You are not logged in.

Friday, August 22nd 2014, 9:38pm

The Avira Forum will be moved to the new platform Avira Answers soon. We'll make the transition of existing user profiles and threads as smooth as possible.
New visitors are able to log in on Avira Answers with the existing Avira account directly or sign up with a new account.

  • "daniel11" started this thread

Date of registration:
May 9th 2012

Version:
Avira Free Antivirus

Operating System:
Windows XP

  • Send private message

1

Thursday, May 10th 2012, 12:59am

Virus: Trojanische Pferd TR/Crypt.Gypikon.C.2

Hallo zusammen,

zum einen möchte ich gerne über den o.g. Verschlüsselungstrojaner informieren, aber zusätzlich erhoffe ich mir auch Hilfe dazu. Es scheint eine neue Form des Trojaners zu sein.

Ich habe eine Email mit Zip-Anhang bekommen. Ausversehen habe ich die enthaltene Datei (wahrscheinlich .exe) ausgeführt. Ab diesem Zeitpunkt war der Zugriff auf den Computer gesperrt. Selbst der Abgesicherte Modus lässt sich nciht mehr ausführen.
Ich habe die Festplatte ausgebaut und in einem anderen Computer angeschlossen. Folgende Datei hat AntiVir erkannt:

Quoted

"Die Datei 'H:\WINDOWS\system32\46E26E5A00A70B34268A.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.Gypikon.C.2' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.
Ich habe den Avira Ransom File Unlocker 1.0.1 ausprobiert, doch leider ohne Erfolg:

Quoted

Please select another pair of locked / original files.
The given pair does not match.
Sämtliche weitere Tools von www.trojaner-board.de brachten keinen Erfolg:

Quoted

Vorgehen beim Verschlüsselungs-Trojaner (Übersicht der 6 Tools) Lizenz-Trojaner

1. Starte einen vollständigen Scan mit Anleitung: Malwarebytes Anti-Malware und Entferne die Trojaner-Funde.

2. Die verschlüsselten Dateien mit unserem DecryptHelper von Matthias entschlüsseln. (Java wird benötigt)
alternativ: Avira Ransom File Unlocker oder Tool von Dr. Web oder ScareUncrypt von BitFox


Was kann man noch versuchen? Hilft es, wenn ich verschlüsselte Dateien bereitstelle? Windows habe ich bereits aufgegeben, doch meine Daten benötige ich unbedingt wieder. Danke im Voraus für eure Hilfe.

Viele Grüße
Daniel




* Bild link gelöscht
rajo

This post has been edited 1 times, last edit by "Rajo" (May 10th 2012, 10:58am)


Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

2

Thursday, May 10th 2012, 10:54am

Moin Daniel

Dich hat die Neue Variante der Verschlüsselungs Trrojaners erwischt -
bisher gibt es noch kein Programm welches greift

**

Rajo
Telepolis
Dieses Forum dem ich lange Jahre "gedient" habe, wird bald aus unverständlichen Gründen geschlossen - Ich bleibe bis zum Schluss hier! - und mache mit Beate, Nobbi und weiteren Helfern das LICHT aus ! Ihr ALLE wart SUPER !

This post has been edited 1 times, last edit by "Rajo" (May 10th 2012, 10:58am)


Date of registration:
May 10th 2012

Version:
Avira Antivirus Premium

Operating System:
windows xp, 7, Linux

  • Send private message

3

Thursday, May 10th 2012, 11:00am

Ich habe den gleichen Trojaner seit heute früh auf dem Rechner. Da sind Firmendaten drauf.
Bringt es was auf die Zahlungsveriante einzugehen?
Den Rechner neu einzurichten und Sicherungen zurückspielen ist zeitaufwändig (Kosten-Nutzen)

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

4

Thursday, May 10th 2012, 11:06am

Bringt es was auf die Zahlungsveriante einzugehen?
Den Rechner neu einzurichten und Sicherungen zurückspielen ist zeitaufwändig (Kosten-Nutzen)



Nein - nicht Zahlen !

damit wirst du auch nicht entschlüsseln -
das sind GAUNER !!

2 schritte - sicherung des jetztzustands
dann die alte Sicherung zurückspielen



Rajo
Telepolis
Dieses Forum dem ich lange Jahre "gedient" habe, wird bald aus unverständlichen Gründen geschlossen - Ich bleibe bis zum Schluss hier! - und mache mit Beate, Nobbi und weiteren Helfern das LICHT aus ! Ihr ALLE wart SUPER !

Date of registration:
May 10th 2012

Version:
Avira Antivirus Premium

Operating System:
Win7

  • Send private message

5

Thursday, May 10th 2012, 11:07am

Lösung

Moin

Hab auch zwei Rechner von Kunden mit dem Virus und konnte die verschlüsselten Dateien erfolgreich wiederherstellen.

Folgendes Tool habe ich verwendet.
http://www.trojaner-board.de/114548-scar…te-dateien.html

Weitere Infos später

Gruß

Björn :P

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

6

Thursday, May 10th 2012, 11:08am

Hast du denn das Avira Tool schon ausprobiert - ??

ich verkinke das nachher hier zu uns
TBoard ist down zur Zeit -

Rajo
Telepolis
Dieses Forum dem ich lange Jahre "gedient" habe, wird bald aus unverständlichen Gründen geschlossen - Ich bleibe bis zum Schluss hier! - und mache mit Beate, Nobbi und weiteren Helfern das LICHT aus ! Ihr ALLE wart SUPER !

Date of registration:
May 10th 2012

Version:
Avira Antivirus Premium

Operating System:
Win7

  • Send private message

7

Thursday, May 10th 2012, 11:20am

Hallo

Nein! Das hat laut meinem Arbeitskolegen nicht funktioniert.

Gruß

Björn

Date of registration:
May 10th 2012

Version:
Avira Antivirus Premium

Operating System:
Win7

  • Send private message

8

Thursday, May 10th 2012, 11:23am


Date of registration:
May 10th 2012

Version:
Avira Antivirus Premium

Operating System:
windows xp, 7, Linux

  • Send private message

9

Thursday, May 10th 2012, 11:24am

Grundsätzliche Frage zu einem möglichen Rettungs-/Entschlüsselungs-Tool:
Sind das Rescue-Systeme mit denen sich der Rechner starten läßt oder muß die befallene Festplatte ausgebaut und an einem funktionierendem System "behandelt"werden?

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

10

Thursday, May 10th 2012, 12:37pm

Viele Fragen beantworten sich durch studieren von
diesem Thread
http://forum.avira.com/wbb/index.php?pag…839#post1175839

Das Ablauf- Schema:

Schritt 1
entsperren des Rechners und aufspüren und Entsorgen des
encrypters - wichtig !
das passiert mit OTLPE - in 2 schritten - unter spez Anleitung
mit OTLPE wird ein log des Rechners ertellt -
dann wir ein Fix log erstellt - und mit OTLPE wird der Schädling entsorgt -

Jetzt kann das System wieder nomal hochgefahren werden

Schritt 2
Decrypten
mit Avira Ransom Unlocker
Gibt es hier ....

dazu werden die orig. Beispielbilder
der Systeme benötigt :

links folgen ........

Beispielbilder XP ungelockt - Wallpaper XP

Rajo
Telepolis
Dieses Forum dem ich lange Jahre "gedient" habe, wird bald aus unverständlichen Gründen geschlossen - Ich bleibe bis zum Schluss hier! - und mache mit Beate, Nobbi und weiteren Helfern das LICHT aus ! Ihr ALLE wart SUPER !

This post has been edited 1 times, last edit by "Rajo" (May 10th 2012, 1:31pm)


Date of registration:
May 10th 2012

Version:
Avira Antivirus Premium

Operating System:
windows xp, 7, Linux

  • Send private message

11

Thursday, May 10th 2012, 1:00pm

Schritt 1 mit dem Avira Life Scanner ?

die original Bilddateien, sind das Bilder auf meinem Rechner vor und nach der Verschlüsselung?

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

12

Thursday, May 10th 2012, 1:39pm

Schritt 1 mit dem Avira Life Scanner ?

Nein OTLPE - ein OTL was auf CD bootbar ist - da der Rechner ja im moment nicht hochfährt !

1- Bitte vermeidet es die Platte an fremde Rechner anzuschließen - das ist wirklich mit einigen Schädlingen nicht zu machen -
das sage ich grundsätzlich

2- bitte decrypten grundsätzlich mit Kopien ! Decrypter die gleich das Original überschreiben sind absolutes NO GO




die original Bilddateien, sind das Bilder auf meinem Rechner vor und nach der Verschlüsselung?

Du hast nur gelockte Bilder auf dem befallenen Rechner - daher der Link zu ORIGINAL Beispielen - Windows Wallpaper
dein XP pfad >> C:\WINDOWS\Web\Wallpaper


der unlocker braucht ein locked- bild und ein sauberes - ! um daraus den Patch zu rechnen
der dann auf den Rest der dateien angewandet wird.

  1. Der neue Typ des Schädlings lässt sich bisher noch nicht unlocken ....


Rajo
Telepolis
Dieses Forum dem ich lange Jahre "gedient" habe, wird bald aus unverständlichen Gründen geschlossen - Ich bleibe bis zum Schluss hier! - und mache mit Beate, Nobbi und weiteren Helfern das LICHT aus ! Ihr ALLE wart SUPER !

This post has been edited 2 times, last edit by "Rajo" (May 10th 2012, 1:48pm)


Date of registration:
May 10th 2012

Version:
Avira Antivirus Premium

Operating System:
windows xp, 7, Linux

  • Send private message

13

Friday, May 11th 2012, 3:10am

(Teil)-gelöst

Mein Rechner funktioniert wieder.
Anscheinend arbeitet der Verschlüsseler nicht so schnell, hat nur 10 Dateien bei mir verschlüsselt. Die kann ich bei Gelegenheit mal durch die Originale wieder ersetzen.

Folgende Vorgehensweise scheint sinnvoll zum Entsperren des Rechners:

1. sofort wenn der Erpresserbildschrim erscheint den Rechner ausschalten
2. Avira Rescue CD erstellen und damit booten und scannen. Einstellung daß sofort gelöscht wird oder die angezeigten Dateipfade aufschreiben:
Windows/system32/10stelligeZeichenfolge.exe
Dokumente und Einstellungen/UserName/Anwendungsdaten/sinnlosesVerzeichnis(lgcleph)/dateiname.exe
3. wenn der Scanner die nicht schon gelöscht hat, dann mit einer Live-CD (z.B. OTLpe) unbedingt löschen, sonst geht der Spaß wieder los

Danach sollte der Rechner wieder normal booten

Das empfohlene Programm MBAM
http://download.bleepingcomputer.com/mal…/mbam-setup.exe
installieren und damit die Registry "reinigen"

Mehr, also das Entschlüsseln, geht bis jetzt ja nicht

Date of registration:
May 10th 2012

Version:
Avira Antivirus Premium

Operating System:
windows xp, 7, Linux

  • Send private message

14

Friday, May 11th 2012, 4:26am

(Teil)-gelöst Nachtrag

Sind doch etwas mehr Dateien gelockt bei mir: ca. 4000
Das Teil fängt im Wurzelverzeichnis an und arbeitet dann rekursiv die Verzeichnisse alphabetisch ab.
Bei mir bis zu den Verzeichnissen 1 Ebene unter C: von A... bis C... nichts wichtiges betroffen.
Dateien und Einstellungen und natürlich Windows war noch nicht erreicht. Deshalb läuft mein Rechner wieder.
Uff, Glück gehabt.

Date of registration:
May 12th 2012

Version:
Avira Free Antivirus

Operating System:
Windows7

  • Send private message

15

Saturday, May 12th 2012, 4:20pm

Schritt 1 mit dem Avira Life Scanner ?

Nein OTLPE - ein OTL was auf CD bootbar ist - da der Rechner ja im moment nicht hochfährt !

1- Bitte vermeidet es die Platte an fremde Rechner anzuschließen - das ist wirklich mit einigen Schädlingen nicht zu machen -
das sage ich grundsätzlich

2- bitte decrypten grundsätzlich mit Kopien ! Decrypter die gleich das Original überschreiben sind absolutes NO GO




die original Bilddateien, sind das Bilder auf meinem Rechner vor und nach der Verschlüsselung?

Du hast nur gelockte Bilder auf dem befallenen Rechner - daher der Link zu ORIGINAL Beispielen - Windows Wallpaper
dein XP pfad >> C:\WINDOWS\Web\Wallpaper


der unlocker braucht ein locked- bild und ein sauberes - ! um daraus den Patch zu rechnen
der dann auf den Rest der dateien angewandet wird.

  1. Der neue Typ des Schädlings lässt sich bisher noch nicht unlocken ....


Rajo
Hallo,

gibt es denn mittlerweile eine Möglichkeit die Dateien wieder zu entschlüsseln?

Rajo

Moderator

Date of registration:
Jun 12th 2006

Operating System:
Mac - Linux - Windows XP Pro SP3 - PUPPY 4.12 AUFM STICK

  • Send private message

16

Saturday, May 12th 2012, 6:19pm

gibt es denn mittlerweile eine Möglichkeit die Dateien wieder zu entschlüsseln?


Ja die gibt es -
der Erfolg hängt davon ab - mit welcher Version der Malware der rechner infiziert ist
die neue macht Probleme .

Rajo
Telepolis
Dieses Forum dem ich lange Jahre "gedient" habe, wird bald aus unverständlichen Gründen geschlossen - Ich bleibe bis zum Schluss hier! - und mache mit Beate, Nobbi und weiteren Helfern das LICHT aus ! Ihr ALLE wart SUPER !

Date of registration:
May 10th 2012

Version:
Avira Antivirus Premium

Operating System:
windows xp, 7, Linux

  • Send private message

17

Saturday, May 19th 2012, 1:44am

Task-Manager wieder herstellen

Der Trojaner manipuliert den Aufruf des Task-Managers, pärzise: der ist nicht mehr aufrufbar und ausführbar auch nach Säuberung des Systems.
Dazu über Start-Ausführen-Regedit aufrufen und die Registry nach taskmgr.exe durchsuchen.
Auf einem sauberen System sollten nur 2 Einträge zu finden sein:
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
HKEY_USERS\S-1-5-21 ...\Software\Microsoft\Windows\ShellNoRoam\MUICache
Andere Einträge zu taskmgr.exe können gelöscht werden (vorher ev. die Registry sichern und die zu löschenden Einträge aufschreiben scheint eine klasse Idee zu sein)