Meine Mutter hat sich letzte Woche den Verschlüsselungstrojaner eingefangen.

Es wurden alle *.jpg Dateien in wirre Buchstabenreihen umbenannt
zB.: OxDnJVpqrteoQUTAOxD, nJxljgdToQtsyNVpLvG ....

Danke für Eure Hilfe - werde jetzt mal versuchen die Fotos zu entschlüssen.
Anmerkung: Die Outlookdateien sind nicht betroffen.

Scanns mit Malware und Eset haben folgendes zu Tage befördert:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Trial) 1.62.0.1300
www.malwarebytes.org

Database version: v2012.07.20.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
saturn :: USER-6311644867 [administrator]

Protection: Disabled

20.07.2012 20:07:28
mbam-log-2012-07-20 (20-24-13).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 313181
Time elapsed: 16 minute(s), 13 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe (Security.Hijack) -> No action taken.

Registry Values Detected: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|jjlnurxt (Trojan.Phex.THAGen1) -> Data: C:\DOKUME~1\saturn\LOKALE~1\Temp\Mlynwryipsf\bmlynwurxt.exe -> No action taken.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Data: 1 -> No action taken.

Registry Data Items Detected: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bad: (1) Good: (0) -> No action taken.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.

Folders Detected: 0
(No malicious items detected)

Files Detected: 2
C:\Dokumente und Einstellungen\saturn\Lokale Einstellungen\Temp\Mlynwryipsf\bmlynwurxt.exe (Trojan.Phex.THAGen1) -> No action taken.
C:\Dokumente und Einstellungen\saturn\Lokale Einstellungen\Temp\ryipsfhkzc.pre (Trojan.Phex.THAGen1) -> No action taken.

(end)
         

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\saturn\Desktop\Einzelheiten.zip	
C:\Dokumente und Einstellungen\saturn\Lokale Einstellungen\Anwendungsdaten\Microsoft\CD Burning\Einzelheiten.zip	Win32/Trustezeb.C trojan
C:\Dokumente und Einstellungen\saturn\Lokale Einstellungen\Temporary Internet Files\OLK7\Einzelheiten (2).zip	Win32/Trustezeb.C trojan
C:\Dokumente und Einstellungen\saturn\Lokale Einstellungen\Temporary Internet Files\OLK7\Einzelheiten.zip	Win32/Trustezeb.C trojan
C:\WINDOWS\pss\clmnyurxt.exeStartup	a variant of Win32/Kryptik.AIHB trojan
         

Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log