|
Wer programmiert eine Entschlüsselung für den Verschlüsselungstrojaner? Liste der Anhänge anzeigen (Anzahl: 1) Hallo zusammen, ich, dumm wie ich war, habe mir den Verschlüsselungstrojaner am 12.06. eingehandelt, nachdem ich den Anhang "zip.Datei" einer Mahnung von Foto Thun geöffnet habe. Der Anhang sollte angeblich die Rechnung anzeigen. Leider wurden sämtliche Bilder, Videos, Dokumente und Tabellen auf meiner Festplatte verschlüsselt, und zwar auf den Partitionen C:, D:, E:. Ich konnte das System nur noch von der Original CD wieder hochbooten. Anschließend habe ich mit Hilfe einer Software infizierte Ausführungsdateien repariert. Vermutlich nicht vollständig!!! Die Benutzerkonten weisen immer noch ein anderes Symbol aus. Früher waren es drei verschiedene Symbole für drei Benutzer. Jetzt ist bei allen Benutzern ein Schachbrett abgebildet. Nach der Abbildung nach dem Hochfahren des Rechners erfolgt ein kurzer "Piepston". Mit Hilfe meines Benutzennamens komme ich dann wieder auf die Windows-Oberfläche. Mit Hilfe der Dattenrettungsempfehlungen konnte ich die Dateien bislang nicht entschlüsseln. JPEG Recovery hat für Bilder Ergebnisse, aber aus meiner Sicht zu schlechte, geliefert. Die Entschlüsselungsprogramme konnten selbst an Hand einer Originaldatei und einer verschlüsselten Datei keinen Decodierungsschlüssel erzeugen. Vielleicht schafft es jemand hier aus dem Board bzw. kann mir jemanden nennen, dem die Entschlüsselung geglückt ist. Beiliegend finden sich als Beispiel eine Originaldatei und die dazu verschlüsselte Datei. Meine letzte Sicherung liegt leider eine Weile zurück. Aber immerhin konnte ich an Hand der Sicherung eine Anzahl an Dateien retten. Im Anhang sind eine unverschlüsselte Datei im Original und dazu die verschlüsselte Datei. Die verschlüsselte Datei hat auf meiner Festplatte keine Endung. Ich habe ihr die Endung "txt" gegeben, damit ich sie hochladen konnte. Über Hinweise und Tipps zur Entschlüsselung wäre ich sehr dankbar! Nachtrag: Leider Windows XP, Shadow Explorer hilft mir nicht! |
Ich muss nach 60 Minuten noch 3 Dateien anfügen. Vielleicht helfen Sie bei der Analyse. |
Malwarebytes Anti-Malware (Trial) 1.61.0.1400 Malwarebytes : Free anti-malware, anti-virus and spyware removal download Database version: v2012.06.16.05 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Jens Wendte :: JWENDTE [administrator] Protection: Enabled 16.06.2012 22:57:41 mbam-log-2012-06-16 (22-57-41).txt Scan type: Quick scan Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM Scan options disabled: P2P Objects scanned: 272972 Time elapsed: 11 minute(s), 2 second(s) Memory Processes Detected: 0 (No malicious items detected) Memory Modules Detected: 0 (No malicious items detected) Registry Keys Detected: 1 HKCR\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239} (PUP.MyWebSearch) -> Quarantined and deleted successfully. Registry Values Detected: 2 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Data: 1 -> Quarantined and deleted successfully. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|richtx64.exe (Trojan.Agent) -> Data: C:\DOKUME~1\JENSWE~1\LOKALE~1\Temp\richtx64.exe -> Quarantined and deleted successfully. Registry Data Items Detected: 0 (No malicious items detected) Folders Detected: 0 (No malicious items detected) Files Detected: 0 (No malicious items detected) (end) Files Detected: 1 C:\System Volume Information\_restore{F4590F1F-1C65-4C31-BF92-A80ED054E26A}\RP1\A0006033.exe (Risktool.KillFiles) -> Quarantined and deleted successfully. (end) Malwarebytes Anti-Malware (Test) 1.61.0.1400 Malwarebytes : Free anti-malware, anti-virus and spyware removal download Datenbank Version: v2012.06.25.10 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Jens Wendte :: JWENDTE [Administrator] Schutz: Aktiviert 25.06.2012 23:27:00 mbam-log-2012-06-25 (23-27-00).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 463368 Laufzeit: 2 Stunde(n), 12 Minute(n), 50 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 1 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adobe gamma loader.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 86 C:\System Volume Information\_restore{F4590F1F-1C65-4C31-BF92-A80ED054E26A}\RP34\A0013721.exe (PUP.Adware.InstallCore) -> Keine Aktion durchgeführt. D:\Recovery\Dokumente und Einstellungen\Jens Wendte\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0PL0LJVB\iconTrsMini_oneline[1].gif (Extension.Mismatch) -> Erfolgreich gelöscht und in Quarantäne gestellt. D:\Recovery\Dokumente und Einstellungen\Jens Wendte\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0PL0LJVB\68858_1[1].jpg (Extension.Mismatch) -> Erfolgreich gelöscht und in Quarantäne gestellt. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:23 Uhr. |
Copyright ©2000-2025, Trojaner-Board