Habe mir auf meinem PC, Win7 Home, "intelligenterweise" den offensichtlich erst neueren Trojaner TR/Matsnu.EB.120 eingefangen.
Das grüne Fenster der Bundespolizei mit der Geldüberweisungsforderung habe ich sofort unterdrückt durch Spannungsunterbrechung.
Aus einem Forum erging einmal der Hinweis, den PC sofort im abgesicherten Modus neu zu starten und einen Vollscan auszuführen.
Avira Antivir lief darüber und wies den TR/Matsnu.EB.120 aus. Nach Übernahme in die Quarantäne habe ich den dann gelöscht.
Gleichzeitig hatte ich die Systemwiederherstellung von einer Woche vorher aktiviert. Alles lief wieder normal, doch die Dateien ließen
sich nicht öffnen, die Verschlüsselung blieb. Frage, wie kann ich wieder meine Daten aufrufen? Die Ordner waren ungeändert erhalten geblieben, bloß eben die Dateien nicht.
Bitte, kann mir geholfen werden? Besten Dank im voraus.
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge
Bis auf die Netztrennung waren alle deine Maßnahmen nutzlos und brachten dir kein vertrauenswürdiges System zurück.
Der PC ist komplett neu aufzusetzen. Die verschlüsselten Dateien sind ohne Backup futsch - zumindest, wenn du eine der neueren Versionen der Malware erwischt hast. Bei den älteren kann man manchmal die Daten wiederherstellen. Ich schrieb dazu mal was... Nur bei Bildern lässt sich eventuell ein Teil retten, wenn bzw. weil nur die Datei-Header verschlüsselt wurden.
In dem Fall hilft ein Tool wie JPEGSnoop.
Gleichzeitig hatte ich die Systemwiederherstellung von einer Woche vorher aktiviert.Und genau hier liegt die Crux!
Hättest du deine Platte auf eine 2.Platte gespiegelt, wäre in 10-20 Minuten wieder alles erledigt gewesen.
Über das Thema gibt es hier unendliche Threads...
Wie schon erwähnt, Neuinstallation ist angesagt...
Gruß
Es kommt darauf an, und zwar auf den Trojaner, wie intelligent der programmiert wurde, und wann Du den Netzwerkstecker gezogen hattest !
Ich erwähne dies nur für andere, die den Thread mal lesen können.
Als erstes, den gröbsten Dreck mit Kaspersky Rettungs CD mit integrierter Windowsunlockerfunktion reinigen lassen und zwar in dem von CD gestartet wurde, eventuell Bootreihenfolge umstellen.
Dann den PC starten n und schauen ob noch irgendwelche Fehlermeldungen erscheinen....
Wenn ja den PC mittels des Tools Malwarebytes untersuchen lassen. Meist findet der noch was, logischwerweise vorher das Tool updaten lassen.
Dann müsste Dein PC wieder sauber sein, unter verschlüsselte Daten gibt es auch mehrere Varianten. Dateien die so oder ähnlich lauen "eXDaspdtVxdJgurvoynjo" lassen sich nicht mehr wiederherstellen, da asynchron verschlüsselt, und das könnte nur der Trojanerprogrammierer selbst, und der wird einen Teufel tun....
Ansonsten:
http://www.trojaner-board.de/114783-verschluesselungs-trojaner-tools-ubersicht.html
http://www.malte-wetz.de/wiki/pmwiki.php/De/RemovalTools
http://www.malte-wetz.de/wiki/pmwiki.php/De/VirenEntfernen
http://www.ostblog-online.de/ukash-trojaner-sicher-entfernen/#comment-485
Und wichtig:
http://www.trojaner-board.de/115468-daten-entschluesseln-neuem-ukash-trojaner.html
Aber wenn Du so Dinge machst wie Onlinebanking, Steuererklärung Online, oder Email, würde ich Dir raten alle Passwörter zu ändern ohne wenn und aber "Ausreden wie muss das sein deuten von gnadenloser Dummheit, und sind durch nichts zu entschuldigen"
Und denke darüber nach wieso die Dinger auf Deinen PC kamen, Unlust den PC nach Sicherheitslücken abzuchecken, als da wären Flash Player, Java, Javascript, Windows Updates etc.
Dann müsste Dein PC wieder sauber sein
Wieso wiederholst du diese fahrlässige Wunschvorstellung immer wieder? MÜSSTE! Kein Virenscanner arbeitet zuverlässig. Auch keiner, der von CD gestartet wird, damit er nicht auf dem infizierten System manipulierbar ist.
Immer wieder wird ignoriert, dass es hier nicht nur um diese eine, absichtlich auffällige Malware geht, sondern dass weitere längst unbemerkt an Bord sein kann, weil der User sein System bewiesenermaßen nicht pflegt und kein wirksames Sicherheitskonzept hat. Wäre dies der Fall, hätte der Verschlüsselungstrojaner nicht zuschlagen können.
Nach der Infektion ist das einzig Sichere, das man über dieses System sagen kann, dass des kompromittiert und nicht mehr vertrauenswürdig ist und das bleibt so, bis man es komplett neu aufsetzt.
Kein Tool, kein Scanner und kein manuelles Pfriemeln ändert was daran.
Du hast Deine ich meine Meinung und......
Aber das Wichtigste hast du vergessen: Die Festplatte ausbauen und gründlich mit Schlangenöl reinigen.
Jetzt mal ernsthaft; ich zitiere aus einem von dir verlinkten Beitrag:
http://www.malte-wetz.de/wiki/pmwiki.php/De/RemovalTools
Jeder Versuch, einen Schädling durch ein Programm sicher zu beseitigen, muss scheitern. Es kann klappen. Muss es aber nicht. Und man kann hinterher nicht sicher wissen, ob es nun geklappt hat oder nicht. Man spielt russisches Roulette.
Diejenigen, die mir nicht glauben: Microsoft sieht das übrigens ganz genau so.
Ein Mensch könnte das schaffen. Aber es wäre natürlich nicht mit dem Löschen einiger Dateien getan, sondern man muss sicherstellen, dass eben keine weiteren Heimtücken auf dem System sind. Dazu ist eine eingehende Analyse des Systems unter kontrollierten Testbedingungen erforderlich, was sehr zeitaufwendig ist (und die entsprechenden Spezialisten wollen dafür auch nicht zu knapp bezahlt werden).
Der Aufwand lohnt sich daher so gut wie nie für einen Heimanwender.
Der einzig sichere Weg...
...ist das "Plattmachen". Also die vollständige Löschung des Systems (am besten durch Formatierung) und die folgende Neuinstallation.
Anfangs vielleicht ein erschreckender Gedanke ("Huch, ich soll alles neu installieren?"), aber letztlich die einzige Methode, die den Rechner mit vertretbarem Aufwand wieder in einen wohldefinierten Zustand versetzt. Die Neuinstallation samt Einrichtung und Konfiguration aller Software mag ein oder zwei Tage dauern, aber danach kann man auch sicher sein, dass einem der Rechner wieder gehört. Ein Ende mit Schrecken, sozusagen.
Mal ganz abgesehen von UNSEREN Differenzen: Du widersprichst dir doch selbst. Du verlinkst Beiträge von Malte Wetz, der im Detail begründet, warum ein "Bereinigen" mit Virenscannern EBEN NICHT zuverlässig funktionieren kann und daher auch nicht empfehlenswert ist und erzählst selbst vorher das Gegenteil. Ich glaube, du hast das von dir Verlinkte gar nicht gelesen und wenn doch, dann nicht verstanden.
Du widersprichst dir doch selbst
dagegen einem der eine Installtions-DVD hat oder besser noch ein Image empfehler ich die Radikallösung.
Aber so wie Du, nur auf einer rosaroten Wolke zu schweben, fernab der Wirklichkeit, hilft keinem der 99% an User. Und die Leute kannst und wirst Du nicht missionieren mit Deiner Meinung.........
Die denken sich doch, LMAA "ich installier doch nicht meinen PC neu, wegen eines Virus oder Trojaners".
Die jammern hinterher zwar, wenn das Konto möglicherweise leergeräumt wurde aber ich lächle nur und sage "Denke daran was ich Dir vor xxx Wochen sagte".
Ich bin nicht eine Missionar, ein Pfarrer oder der Papst........
Du verkennst den Unterschied von missionieren (Glauben) und Sicherheit (Wissen)Und die Leute kannst und wirst Du nicht missionieren mit Deiner Meinung..
Die jammern hinterher zwar, wenn das Konto möglicherweise leergeräumt wurde aber ich lächle nur und sage "Denke daran was ich Dir vor xxx Wochen sagte".Das ist dann schon mehr als Arrogant, da Du doch den Blödsinn (falsche Tipps) verzapfst hast.
Ich kann dem nur Beipflichten!
Ein kompromittiertes System bleibt ein kompromittiertes System und ich ich finde es fahrlässig Tipps zu verbreiten, die letztendlich zu Lasten des Users gehen, dessen System versifft ist.
Wenn dann etwas passiert, ist der Tippgeber fein raus, wäscht seine Hände in Unschuld, denn er hat ja immer nur von "könnte, müsste, vielleicht usw." gesprochen.
Wie hier schon mit Nachdruck ausgesagt wurde, hilft nur ein erneutes Aufsetzen des Systems und sonst absolut nichts, will denn der User die Gewissheit haben, dass sein System wieder absolut sauber ist..
Gruß
luttyy
Ein praktisches Beispiel für Begriffstutzige, Du eventuell nicht ! Kunde A hat einen Trojaner auf dem PC: Frage: Hast Du die Installations CD, Antwort nein, woher auch ich bin umgezogen, hab die nicht mehr. Antwort 2, ich kaufe doch keine Lizenz mehr Frage: Hast Du ein Image: Antwort Was ist das ! Testen: Funktioniert die Windows Wiederherstellung Selbst getestet Nein Frage von mir: Was sollen wir tun, machst Du Online Banking Antwort nein. Kunde: Richte den PC wieder her so dass er funktioniert, alles andere ist mir egal....................................................... Ich prügle keinen zu seinem Glück, ich hätte auch sagen können, such Dir einen anderen............... So und jetzt kommen die Schlauberger und Besserwisser.
Da muss ich dir vehement widersprechen!
Ich würde niemals ein System gerade so wieder herstellen, dass es läuft.
Wenn du heute mit abgelatscher Bremsanlage deines Autos in die Werkstatt fährst, wird dir diese niemals neue Bremsbelege auf eine heruntergekommene Bremsscheibe einbauen.
Entweder richtig oder gar nicht, und wenn nicht, dann kommst du aus der Werkstatt nur noch mit Unterschrift auf eigenes Risiko raus!
Wenn sie es doch macht, ist das eine Scheißfirma und der ist der Kunde und die Folgen egal, Hauptsache Kohle ist reingekommen.
Niemals würde ich eine PC gerade so zum laufen bringen. Das ist absolut unseriös und widerspricht schon meinen Prinzipien, richtig oder gar nicht.
Für so eine Dünn-Drüber-Reparatur stehe ich nicht zur Verfügung und mein guter Name bleibt erhalten.
Pfuscher und Halbwissende gibt es genug, soll sich der Betroffene dann eben so einen suchen...
Gruß
Ich prügle keinen zu seinem Glück
Nein. Du sorgst dafür, dass versiffte Kisten wieder ans Netz gehen können.
Sich verantwortungsbewusst und in deinem Fall (wenn das wirklich zahlende Kunden sind) professionell zu verhalten, sollte selbstverständlich sein. PC-Schrauber wie dich gibts leider viel zu viele.
Begriffsstutzig bist du.
Hallo, wenn ich auf Wunsch des Kunden respektiere, ein System vor einer Neuinstallation zu bewahren weil gewisse Voraussetzungen nicht da sind, dann komme mir nicht mit falschen Tipps. Das hat mit Arroganz überhaupt nichts zu tun, im Gegenteil ich schone meine Nerven und muss nicht jedesmal denselben Mist verzapfen, wie andere hier. Was die anderen von sich geben ist Gut und Recht kann aber nicht auf Leute projeziert werden, die gänzlich eine andere Auffassung vonm PC haben und diesen nicht als Hobby einsetzten, weil Sie sonst nichts zu tun haben.
Das hat mit Arroganz überhaupt nichts zu tun, im Gegenteil ich schone meine Nerven und muss nicht jedesmal denselben Mist verzapfen, wie andere hierHallo
Die letzten beiden Absätze in deinem ersten Post klingen da ganz anders, bestimmter. Das klingt alles nicht nach einem Eroberer, vielleicht solltest du dich in Zukunft statt "Conquerer" besser "Lethargo" nennen :-)
Ein kontaminiertes System schadet nicht nur deinen "Kunden", es kann auch alle anderen treffen, die nur ganz zufällig mit dem PC Kontakt aufnehmen, ich würde mir solche Schritte lieber noch mal überlegen.
-groggyman-
vielleicht solltest du dich in Zukunft statt "Conquerer" besser "Lethargo" nennen :-)
Wobei man erwähnen sollte, dass sich das Conquer o r schreibt. Daher vielleicht lieber Leth e rgo oder L ä thargo
Sorry, solltest Du wirklich beruflich an anderer Leute PC rumfummeln, dabei Deine Nerven vor deren Sicherheit stellst, dann würde ich mich an deiner Stelle nach einem Beruf umschauen der weder Deinen Nerven noch die Sicherheit der Umwelt schadet.
Da wundert man sich nicht mehr wenn von 100000x Botnetzteilnehmern die Rede ist.
Ich missioniere nicht, sondern ich lege die hässlichen Fakten auf den Tisch. Du bist derjenige, der missioniert und die Welt rosarot sieht bzw. darstellt. Du bist es, der den Usern unberechtigte Hoffnungen macht, die dazu führen, dass ihre Kisten versifft bleiben.
aber ich lächle nur und sage "Denke daran was ich Dir vor xxx Wochen sagte"
Klingt nicht gerade freundlich, sondern eher gehässig. Für jeden deiner "Kunden" ein Schlag ins Gesicht. Nett.
es kommt auf den Einzelfall an
Nein. Welchen EINZELFALL meinst du da? Ob nun ein Image existiert oder nicht - das aktuelle System, um das es jeweils geht, ist kompromittiert. Die Daten sind nicht mehr vertrauenswürdig (und diesmal odendrein verschlüsselt). Unabhängig von der Verschlüsselung, die nur bei den älteren Versionen knackbar war, BLEIBEN auch die übrigen Daten solange obskur, bis das System neu aufgesetzt wurde.
dem rate ich zur Reparaturmaßnahme mit den Einschränkungen die er dann zur Kenntniss nehmen muss
Diese Einschränkungen hast du weder hier benannt (System ist kompromittiert, weitere Malware kann aktiv bleiben) noch sind diese "Einschränkungen" für einen Anwender hinnehmbar.
Ich bin nicht eine Missionar, ein Pfarrer oder der Papst.
Da du aber den Leuten mit deinen Tipps und deinen Widersprüchen nicht hilfst, sondern schadest, solltest du ähnliche Konsequenzen ziehen wie letzterer.
BTW: Du vermengst da zwei Redensarten: auf einer Wolke schweben und die Welt durch eine rosarote Brille sehen.