|
Entschlüsseln Ukash Dateien Hallo, nun hat es auch mich erwischt und leider hat der Ukash Trojaner nicht nur meine Dateien auf der Hauptfestplatte geschrottet sondern auch noch die bei der angesteckten USB Backup Festplatte. Der verschlüsselungstrojaner hat am Anfang der Datei gewütet. Mit den Entschlüsselungsprogrammen kann ich leider nichts reparieren. Vielleicht habt ihr ja eine Idee Dort eine Original und eine Verschlüsselte hxxp://www.file-upload.net/download-6637796/ukash.zip.html Der Trojaner war zudem so gemein, dass er die berühmten Windows Bilder Ordner nicht angerührt hat so war es super schwer eine unberührte zu finden die einen verschlüsselten Bruder hat. Den verseuchten Computer hab ich nicht mehr aktiv. Festplatte ausgebaut und darüber über einen zweitPC den Schaden kurz begutachtet. Computer hat XP Pro installiert. |
Wozu haben wir die Hinweise oben? Da steht doch oben alles! :pfeiff: Eine Entschlüsselung ist unwahrscheinlich bis unmöglich! Zitat:
Wenn Vista oder Win7 im Einsatz sind, den ShadowExplorer testen! Aber keine unnötige Zeit mit Entschlüsselungsversuchen verschwenden Und in Zukunft willst du sicher mal an ein besseres Backupkonzept denken. Hier ein Denkanstoß => http://www.trojaner-board.de/115678-...r-backups.html |
Bei der Flut an Beiträgen war die Hoffnung da dass es vielleicht dafür eine Lösung gibt. Scheint aber leider nicht der Fall zu sein. Über einen Emailanhang ist der Mist reingekommen. Nebenschwachstelle war wohl Java... in dessen Cache Ordner hat Antivir viel gefunden und die EXE Datei wird bei Virustotal gerade mal von 5 Virenkiller erkannt... bzw. die identische Datei wurde heute früh um 9 von jemand anderem dort schon hochgeladen wo nur 3 Virenkiller diesen als gefährlich erkannten. Die wurde von Antivir nicht erkannt sondern bisher nur von Malewarebytes. Ist wohl was super neues. |
Zitat:
|
Da hast mehr falls interesse. hxxp://www.file-upload.net/download-6638439/ukashneu_verseucht.7z.html Passwort lautet: virus Enthält die bösen Dateien sowie zwei Screenshots von Virus Total und dem Antivir Logfile sowie dessen Quarantäne. Groß das System säuern will ich nicht. Die Outlook Express Dateien soweit es geht noch retten und dann mach ich die Kiste komplett platt. Die vielen Doc, PDF und JPG... viele davon waren zu klein um daraus noch mit den Restdaten etwas extrahieren zu können. Nun von der 80GB Platte hab ich noch ein Sektor by Sektor Image erstellt falls man später einmal irgend etwas noch retten können sollte. Hab aber nicht wirklich große Hoffnung mehr. |
Und watt soll ich da anklicken? :confused: Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das Log |
Den Downloadlink inzwischen repariert. Hilfestellung beim säubern des Systems brauch ich nicht. Dafür um so mehr beim entschlüsseln der zerstörten Dateien... aber was ich so über den Abend gelesen habe kann man das entschlüsseln derzeit vergessen und nur mit Datenrettungsprogrammen herumwursteln mit eher schlechten Erfolg zumindest bei den kleinen Word Dateien. Die nachträglichen Virenscanns sind allenfalls ein Gag zum schauen was die so finden. Für eine "garantierte" Rootkitfreiheit ist ohnehin die Low Level Formatierung und Neuinstallation des OS pflicht. Ein Sector Image hab ich zuvor noch erstellt falls man mittelfristig diese Dateien wieder entschlüsseln kann. Mehr kann ich nicht machen, außer noch paranoider mit dem Computer umgehen. Ist schon interessant wenn man die Aktivität des Trojaners so halbwegs nachverfoglt. 16:16:26 der Anhang Mahnung.zip wird auf die Festplatte kopiert und geöffnet 16:16:56 Windows legt dazu eine PF Datei an. 16:17:06 Im Benutzerprofil unter Anwendungsdaten taucht eine 66kb große EXE Datei auf 16:17:50 Im Benutzerprofil wird ein Ordner mit Zufallszahlen erstellt und da eine EXE angelegt die 77kb groß ist. Es erfolgen änderungen an der Windows Regestry und bei den Treibern. Windows erstellt scheinbar einen Systemwiederherstellungspunkt. 16:18:16 Im Benutzerprofil im Temp Ordner wird eine $$0 Datei mit 700kb Größe erstellt, die nur wirre Zeichen enthält 16:24:56 Im Benutzerprofil im Temp Ordner wird eine $02 Datei erstellt die runde 3,4MB groß ist. Enthält auch nur wirre Zeichen zum selben Zeitpunkt wird eine Datei $03 von der Platte gelöscht die 2,7MB groß ist und auch nur wirre Zeichen enthält. 16:25 Trojaner beginnt bei den MS-Word Vorlagen die Dateien zu verändern und macht dann bei den Eigenen Bildern weiter. Wann da genau der Bildschirm gesperrt wurde, keine Ahnung. Jedenfalls konnte er bis 16:43 weiter wüten bis der Computer einfach abgeschaltet wurde. Ist schon interessant wenn man die Aktivität des Trojaners so halbwegs nachverfoglt. 16:16:26 der Anhang Mahnung.zip wird auf die Festplatte kopiert und geöffnet 16:16:56 Windows legt dazu eine PF Datei an. 16:17:06 Im Benutzerprofil unter Anwendungsdaten taucht eine 66kb große EXE Datei auf 16:17:50 Im Benutzerprofil wird ein Ordner mit Zufallszahlen erstellt und da eine EXE angelegt die 77kb groß ist. Es erfolgen änderungen an der Windows Regestry und bei den Treibern. Windows erstellt scheinbar einen Systemwiederherstellungspunkt. 16:18:16 Im Benutzerprofil im Temp Ordner wird eine $$0 Datei mit 700kb Größe erstellt, die nur wirre Zeichen enthält 16:24:56 Im Benutzerprofil im Temp Ordner wird eine $02 Datei erstellt die runde 3,4MB groß ist. Enthält auch nur wirre Zeichen zum selben Zeitpunkt wird eine Datei $03 von der Platte gelöscht die 2,7MB groß ist und auch nur wirre Zeichen enthält. 16:25 Trojaner beginnt bei den MS-Word Vorlagen die Dateien zu verändern und macht dann bei den Eigenen Bildern weiter. Wann da genau der Bildschirm gesperrt wurde, keine Ahnung. Jedenfalls konnte er bis 16:43 weiter wüten bis der Computer einfach abgeschaltet wurde. |
Zitat:
Partitionen löschen und neu anlegen reicht, der MBR wird bei der Neuinstallation auch neu geschrieben |
Märchen haben für Kinder erzieherische Funktionen. :-D Als LowLevelFormatierung wird bei mir die ewig Zeitfressende Löschung der Festplatte mit den Diagnose Tools des Festplattenherstellers bezeichnet ;-) Wer schon mal mehrere unterschiedliche Betriebsysteme installiert hat ( Microsoft und Linux ) weiß wie hartnäckig sich manch MBR halten kann. ================================ Noch was anderes... es ist zum teil witzig wie selektiv der Ukash Trojaner vorgeht. Er verschlüsselt alles mögliche z.B. im Firefox Profil aber die Bookmarks verschont er, die Backups der Bookmarks nicht. Bei C:\Dokumente und Einstellungen\#BENUTZERNAME#\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch verschlüsselt er das "Desktop Anzeigen Symbol" |
Zitat:
|
Zitat:
Ist ja egal nach was es sich anhört, solange es zum Ziel geführt hat und nebenbei die Festplatte auf defekte Sektoren noch getestet wurde. :daumenhoc Der MBR ist zu DOS Zeiten glaub ich nur 512bytes groß gewesen :-)) |
Zitat:
MBR überschreiben hätte es auch getan Zitat:
KEINE Platte (auch neue nicht!) haben zu 100% intakte Sektoren. Es sind immer fehlerhafte da, deswegen hat auch jede Platte einen Reservebereich Findet die Firmware einen fehlhaften Sektor, wo wird dieser ausgeblendet und als Ersatz einer aus dem Reservebereich genommen |
Zitat:
--------------------------------------------- Mit der Ontrack EasyRecovery kommt man bei den zerstörten Dateien größer als 12kb auch nicht weiter. Die einzigen Bilder die prima wieder zum Vorschein gebracht werden können, sind gelöschte Bilder vom Browser-Cache. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:14 Uhr. |
Copyright ©2000-2025, Trojaner-Board