OTLPE Network/Logfile Auswertung nicht möglich - Raid System - Verschlüsselung- Troj.

Boogeyman

Vice Admiral
Registriert
März 2005
Beiträge
6.816
Hallo, ich habe hier einen Rechner von einem Freund mit dem Windows Verschlüsselungs- Trojaner. Wenn ich aber meine die CD ( OTLPE Network) brenne (Anleitung zur Erstellung eines Logfiles bei Ransom-Trojanern (GEMA, BKA etc.))und von dieser CD boote, kann ich zwar OTLPE starten, aber ich kann den Ordner c:\windows nicht auswählen. Dort steht nur Removable Disk (C): und beim anwählen von C geht kein Verzeichnis Baum auf.

Der Rechner ist ein Dell Dimension 9150 und hat wie es ausieht ein RAID System, mit Windows XP Media Center Edition 2005.

Was ich möchte:

  • Zugriff auf den Rechner haben und die wichtigen Daten sichern
  • die ev. verschlüsselten Dateien entschlüsseln
  • den Rechner neu aufsetzen


Welche gut gemeinten Tipp ich nicht brauche:

  • Windows sofort neu installieren (Das wird umfangreicher Analyse und Datensicherung auch ev. gemacht)

Vorab schon mal vielen Dank, ev. kann ja emlyn d. dazu was sagen
 
Zuletzt bearbeitet:
kommst du in den abgesicherten modus

Nein, beim abgesicherten Modus kommt ein Bluescreen
Hier mosert der Scanner es wäre zu wenig Speicher vorhanden, auch kann man die Virensignaturen nicht aktualisieren. (Auch mit Avira AntiVir Rescue System, kann man seine Signaturen nicht aktualisieren) Auch beendet sich der Scan mit alten Signaturen nach wenigen Sekunden und natürlich wird auch nichts gefunden.
http://www.hirensbootcd.org/download/, um wieder zugriff auf den desktop zu bekommen?
Mit dem Mini XP hat man Zugriff auf die Festplatte, was soll man da jetzt machen?

Vorab schon mal vielen Dank
 
Zuletzt bearbeitet:
hallo,
bekommst du eine internetverbindung, um z.b. mbam und sasw zu updaten?

ich habe es nicht ausprobiert, aber der decrypter, der in java geschrieben ist, sollte doch z.b. auch mit http://www.linuxmint.com/edition.php?id=81 funktionieren.
 

Anhänge

  • hiren av.jpg
    hiren av.jpg
    75,7 KB · Aufrufe: 265
bekommst du eine internetverbindung, um z.b. mbam und sasw zu updaten?

Internetverbindung schaut schlecht aus, Malwarebytes Antimalware lässt sich überhaupt nicht starten, SuperAntispyware lässt sich zwar starten, aber mit Updaten geht da auch nichts.

Habe jetzt aber mal mit SuperAntispyware einen Scan Vorgang gestartet und der hat jetzt schon mal ein "Adware Vundo/Variant- MSFake" gefunden. Das ist doch der Verschlüsselungs Trojaner? Der Scan läuft aber gerade noch...
Wie soll ich vorgehen, soll ich den Scanner den Vundo löschen lässen?

Ergänzung:
Habe jetzt SuperAntispyware mal löschen lassen (der findet das übrigens auf Laufwerk X, auf dem das befallene Windows System überhaupt nicht läuft), System neu gestartet, aber trotzdem ist das "Problem" weiterhin (unverändert) vorhanden.
Mit der Hiren Boot CD habe ich aber Zugriff auf die Festplatte und es gibt einen Registry Editor. Wenn mir jemand sagen kann, was ich bearbeiten, oder löschen soll, wäre das ev. auch hilfreich.
 
Zuletzt bearbeitet:
die funde sind fehlalarme von dateien der cd.

wlan klappt hier ohne probleme.
Wireless Setup anklicken, erst adapter auwaehlen, dann unter WiFi das netzwerk, und den schluessel eingeben.

mbam gibt bei mir erst eine fehlermeldung, aber nach Press any key to continue funktioniert es.
antivir macht keine probleme, und sollte internet bei dir doch noch funktionieren, waere cureit eine weitere option.

mit den registrygeschichten habe ich noch nicht gearbeitet.
vielleicht hilft dir das http://www.avira.com/de/support-for-home-knowledgebase-detail/kbid/1253 weiter.
 
Das ist der Übeltäter
https://www.virustotal.com/file/45b89fbba8c48c16650e33d5298d0ed56efe1df5028ef895116372dd8590d3eb/analysis/
die funde sind fehlalarme von dateien der cd.
Habe ich auch vermutet
wlan klappt hier ohne probleme.
Wireless Setup anklicken, erst adapter auwaehlen, dann unter WiFi das netzwerk, und den schluessel eingeben.
Der Rechner hat keine Wlan, hab hier aber noch einen AVM Wlan Stick rum liegen. Ich mache mir da aber wenig Hoffnung, das dies auf Anhieb funktioniert.
mbam gibt bei mir erst eine fehlermeldung, aber nach Press any key to continue funktioniert es.
Fehlermeldung bei mir keine, nach "Press any key to continue" kommt die Auswahl: 1. Start/ 2. Update Definition an Run usw. Beim auswählen von 1. kopiert Malwarebytes kurz was und schließt sich dann selbstständig.

Wenn alle Stricke reißen, kopiere ich die Befallenen (verschlüsselten) Dateien (mit der Hiren CD), auf die D Partition und schmeiß die Recover Partition an. Ich hab bald die Faxen dick. :evillol:

Das versuch ich aber erst wieder morgen, heute reicht es. Danke trotzdem für die Hilfe. :daumen:

Ergänzung:
So, habe die relavanten Daten gesichert und den Recover Modus vom Rechner angeworfen. Jetzt muss ich noch die verbliebenen Dateien entschlüsseln, falls das überhaupt noch geht.
 
Zuletzt bearbeitet: (Update)

Ähnliche Themen

Zurück
Oben