ComputerBase Menü
Aktuelles

Verschlüsselungstrojaner eingefangen...

S

Siggi86

Ensign
Registriert
Aug. 2009
Beiträge
215
Hallo Leute,
meine Freundin hat sich einen Verschlüsselungstrojaner eingefangen...Sie hat eine Email bekommen und scheinbar auf den Anhang geklickt...

Auf jeden Fall kommt immer ein Fenster, in dem man Geld überweisen muss. Alle Dateien sind verschlüsselt und man nichts machen.

In den abgesicherten Modus kommt sie auch nicht...Was kann man noch machen? Über die Eingabeaufforderung irgendetwas?

habe diesen link gefunden: http://support.kaspersky.com/de/viruses/solutions?qid=208641247

und ein video wie man den gema virus entfernt: http://www.youtube.com/watch?v=Rme1NLkXvYw

Geht das auch mit dem Virus? Falls ich auf den Desktop komme, kann ich eine Systemwiederherstellung machen oder bringt das nichts mehr?

Es geht um wichtige Dateien von ihrem Studium, die sie nicht auf dem neusten Stand gesichert hat. Gibt es überhaupt eine Chance oder bringt es nur was das gesamte System neu aufzusetzen?

Über eure Ratschläge bin ich dankbar.

P.S.: System ist Windows XP Prof.

MfG
 
Zuletzt bearbeitet:
linux-live-cd -> daten sichern -> win neuaufsetzen
 
Das ist alles was mir dazu einfällt.

Wenn die Verschlüsselung gut ist kommst du nicht mehr an die Daten die bereits verschlüsselt wurden. Der Sinn ist ja den Nutzer des PCs zu erpressen das Passwort zu kaufen -> Ransom-Ware eben.
 
Zuletzt bearbeitet:
danke für die schnelle antwort.
kannst du mir das bitte näher erklären mit der linux live cd? habe davon noch nichts gehört...
 
Zuletzt bearbeitet:
  • lad dir eine linux version herunter
  • brenne die iso auf ne dvd/cd
  • ins BIOS gehen und die bootreihenfolge ändern (DVD/CD-laufwerk auf die erste position)
  • linux von der DVD/CD starten (keine installation notwenidig!)
  • daten auf eine externe platte/usb-stick ziehe -> win neuaufsetzen
 
@Siggi86: Ganz einfach, du lädst dir das hier runter:
https://www.computerbase.de/downloads/betriebssysteme/ubuntu/
brenne dann das Image auf eine Disc, schmeiße diese dann in deinen Rechner, es kommt ein Menü, dort wählst du "Try Ubuntu" & dann kommst du in den Live Modus, sprich das Betriebsystem wird von der Disc gebootet & du kannst deine Daten dann kopieren.
 
Für das Linux Live: Einfach die Datei runterladen und auf ne CD/DVD brennen. Einlegen, das Laufwerk zum booten auswählen und dann startet das von der CD. Dort wichtige Daten auf nen Stick oder so kopieren. Man findet sich gut zurecht, habs letztens auch benutzt.
 
Man sollte hier ziemlich vorsichtig vorgehen, wenn man noch was retten will. Als erster Ansatz würde ich mal den "Abgesicherten Modus mit Eingabeaufforderung" verwenden - in diesem kann der Trojaner nicht mitstarten und die HDD ist unter Windows eingebunden. Das gefährliche an Linux und älteren Windowsversionen ist, dass dort die Schattenkopien verloren gehen können - meist sind diese die einzige Möglichkeit noch Daten zu retten. ie Verschlüsselungsgeschwindigkeit des Trojaners ist enorm, da dieser nur ein paar KB der Datei verschlüsselt, was meist jedoch zum Zerstören ausreichen sollte - daher würde ich wirklich zunächst versuchen mit der Eingabeaufforderung im abgesicherten Modus auszukommen und keine Experimente im normalen abgesicherten Modus durchzuführen.

EDIT: Die Tools zum Entschlüsseln funktionieren nur mit alten Versionen des Trojaners - wenn man Pech hat gibt es keine Möglichkeit zur Entschlüsselung.
 
wow das ist ja super, und der virus meldet sich da nicht mehr? er ist ja auf der festplatte drauf...sind die daten dann durch die linux live cd nicht mehr verschlüsselt? ich werde es morgen auf jeden fall probieren und euch rückmeldung geben.

vielen dank!

das macht schonmal hoffnung...

@brubbelmichi: genau das ist der virus.

danke auch für die anderen tipps.

Edit: @ Simpson474: danke für deine einschätzung. würdest du es also nicht mit der linux-live-cd probieren? soll ich dann in der eingabeaufforderung so vor gehen wie in dem youtube-video?
 
Zuletzt bearbeitet:
Die Videos sind meist nicht wirklich hilfreich, da es schon viele Versionen des Trojaners gibt. Meist muss man alle möglichen Autostartoptionen (Autostart, System/Benutzer "Run"-Schlüssel in der Registry, "userinit"-Schlüssel in der Registry, Image Files in der Registry) absuchen, damit man das Teil endgültig losbekommt. Ich sehe jedoch gerade, dass Windows XP im Einsatz ist - dort ist die Schattenkopie noch nicht funktionsfähig, du kannst also auch Linux verwenden ohne Gefahr zu gehen, weitere Dateien zu zerstören - allerdings sind die Chancen bei Windows XP alles andere als gut.
 
Zuletzt bearbeitet:
Wenn du die Daten mit einer Linux CD sicherst, bleiben die natürlich verschlüsselt. Ich sichere Daten meisten mit der Hiren's BootCD 15.1 , dort ist ein Mini XP dabei, damit kannst du z.B. die Daten auf der C, auf eine andere Partition schieben.

Ist Ihr PC von der Bundespolizei, GEMA, BKA oder anderen Institutionen gesperrt?

Übrigens, den infizierten Rechner keinesfalls an lassen und den Erpresser Screen bewundern! Der Trojaner braucht eine gewissen Zeit, um die eigenen Dateien zu verschlüsseln.
 
Zuletzt bearbeitet:
Ich finde in dem Video wird gut die grundlegende Vorgehensweise gezeigt, wie man es machen könnte, falls man nicht das System neu aufsetzen will.
Das Hauptproblem wird wohl sein, die Dateien wieder entschlüsselt zu bekommen. Dazu müsste man herausfinden welche Version des Virus vorliegt und eventuell in einschlägigen Boards stöbern, ob es Tools gibt, womit man das ganze wieder entschlüsseln kann.
Ansonsten sehe ich leider schwarz für die Dateien, falls der Rechner nach der Infizierung lange genug lief, damit die Daten verschlüsselt werden konnten.
 
ok ich werde es morgen versuchen...sind eigentlich nur die daten von C verschlüsselt oder auch von der 2. partition?
 
Kommt ev. auf die Version des Trojaners an, ich hatte hier ein Exemplar, das hat die komplette Festplatte verschlüsselt. (auch andere Partitionen)
 
Ok Danke für die Rückmeldung. Ich werde es morgen mit einer Live Cd probieren...Kann man das System in einen früheren Zustand versetzen über die Eingabeaufforderung? Oder kann man den Virus dadurch nicht entfernen?
 
Boogeyman schrieb:
Kommt ev. auf die Version des Trojaners an, ich hatte hier ein Exemplar, das hat die komplette Festplatte verschlüsselt. (auch andere Partitionen)
Zum Vergrößern anklicken....
Bei manchen wurde sogar noch das komplette NAS verschlüsselt.
 
Siggi86 schrieb:
Ok Danke für die Rückmeldung. Ich werde es morgen mit einer Live Cd probieren...Kann man das System in einen früheren Zustand versetzen über die Eingabeaufforderung? Oder kann man den Virus dadurch nicht entfernen?
Zum Vergrößern anklicken....
Anleitung im unteren Link lesen! Oder du machst eine Wissenschaft daraus, und liest dich beim http://www.trojaner-board.de/ ein.
Boogeyman schrieb:
Wenn du die Daten mit einer Linux CD sicherst, bleiben die natürlich verschlüsselt. Ich sichere Daten meisten mit der Hiren's BootCD 15.1 , dort ist ein Mini XP dabei, damit kannst du z.B. die Daten auf der C, auf eine andere Partition schieben.

Ist Ihr PC von der Bundespolizei, GEMA, BKA oder anderen Institutionen gesperrt?
Zum Vergrößern anklicken....
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

C
Virus eingefangen? - Programme und Prozesse werden automatisch geschlossen
2
Antworten
22
Aufrufe
2.001
BFF
BFF
Holzohrwascherl
Vorbeugende Maßnahmen gegen Verschlüsselungstrojaner
Antworten
16
Aufrufe
2.723
fgordon
F
M
Wahnsinns Virus von Russen eingefangen
2
Antworten
37
Aufrufe
5.759
MokTripleA
M
Holzohrwascherl
Schutzmaßnahme vor Verschlüsselungstrojanern
Antworten
16
Aufrufe
2.963
Holzohrwascherl
Holzohrwascherl
V
altes Verschlüsselungsprogramm mit Endung .%%% gesucht
Antworten
5
Aufrufe
1.583
eweu
E
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz