Trojaner-Board - Vorgehen beim Verschlüsselungs-Trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Vorgehen beim Verschlüsselungs-Trojaner - Bitte um Hilfestellung (https://www.trojaner-board.de/116850-vorgehen-beim-verschluesselungs-trojaner-bitte-um-hilfestellung.html)

Vorgehen beim Verschlüsselungs-Trojaner - Bitte um Hilfestellung

Hallo,

erstmal vorab vielen Dank für die Tipps, die ich dem Forum entnehmen konnte zum Vorgehen beim Verschlüsselungs-Trojaner. Zuerst habe ich das Anti-malware geladen und habe einen vollständigen Scan durchgeführt. Gefunden wurden 4 infizierte Objekte. Nun war im Forum die Anweisung zu lesen, die Viren hier einzusenden. Leider weiß ich auch nach intensivem Forumsbeitrag-Studium nicht genau wie ich das nun machen muss. Auch die weiteren Schritte mit DecryptHelper und einer anschließenden endgültigen Reinigung leuchten mir noch nicht genau ein.
Könnte mir jemand eine kurze Checkliste schicken, wie ich weiter Vorzugehen habe? Leider bin ich in Computertermini nicht sonderlich bewandert, weshalb mir die Orientierung im Forum äußerst schwer fällt.
Für die Mühen entschuldige ich mich schon einmal und über Hilfestellungen freue ich mich sehr!

Viele Grüße

Also ich habe mit der anti-malware 4 infizierte objekte identifiziert und in quarantäne verschoben. Dann festgestellt das einige Dateien umbenannt sind, nicht aber die Beispielbilder. Die Dateinamen lauten etwa: dnsjdnbsjbfbHAHAHAHgVNN

Zu diesem Typ gibt es bisher keine Möglichkeit der Entschlüsselung, wie ich dem Forum entnommen habe. Bin ich noch richtig informiert? Also abwarten und die Ergebnisse hier verfolgen oder?

Als abschließenden Punkt wird ja noch empfohlen den Rechner weiter zu reinigen. Wie gehe ich das nun an? Weiß jemand etwas?

Besten Dank

Zwischenstand: DeCrypt und Avira helfen nicht die verschlüsselten Dateien zu entschlüsseln. Es kann kein Schlüssel generiert werden. Liegt dementsprechend an der Verschlüsselung vom Typ: AJAJAJAAJhbdsfifphapghfg , wenn ich das richtig sehe und verstehe.

Ohne die Logs von Malwarebytes und Co wird das hier nichts. :glaskugel:
Alles von Malwarebytes (und evtl. anderen Scannern) muss hier gepostet werden.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Allgemeine Hinweise bzgl. des Verschlüsselungstrojaners:
Wann genau deine Daten entschlüsselt werden können wird dir niemand genau sagen können außer vllt einer :glaskugel: es kann sein, dass du eine neuere Variante hast, deren Verschlüsselungsalgorithmus noch unbekannt ist. Sowas kann man (noch) nicht entschlüsseln und ohne Schlüssel schon garnicht - ist ja auch logisch, sonst wär es ja keine vernünftige Verschlüsselung
Einfach hier nochmal reinsehen in regelmäßigen Abständen, obige Hinweise beachten. 8 Tools mitsamt hunderten Diskussionsbeiträgen stehen da schon

Eine Notlösung für Vista und Win7-User => http://www.trojaner-board.de/115496-...erstellen.html

Entschlüsselungsversuche der verschlüsselten Dateien sind nur auf zusätzliche Kopien der verschlüsselten Dateien anzuwenden, sonst zerhackt man sich die noch weiter ohne die "original" verschlüsselte Datei mehr zu haben. Das willst du sicher nicht!

Man darf sich aber keine falschen Hoffnungen machen. Mittlerweile sieht es finster aus => Delphi-PRAXiS - Einzelnen Beitrag anzeigen - Verschlüsselungs-Trojaner, Hilfe benötigt

Und in Zukunft willst du sicher mal an ein besseres Backupkonzept denken. Hier ein Denkanstoß => http://www.trojaner-board.de/115678-...r-backups.html

Code:

Malwarebytes Anti-Malware 1.61.0.1400

www.malwarebytes.org
 

Datenbank Version: v2012.06.08.02
 

Windows 7 Service Pack 1 x86 NTFS

Internet Explorer 8.0.7601.17514
 

08.06.2012 09:03:17

mbam-log-2012-06-08 (21-21-26).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 569148

Laufzeit: 4 Stunde(n), 31 Minute(n), 41 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 1

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|2A21BE62 (Trojan.Agent.H) -> Daten: C:\Users\*****\AppData\Roaming\Efqvtoreju\F1AC15982A21BE621656.exe -> Keine Aktion durchgeführt.
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 3

C:\Users\*****\AppData\Roaming\Efqvtoreju\F1AC15982A21BE621656.exe (Trojan.Agent.H) -> Keine Aktion durchgeführt.

C:\Users\*****\AppData\Local\Temp\pbyknfmizw.pre (Trojan.Agent.H) -> Keine Aktion durchgeführt.

C:\Users\*****\AppData\Local\Temp\qvangejupo.pre (Trojan.Agent.H) -> Keine Aktion durchgeführt.
 

(Ende)

Danke für die Antwort und die Hinweise !!!

Mittlerweile die Dateien auch in Quarantäne verschoben.

Führ bitte auch ESET aus, danach sehen wir weiter.

Hinweis: ESET zeigt durchaus öfter ein paar Fehlalarme. Deswegen soll auch von ESET immer nur erst das Log gepostet und nichts entfernt werden.

ESET Online Scanner
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt so öffnen: per Rechtsklick => als Administrator ausführen
Dein Anti-Virus-Programm während des Scans deaktivieren.

Button http://img695.imageshack.us/img695/1599/eset1l.jpg (<< klick) drücken.
- Firefox-User:
  Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
- IE-User:
  müssen das Installieren eines ActiveX Elements erlauben.
Setze den einen Haken bei Yes, i accept the Terms of Use.
Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
Warte bis die Komponenten herunter geladen wurden.
Setze einen Haken bei "Scan archives".
Gehe sicher das bei Remove Found Threats kein Hacken gesetzt ist.
http://img707.imageshack.us/img707/687/starteg.jpg drücken.
Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

Klicke Finish.
Browser schließen.

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen Fenster.

Code:

"%PROGRAMFILES%\Eset\Eset Online Scanner\log.txt"

Hinweis: Falls du ein 64-Bit-Windows einsetzt, lautet der Pfad so:

Code:

"%PROGRAMFILES(X86)%\Eset\Eset Online Scanner\log.txt"

Poste nun den Inhalt der log.txt.

Rechner ist nun zum Spezialisten gebracht und ich kann mich nicht mehr daran versuchen. Dennoch besten Dank !

Der wird dir bei den verschlüsselten Daten aber auch nicht zaubern können...nur so als Hinweis

ja ich weiß, es handelt sich hier nicht um meinen Rechner. War bloß unterstützend tätig. Ich hätte meinen auch nicht weggebracht, sondern hier nach Lösungen gesucht. Habe aber daraufhin meinen mit Anti-Malware überprüft und einen anderen Trojaner entdeckt. Dazu habe ich ein anderes Thema erstellt. Vielleicht kannst du mir da weiterhelfen? Vielen Dank für deine Mühen!