Matthias noch mit Avira Ransom File Unlocker konnte ein Schlüssel erkannt werden :heulen: Besteht hier noch Hoffnung die Dateien wieder zu entschlüsseln :confused: Vielen Dank schonmal im Voraus für jegliche Hilfe!!! Viele Grüße, mec |
hi, 1. poste das malwarebytes log bitte. 2. die infektionsquelle: an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert. wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ: .eml einstellen. dann bitte lesen: markusg - trojaner-board.de und mir die soeben erstellte datei zukommen lassen. wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders. bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen. sie können dann dorthin solche verdächtigen mails senden. diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig. |
Hallo, anbei ergänzt das malwarebytes log: Malwarebytes Anti-Malware (Test) 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.06.03.06 Windows Vista Service Pack 2 x86 NTFS Internet Explorer 9.0.8112.16421 Michael :: CEI-1 [Administrator] Schutz: Aktiviert 03.06.2012 20:57:21 mbam-log-2012-06-03 (20-57-21).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 218581 Laufzeit: 28 Minute(n), 39 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|E267D79C (Trojan.Agent.RNSGen) -> Daten: C:\Users\Michael\AppData\Roaming\Yhinb\29AAC782E267D79C699C.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 2 C:\Windows\System32\ALZALZ.BIN (Spyware.Passwords) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Windows\System32\ALZZip.BIN (Spyware.Passwords) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) leider funktionieren meine outlook profile auch nicht mehr - wurden anscheinend ebenfalls verschlüsselt, daher muss ich mir die e-mail direkt von meinem E-Mail Provider mail.com (wenn noch möglich) ziehen...wie wäre dann die weitere Vorgehensweise um diese E-mail "einzuschicken"? Vielen Dank schon mal und viele Grüße mec |
hi, meistens gehts über öffnen und weiterleiten. zur daten wiederherstellung shadow explorer: http://www.trojaner-board.de/115496-...erstellen.html |
hallo, vielen dank für die zahlreichen tips. bisher hat leider keines der tools funktioniert. ich dachte erst shadow explorer würde funktionieren - musste aber leider im nachgang feststellen, dass dem nicht so ist. komischerweise wurden in dem drop-down menü (Datum) beim zweiten versuch weniger auswahlmöglichkeiten angezeigt. zu den jeweiligen terminen waren die dateien aber wohl bereits verschlüsselt :heulen: gibts überhaupt noch eine chance die dateien wiederherzustellen? ich schicke gleich die e-mail mit dem entsprechendem anhang weiter. vielen dank schon mal und viele grüße mec ...leider hat Mail.com/gmx die Weiterleitung der E-Mail verhindert -weil im Anhang eine infizierte Trojaner-Datei identifiziert wurde :? Gibt es einen Weg mit lokaler Abspeicherung, o.ä.? oder einen Weg meine Outlook Profile wieder herzustellen? Mir ist aufgefallen, dass in der Fehlermeldung von Outlook, beschrieben wird, dass das Profil unter dem Pfad .../Users/... Nicht gefunden werden kann bzw. Beschädigt ist. Wenn ich aber mein Probil auf dem Rechner suche finde ich nur Dateien unter dem Pfad .../Benutzer/... Wurde evtl. der ganze Ordner gelöscht oder ist " Benutzer" mit "User" im entsprechenden Pfad "ersetzbar"? Das kann doch nicht sein, oder? Vielen Dank schon mal für Eure/Deine Hilfe! Viele Grüße Michael ...anbei das gmx-protokoll vom sendeversuch: A virus was detected in the following e-mails sent from your account! Virus: "Trojan.FakeAV" File: "Dritte Mahnung.pif" For this reason, the e-mail was not forwarded to the recipient. We recommend checking your PC with a local virus scanner! Mail details: From: "Simi Krauss" To: virus@trojaner-board.de Date: Tue, 05 Jun 2012 17:06:53 -0400 Subject: Fw: Mahnung nach Vertragsbruch 21.05.2012 The concerned e-mail has been deleted. Sincerely Your GMX Team hilft das vielleicht weiter? viele grüße mec |
hi momentan gibts dann leider keine möglichkeit :-( |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:59 Uhr. |
Copyright ©2000-2025, Trojaner-Board