Cryptowall 4.0 - Verhindern, daß weitere Dateien verschlüßelt werden ?
 

Ich habe ein Notebook mit 2 Betriebssystemen:
Windows XP SP3 und Windows Vista auf zwei verschiedenen Partitionen. Auf einer dritten Partition befinden sich nur Dateien, keine ausführbaren Dateien, als Sammlungen:
z.B. Musik (.mp3, .wav), Bilder (.jpg, .bmp, .gif) und Filme (.mp4, . avi) etc.

Das XP-Betriebssystem arbeitet einwandfrei und sauber.
Auf dem VISTA-Sytem habe ich einen Cryptowall 4.0.
Der hat schon mehrfach zugeschlagen. Ich konnte allerdings 99.8% der verschlüßelten Dateien (.txt, Bilder, Videos, Musik) wieder herstellen mit einem Backup. (Viel Handarbeit, da auch der Dateiname UND die Endung geändert werden).
Allerdings fängt der Trojaner jedesmal wieder an Dateien zu verschlüßeln, wenn ich Vista starte.
Sobald er den Desktop hochgefahren hat, fängt das Ding wieder an, Dateien zu verschlüßeln.
Ganz egal, auf welcher Partition diese sich befinden. Er nimmt alles was er finden kann. Dabei hat der Virus immer nur bestimmte Endungen, die es verschlüßelt.

WO, in welcher ausführbaren Datei steckt der Trojaner ?
Schließlich muss das Encrypt-Programm ja irgendwo versteckt sein, und aufgerufen werden.
Und um die Help_your_Files.png - Dateien anzulegen, braucht es ja auch ein Programm.
Gibt es einen Virenscanner, der die Datei finden und löschen kann, die die Verschlüßelung hervorruft ?

Hi,

Bevor wir mit der Analyse starten mal ein paar Anmerkungen:

1. Man kann nur hoffen, dass du mit XP nicht mehr ins Internet gehst, das ist seit fast drei Jahren EOL!!!

2. Vista musst du auch bald entsorgen siehe https://heise.de/-3164355

3. Auch wenn du mit Vista den ransom ausgeführt hast, ist es sehr gut möglich, dass auch die Volumes, die dein XP benutzt, betroffen sind denn viele ransoms beschränken sich nicht nur auf das aktuelle Laufwerk C

Soweit - so klar. Allerdings scheint der Ransome keine .exe-Dateien zu infizieren. Aber in irgendeiner .exe-Datei von VISTA muss er sich verstecken. Habe mal was gelesen, daß er gerne die explorer.exe benutzt, um die Dateien zu verschlüßeln. Und auch alle (Sicherheits-) Kopien der Datei explorer.exe werden infiziert/ missbraucht.
Gibt es denn einen Virenscanner, der dies zuverlässig erkennt ?

Dafür brauchen wir keinen Virenscanner. Die üblichen Startpunkte der ransoms sehen wir mit unseren Tools.

Die wichtigeren Fragen sind eigentlich:

1. Brauchst du unbedingt Windows XP und wenn ja, gehst du damit noch ins Internet?

2. Hast du zur Kenntnis genommen, dass Vista beld genauso tot sein wird wie XP?


Bitte beantworte diese Fragen. Dann kannst du auch bitte folgenden Hinweis lesen und das erste Log mit FRST erstellen.

+++ WICHTIGER HINWEIS +++

Während der Analyse und Bereinigung nimmst du KEINERLEI Änderungen auf eigene Faust vor, d.h. du installierst oder deinstallierst keine Software ohne Absprache.
Auch veränderst du keine Systemeinstellungen, solange wir deinen Fall bearbeiten. Änderungen, Installationen oder Deinstallationen machst du AUSSCHLIESSLICH nur auf Anweisung!
Es wird erforderlich sein, deinen Virenscanner zu deaktivieren und in bestimmten Fällen auch zu deinstallieren, damit vernünftig bereinigt werden kann. Dein System ist daher erst wenn wir hier fertig sind wieder für den alltäglichen Gebrauch wie surfen oder mailen von mir freigegeben.

Gelesen und verstanden?


Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner, sind die mal fündig geworden?

Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs in CODE-Tags posten!
Relevant sind nur Logs der letzten 7 Tage bzw. seitdem das Problem besteht!



Zudem bitte auch ein Log mit Farbars Tool machen:

Scan mit Farbar's Recovery Scan Tool (FRST)

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

FRST habe ich heruntergeladen. Wie soll ich denn VISTA starten, ohne daß der Trojaner wieder Dateien verschlüßelt ?
Ist der abgesicherte Modus sicher ?
Es nutzt ja nichts, wenn ich XP starte, dann erhalte ich ja nur die Startoptionen von XP (und das ist sauber).

1. hast du meine Fragen nicht beantwortet

2. hast du doch ein Backup- oder kommst du in dein Vista nicht mehr rein?

1. XP kann ich im Moment als Notsystem nutzen. Und ich kann von dort Virenscanner ausführen und auf Dateien zugreifen.

2. Vista wird vielleicht demnächst auch nicht mehr up-to-date sein, aber die meisten Programme funktionieren ja noch.
3. Wie gesagt, in Vista komme ich rein. Aber der Cryptowall schlägt gleich wieder zu, nach dem Start.

Die Frage ob du in dein Vista noch reinkommst, wurde nicht beantwortet. Sinnigerweise müssen die Tools aus dem OS heraus gestartet werden, welches du bereinigen willst, hast du ja selbst festgestellt.

Ich komme schon noch in das Vista rein, sowohl im "normalen" Modus, als auch im abgesicherten Modus.
Was dann allerdings geschieht... keine Gewähr !

Darum gehts doch garnicht. Es geht darum, dass die FRST-Logs aus dem OS heraus erstellt werden müssen, das analysiert werden soll. Ohne die Logs kann dir niemand helfen.

So, jetzt bin ich auch mal dazu gekommen, die Log-Files zu erstellen.
Natürlich unter gestartetem VISTA. Ich konnte KEIEN neuerlichen Bedrohungen/ Infizierungen feststellen. Es wurden keine Daten verschlüßelt. Um sicher zu gehen hier die Log-Files:


FRST Logfile:
--- --- ---

Google Chrome kannst du übrigens auch wegschmeißen. Google unterstützt die alten Systeme Windows XP und Vista nicht mehr. Firefox geht noch.


Bitte Avira deinstallieren. Das Teil empfehlen wir schon seit Jahren aus mehreren Gründen nicht mehr. Ein Grund ist ne rel. hohe Fehlalarmquote, der zweite Hauptgrund ist, dass die immer noch mit ASK zusammenarbeiten (Avira Suchfunktion geht über ASK). Auch andere Freewareanbieter wie AVG, Avast oder Panda sprangen auf diesen Zug auf; so was ist bei Sicherheitssoftware einfach inakzeptabel. Vgl. Antivirensoftware: Schutz Für Ihre Dateien, Aber Auf Kosten Ihrer Privatsphäre? | Emsisoft Blog

Gib Bescheid wenn Avira weg ist; wenn wir hier durch sind, kannst du auf einen anderen Virenscanner umsteigen, Infos folgen dann im Abschlussposting.