Hallo zusammen,

ich habe bereits gelesen, dass mehrere diese Problem haben.
Ich bin leider nicht so fit in der Bekämpfung von Trojanern, so dass ich vor lauter Beiträgen zu dem Thema nicht mehr weiß wo ich anfangen soll.

Ich habe die erste Mail Ende Mai bekommen und ungeöffnet gelöscht. Nachdem ich heute eine weitere mit einer Bedrohung durch ein inkassobüro bekommen habe, wollte ich die MAil und Anhang ausdrucken, um diese einer Freundin die beim Anwalt arbeitet zu zeigen.
Der Text ist etwa ähnlich wie bei allen anderen Usern. Die Mail habe ich bereits gelöscht, weil es mir komisch vorkam, dass sich der Anhang nicht öffnen lies. Bevor ich auch nur Avira drüber laufen lassen konnte war es zu spät.

Ich habe einen Windows 7, 64Bit System

Sobald ich den PC hochfahre flackert der Bildschirm schwarz und zeigt dann den Bildschirm mit Bitte um Eingabe eines Codes etc.

Wenn ich Alt + Strg+ Entf drücke komme leider nicht in den Task Manager und kann mich dann eigentlich nur regelrecht vom PC abmelden, anmelden etc.

Ich komme aber wenn ich F8 drücke in den abgesicherten Modus mit Netwerkverbindung und hab jetzt erstmal die von euch empfohlene Maleware runtergeladen und auch ausgeführt. Dabei kam folgendes Ergebnis raus:

Code: Alles auswählenAufklappen

ATTFilter

 Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\$Recycle.Bin\S-1-5-21-2265894763-3946770087-3968832687-1000\$REPBMVF.pre (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-21-2265894763-3946770087-3968832687-1000\$RHFIMC5.pre (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-21-2265894763-3946770087-3968832687-1000\$RMNS005.pre (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-21-2265894763-3946770087-3968832687-1000\$ROYD46L.pre (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Die Trojaner sind nun in Quarantäne. Ich musste den PC neu starten, aber es ist nach wie vor das gleiche Probleme.

Nach langem rauf un d runterfahren des Pc hatte ich durch drücken der F8 Taste die Möglichkeit System reparieren zu drücken. Das habe ich gemacht
Es funktioniert nun, ohne dass der Bildschirmauftaucht mit der Bitte um Codes einzugeben.
Statt dessen befindet sich auf dem Desktop eine Verknüpfung mit "Achtung lesen" in der nun der schlaue trojaner Text steht...

Code: Alles auswählenAufklappen

ATTFilter

 Sehr geehrte Damen und Herren,
anscheinend wurde das Update Programm vollständig unterbrochen. Jetzt kann das Virus nur manuell beseitigt werden. Dies brauchen Sie um Ihre Dateien benutzen zu können. Falls Sie also die gesperrten Daten brauchen, senden Sie uns bitte 200 Euro Ukash Code an die Email: software-update@inbox.lt, so bald dieser Code geprüft wurde, erhalten Sie ein Update Programm. Falls Sie Ihre Daten nicht brauchen raten wir Ihnen dringend Ihren Computer zu formatieren um den Virus vollständig zu entfernen. Ukash können Sie an einer beliebigen Tankstelle erwerben und auch in mehreren Internetcafes in Ihrer Nähe.
mfG Ihr Security Team
         

Allerdings ist nun die Malewaresoftware, die ich runtergeladen hatte verschwunden. Diese habe ich jetzt neu heruntergeladen und einen neuen Suchlauf gestartet, dummerweise findet er jetzt die trojaner nicht mehr

hier der report

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.08.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Daniela :: DANIELA-PC [Administrator]

09.06.2012 00:32:27
mbam-log-2012-06-09 (00-32-27).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 225187
Laufzeit: 3 Minute(n), 7 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Habe jetzt Avira drüber laufen lassen und es hat 3 Trojaner gefunden und in Quarantäne gesetzt. Habe von dort aus eine Meldung an Avira gemacht und folgende Antworten bekommen....(aus denen ich als Laie nur lese dass es was bösartiges ist)

Trojaner1

Code: Alles auswählenAufklappen

ATTFilter

 Sehr geehrte Dame, sehr geehrter Herr,

Vielen Dank für Ihre Email an Avira's Virenlabor.
Auftragsnummer: INC01174110.

Wir haben folgende Archivdateien empfangen:

Datei ID 	Dateiname 	Größe (Byte) 	Ergebnis
26932253 	4fd287ed6647c.zip 	79.48 KB 	OK

Eine Auflistung der Dateien und Ergebnisse, die in Archiven enthalten waren, sind im folgenden aufgeführt:
Datei ID 	Dateiname 	Größe (Byte) 	Ergebnis
26926864 	1c8d53de.vir 	86 KB 	MALWARE
26926983 	1c8d53de.vir/4F946F71EBA1722F...de.vir/4F946F71EBA1722F2F2E724D0B8F61E6 	30.89 KB 	CLEAN
26926984 	1c8d53de.vir/3C260A7B00D54E4D...de.vir/3C260A7B00D54E4D1F3470DEC5AB0793 	912.4 KB 	CLEAN


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname 	Ergebnis
1c8d53de.vir 	MALWARE

Die Datei '1c8d53de.vir' wurde als 'MALWARE' eingestuft. Unsere Analytiker haben dieser Bedrohung den Namen TR/Matsnu.A.65 gegeben. Bei der Bezeichnung "TR/" handelt es sich um ein Trojanisches Pferd, dass in der Lage ist, ihre Daten auszuspähen, Ihre Privatsphäre zu verletzen und nicht erwünschte Änderungen am System vornehmen kann. Ein Erkennungsmuster ist mit Version der Virendefinitionsdatei (VDF) hinzugefügt.
Dateiname 	Ergebnis
1c8d53de.vir/4F946F71EBA1722F...de.vir/4F946F71EBA1722F2F2E724D0B8F61E6 	CLEAN

Die Datei '1c8d53de.vir/4F946F71EBA1722F2F2E724D0B8F61E6' wurde als 'CLEAN' eingestuft. Unsere Analytiker haben in dieser Datei keinen Schadcode gefunden.
Dateiname 	Ergebnis
1c8d53de.vir/3C260A7B00D54E4D...de.vir/3C260A7B00D54E4D1F3470DEC5AB0793 	CLEAN

Die Datei '1c8d53de.vir/3C260A7B00D54E4D1F3470DEC5AB0793' wurde als 'CLEAN' eingestuft. Unsere Analytiker haben in dieser Datei keinen Schadcode gefunden.


Alternativ können Sie die Ergebnisse der Analyse hier einsehen:
hxxp://analysis.avira.com/samples/details.php?uniqueid=8EHjcVb5I0t60sMnOUmNpgB4QXNtKIs7&incidentid=1174110

Zusätzlich finden Sie eine Übersicht aller Einsendungen hier:
hxxp://analysis.avira.com/samples/details.php?uniqueid=8EHjcVb5I0t60sMnOUmNpgB4QXNtKIs7
         

Trojaner 2

Code: Alles auswählenAufklappen

ATTFilter

 Vielen Dank für Ihre Email an Avira's Virenlabor.
Auftragsnummer: INC01174109.

Wir haben folgende Archivdateien empfangen:

Datei ID 	Dateiname 	Größe (Byte) 	Ergebnis
26932252 	4fd287e5b34bd.zip 	79.48 KB 	OK

Eine Auflistung der Dateien und Ergebnisse, die in Archiven enthalten waren, sind im folgenden aufgeführt:
Datei ID 	Dateiname 	Größe (Byte) 	Ergebnis
26926864 	5642268a.vir 	86 KB 	MALWARE
26926983 	5642268a.vir/4F946F71EBA1722F...8a.vir/4F946F71EBA1722F2F2E724D0B8F61E6 	30.89 KB 	CLEAN
26926984 	5642268a.vir/3C260A7B00D54E4D...8a.vir/3C260A7B00D54E4D1F3470DEC5AB0793 	912.4 KB 	CLEAN


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname 	Ergebnis
5642268a.vir 	MALWARE

Die Datei '5642268a.vir' wurde als 'MALWARE' eingestuft. Unsere Analytiker haben dieser Bedrohung den Namen TR/Matsnu.A.65 gegeben. Bei der Bezeichnung "TR/" handelt es sich um ein Trojanisches Pferd, dass in der Lage ist, ihre Daten auszuspähen, Ihre Privatsphäre zu verletzen und nicht erwünschte Änderungen am System vornehmen kann. Ein Erkennungsmuster ist mit Version der Virendefinitionsdatei (VDF) hinzugefügt.
Dateiname 	Ergebnis
5642268a.vir/4F946F71EBA1722F...8a.vir/4F946F71EBA1722F2F2E724D0B8F61E6 	CLEAN

Die Datei '5642268a.vir/4F946F71EBA1722F2F2E724D0B8F61E6' wurde als 'CLEAN' eingestuft. Unsere Analytiker haben in dieser Datei keinen Schadcode gefunden.
Dateiname 	Ergebnis
5642268a.vir/3C260A7B00D54E4D...8a.vir/3C260A7B00D54E4D1F3470DEC5AB0793 	CLEAN

Die Datei '5642268a.vir/3C260A7B00D54E4D1F3470DEC5AB0793' wurde als 'CLEAN' eingestuft. Unsere Analytiker haben in dieser Datei keinen Schadcode gefunden.


Alternativ können Sie die Ergebnisse der Analyse hier einsehen:
hxxp://analysis.avira.com/samples/details.php?uniqueid=8EHjcVb5I0t60sMnOUmNpgB4QXNtKIs7&incidentid=1174109

Zusätzlich finden Sie eine Übersicht aller Einsendungen hier:
hxxp://analysis.avira.com/samples/details.php?uniqueid=8EHjcVb5I0t60sMnOUmNpgB4QXNtKIs7
         

Trojaner 3

Code: Alles auswählenAufklappen

ATTFilter

 Sehr geehrte Dame, sehr geehrter Herr,

Vielen Dank für Ihre Email an Avira's Virenlabor.
Auftragsnummer: INC01174108.

Wir haben folgende Archivdateien empfangen:

Datei ID 	Dateiname 	Größe (Byte) 	Ergebnis
26932251 	4fd287d29b93c.zip 	79.65 KB 	OK

Eine Auflistung der Dateien und Ergebnisse, die in Archiven enthalten waren, sind im folgenden aufgeführt:
Datei ID 	Dateiname 	Größe (Byte) 	Ergebnis
26926864 	Zusatz Leistungen.scr 	86 KB 	MALWARE
26926983 	Zusatz Leistungen.scr/4F946F71EBA1722F...en.scr/4F946F71EBA1722F2F2E724D0B8F61E6 	30.89 KB 	CLEAN
26926984 	Zusatz Leistungen.scr/3C260A7B00D54E4D...en.scr/3C260A7B00D54E4D1F3470DEC5AB0793 	912.4 KB 	CLEAN


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname 	Ergebnis
Zusatz Leistungen.scr 	MALWARE

Die Datei 'Zusatz Leistungen.scr' wurde als 'MALWARE' eingestuft. Unsere Analytiker haben dieser Bedrohung den Namen TR/Matsnu.A.65 gegeben. Bei der Bezeichnung "TR/" handelt es sich um ein Trojanisches Pferd, dass in der Lage ist, ihre Daten auszuspähen, Ihre Privatsphäre zu verletzen und nicht erwünschte Änderungen am System vornehmen kann. Ein Erkennungsmuster ist mit Version der Virendefinitionsdatei (VDF) hinzugefügt.
Dateiname 	Ergebnis
Zusatz Leistungen.scr/4F946F71EBA1722F...en.scr/4F946F71EBA1722F2F2E724D0B8F61E6 	CLEAN

Die Datei 'Zusatz Leistungen.scr/4F946F71EBA1722F2F2E724D0B8F61E6' wurde als 'CLEAN' eingestuft. Unsere Analytiker haben in dieser Datei keinen Schadcode gefunden.
Dateiname 	Ergebnis
Zusatz Leistungen.scr/3C260A7B00D54E4D...en.scr/3C260A7B00D54E4D1F3470DEC5AB0793 	CLEAN

Die Datei 'Zusatz Leistungen.scr/3C260A7B00D54E4D1F3470DEC5AB0793' wurde als 'CLEAN' eingestuft. Unsere Analytiker haben in dieser Datei keinen Schadcode gefunden.


Alternativ können Sie die Ergebnisse der Analyse hier einsehen:
hxxp://analysis.avira.com/samples/details.php?uniqueid=8EHjcVb5I0t60sMnOUmNpgB4QXNtKIs7&incidentid=1174108

Zusätzlich finden Sie eine Übersicht aller Einsendungen hier:
hxxp://analysis.avira.com/samples/details.php?uniqueid=8EHjcVb5I0t60sMnOUmNpgB4QXNtKIs7
         

Habe die Trojaner bereits aus der Quarantäne gelöscht und lasse den Virenscanner nun ein 2 mal zur Kontrolle drüber laufen.

Habe euren Schritt 1 befolgt und den Defogger runtergeladen, allerdings zeigt der mir nach der Prüfung kein Protokoll an.

Euer Schritt 2: OTL (siehe Anhang)

Ich habe eine Systemwiederherstellung gmeacht in dem ich es auf den 1.5.12 zurücksetzen konnte, weil ich dort letztmalig etwas auf den PC installiert habe.

Mein aktuelles Problem ist jetzt noch, dass ich meine Dateien nicht öffnen kann. Können diese irgendwie wieder entschlüsselt werden, sodass alles wieder normal läuft? oder muss ich alles vom Rechner runterschmeißen und neu machen???

Es gibt ganz unterschiedliche Fehlermeldungen:

Code: Alles auswählenAufklappen

ATTFilter

 Die Version dieser Daei ist nicht mit der ausgeführten Windows Version kompatibel. Öffnen Sie die Systeminformationen Ihres Computers, um zu überprüfen, ob eine x86-(32 Bit) oder eine x64 - (64 Bit)- Vesion des Programmes erforderlich ist, und wenden Sie sich anschließend an den HErausgeber der Software.
         

oder er gibt irgendwelche Fehlermeldungen, dass Dateipfade verschoben wurden etc.


Vielen lieben Dank für eure Hilfe!!!

Ein Strang reicht!! => http://www.trojaner-board.de/116872-...irt-fever.html