So wie es aussieht, wurde ich auch Opfer des Verschlüsselungs-Trojaners.

Habe Windows XP SP3 installiert.
Als Virenscanner läuft Avira Free im Hintergrund.

Vorgestern Montag erschien die im Betreff angegebene Meldung auf dem Bildschirm.
Seither erscheint sie jedes Mal, sobald ich mich anmelden will.

Ein Start im Abgesicherten Modus ist jedoch möglich.

Die Internet-Recherche führte mich hierher - ich hoffe, Ihr könnt mir helfen.

Ich muß noch vorausschicken, daß ich einen ähnlichen Fall schon vor ca. einem Monat hatte - allerdings konnte ich den Virus dann mit einem Tool (von Kaspersky, soweit ich mich erinnern kann) entfernen, womit ich die Sache für erledigt hielt (eine Fehlannahme, wie sich jetzt wohl herausgestellt hat).

Seither hat Avira immer wieder mal Alarm geschlagen, daß er infizierte Dateien gefunden hat - die habe ich dann gelöscht und mich nicht weiter darum gekümmert...bis vorgestern, als nichts mehr ging.

Habe dann die Schritte der hier angegebenen Anleitung ausgeführt - hier nun das Logfile des Scans mit Malware Bytes Anti-Malware:

=======================================================
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.18.08

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus)
Internet Explorer 8.0.6001.18702
Administrator :: GALILEA [Administrator]

19.06.2012 19:33:03
mbam-log-2012-06-19 (19-33-03).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 525554
Laufzeit: 2 Stunde(n), 37 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 7
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB} (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{6A2A55DA-11C7-45DD-ACC0-D5DA1E16AE2D} (PUP.BFlix) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6A2A55DA-11C7-45DD-ACC0-D5DA1E16AE2D} (PUP.BFlix) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{6A2A55DA-11C7-45DD-ACC0-D5DA1E16AE2D} (PUP.BFlix) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\TypeLib\{C2CF0D01-7657-48AA-98C9-AE5E64757FCC} (PUP.BFlix) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{BBA74401-6D6F-4BBD-9F65-E8623814F3BB} (PUP.BFlix) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TheBflix (PUP.BFlix) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 3
D:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TheBflix (PUP.BFlix) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TheBflix\data (PUP.BFlix) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\FunWebProducts (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 15
C:\Programme\Unlocker\eBay_shortcuts_1016.exe (Adware.Clicker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Software-PC\SoundForge 6.0\Sound Forge 6 KEYGEN.EXE (Trojan.Dynamer) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Software-PC\Soundforge7\Sound.Forge.7.KeyGen.ace (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Dokumente und Einstellungen\Christian\0.4054630397705149.exe (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Dokumente und Einstellungen\Christian\Anwendungsdaten\wndsksi.inf (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Dokumente und Einstellungen\Christian\Anwendungsdaten\igfxtray.dat (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TheBflix\background.html (PUP.BFlix) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TheBflix\bhoclass.dll (PUP.BFlix) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TheBflix\content.js (PUP.BFlix) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TheBflix\okenbppimmmfmfigbkhajikdpiiofnaj.crx (PUP.BFlix) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TheBflix\settings.ini (PUP.BFlix) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TheBflix\uninstall.exe (PUP.BFlix) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TheBflix\data\content.js (PUP.BFlix) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TheBflix\data\epoch (PUP.BFlix) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TheBflix\data\jsondb.js (PUP.BFlix) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
========================================================

Den Rechner habe ich nach dem Scan neu gestartet, weil das Scanprogramm das verlangte, um den Scan zu vollenden - den Neustart machte ich allerdings wieder im Abgesicherten Modus - hoffe, das wr korrekt.

Seither habe ich den Rechner nicht mehr gestartet (d.h. ich weiß noch nicht, ob eine Anmeldung im nicht abgesicherten Modus jetzt wieder möglich ist).

So - ich hoffe, das war erst mal ausreichend für den Anfang.

vielen Dank schon mal im voraus für Eure Zeit!

Christin alias naitsirhC

Eieiei...habe jetzt erst gerade das Kapitel "Cracks, Keygens und andere illegale Software" gelesen.
Beim ersten Durchlesen hatte ich diesen Abschnitt übersprungen mit dem Gedanken im Hinterkopf: "Verwend' ich nicht (mehr), trifft auf mich nicht zu, daher irrelevant."

Jetzt habe ich nochmal das Logfile durchgesehen - tatsächlich finden sich darin "Hinweise auf illegal erworbene Software"...

Ich möchte hier noch sagen, daß ich die Software schon lange nicht mehr nutze und die Zeiten, in denen ich sowas gemacht habe, schon längst vorbei sind.
Die betreffenden Files liegen bei mir noch im Software-Archiv rum (das ich sowieso mal ausmisten sollte...das wäre die passende Gelegenheit).

Ich hoffe sehr auf Nachsicht und daß dieser Thread deswegen nicht unbeantwortet stehenbleibt.

Danke.

Zitat:

D:\Software-PC\SoundForge 6.0\Sound Forge 6 KEYGEN.EXE (Trojan.Dynamer) -> Erfolgreich gelöscht und in Quarantäne gestellt.
D:\Software-PC\Soundforge7\Sound.Forge.7.KeyGen.ace (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Sry aber bei illegaler Software gibt es hier nur noch Hilfe zur Datensicherung + Neuinstallation von Windows

Siehe auch => http://www.trojaner-board.de/95393-c...-software.html

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden.

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!


In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials

Ich weiß - ich hatte das mit den Cracks erst später gelesen und als Zusatzinfo nochmals auf diesen Thread selbst geantwortet.
Die Antwort wurde aber mit dem ursprünglichen Post "verschmolzen" und blieb nicht als eigener Text bestehen, daher zitiere ich hier nochmals:

Zitat:

Zitat von naitsirhc

[...]
Eieiei...habe jetzt erst gerade das Kapitel "Cracks, Keygens und andere illegale Software" gelesen.
Beim ersten Durchlesen hatte ich diesen Abschnitt übersprungen mit dem Gedanken im Hinterkopf: "Verwend' ich nicht (mehr), trifft auf mich nicht zu, daher irrelevant."

Jetzt habe ich nochmal das Logfile durchgesehen - tatsächlich finden sich darin "Hinweise auf illegal erworbene Software"...

Ich möchte hier noch sagen, daß ich die Software schon lange nicht mehr nutze und die Zeiten, in denen ich sowas gemacht habe, schon längst vorbei sind.
Die betreffenden Files liegen bei mir noch im Software-Archiv rum (das ich sowieso mal ausmisten sollte...das wäre die passende Gelegenheit).

Ich hoffe sehr auf Nachsicht und daß dieser Thread deswegen nicht unbeantwortet stehenbleibt.

Danke.

Ich weiß nicht, ob dieser Text untergegangen ist, oder ob er zwar gelesen, aber übergangen worden ist.

Wie auch immer - trotzdem danke für's Antworten.
Falls ich "nur noch" Hilfe zur Datensicherung und Neuinstallation bekomme, hätte ich dazu eine Frage: Kann ich davon ausgehen, daß ich, wenn ich alles lösche, was im Logfile aufgelistet wurde, bei einer Neuinstallation ein sauberes System haben werde?

Soll heißen: können sich solche Trojaner auch noch in irgendwelchen Thunderbird-Datenfiles, .pst-Dateien, Digitalfotos oder MP3's verstecken?
Nicht, daß ich mir zwar wieder ein sauberes Windows aufsetze, und mir den Trojaner dann mit dem Rückspielen der gesicherten Daten erst wieder erneut einfange?

Danke.

Das hab ich gelesen, wir bereinigen hier aber grundsätzlich keine Rechner wenn wir in den Logs Keygens/Cracks oder ähnliche illegales Zeug finden.

Zitat:

Soll heißen: können sich solche Trojaner auch noch in irgendwelchen Thunderbird-Datenfiles, .pst-Dateien, Digitalfotos oder MP3's verstecken?

Unwahrscheinlich.
Aber in Mailboxdateien von Thunderbird bzw. anderen Mailclients wäre es möglich, dass da noch ne SPAM-Mail mit Schädlingsanhang rumgeistert.


Zum Thema Datensicherung von infizierten Systemen; mach das über ne Live-CD wie Knoppix, Ubuntu (zweiter Link in meiner Signatur) oder über PartedMagic. Grund: Bei einem Live-System sind keine Schädlinge des infizierten Windows-Systems aktiv, damit ist dann auch eine negative Beeinflussung des Backups durch Schädlinge ausgeschlossen.

Du brauchst natürlich auch ein Sicherungsmedium, am besten dürfte eine externe Platte sein. Sofern du nicht allzuviel sichern musst, kann auch ein USB-Stick ausreichen.

Hier eine kurze Anleitung zu PartedMagic, funktioniert prinzipell so aber fast genauso mit allen anderen Live-Systemen auch.

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 180 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist



4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partitionen wo Windows installiert ist, meistens isses /dev/sda1 und natürlich noch etwaige andere Partitionen, wo noch Daten liegen und die gesichert werden müssen - natürlich auch die der externen Platte (du bekommmst nur Lese- und Schreibzugriffe auf die Dateisysteme, wenn diese gemountet sind)
6. Kopiere die Daten der internen Platte auf die externe Platte - kopiere nur persönliche Dateien, Musik, Videos, etc. auf die Backupplatte, KEINE ausführbaren Dateien wie Programme/Spiele/Setups!!
7. Wenn fertig, starte den Rechner neu, schalte die ext. Platte ab und boote von der Windows-DVD zur Neuinstallation (Anleitung beachten)

So werde ich es machen - Vielen Dank, vor allem für den Tip mit der Live-CD.

Sieht so aus, als sei demnächst ein Großputz auf meinem Rechner angesagt - war sowieso schon lange überfällig.

Ok, danke für dein Verständnis, nicht jeder reagiert so freundlich und gelassen wenn wir sowas in den Logs sehen!