Guten Abend meine lieben Damen und Herren,

ich habe mir scheinbar den im Titel genannten Schädling eingefangen.
Urplötzlich poppte auf dem Hauptbildschirm ein Bild auf, wonach ich zur Entsperrung 100€ zahlen soll. Auffällig fand ich, dass Programme des rechten Bildschirms nicht gesperrt wurden. Jedenfalls habe ich umgehend die WLan Verbindung per Schalter (Thinkpad) gekappt, und anschliessend das Notebook ausgemacht.

Da ich wegen Klausuren aber keine Zeit habe mich sofort um die Bereinigung zu kümmern, wüsste ich zunächst gerne, ob ich ein Linux Betriebssystem installieren kann, ohne dass der Schädling dann auf diesem aktiv wird, und ich über Linux dann ggf. auf meine Daten zugreifen kann. Bestätigen, ob die Daten verschlüsselt sind kann ich leider nicht, da ich das Notebook bisher nicht wieder in Betrieb genommen hab.

LG Gedan

Zitat:

ob ich ein Linux Betriebssystem installieren kann, ohne dass der Schädling dann auf diesem aktiv wird

Ja, kannst du.

Alles klar, vielen Dank. Das habe ich auch so getan und meine Daten soweit erstmal gesichert, verschlüsselt waren diese zum Glück nicht. Dann habe ich heute Nacht mal das aktuelle Avire Rescue System scannen lassen, dabei kam der im Anhang zu findende "rescue-system_scan" zustande.

Reicht es, wenn ich die betroffenen Dateien einfach lösche, oder ist es nötig, das System neu aufzusetzen?

Ich habe auch nochmal einen Quickscan mit Malwarebytes durchgeführt, seltsamerweise konnte ich zum Posten des Logs den letzten Beitrag nicht editieren.

Zitat:

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.30.02

Windows 7 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Gedan :: WÄLZLAGER [Administrator]

30.08.2012 14:07:54
mbam-log-2012-08-30 (14-33-17).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: Dateisystem | P2P
Durchsuchte Objekte: 206326
Laufzeit: 27 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKCR\regfile\shell\open\command| (Broken.OpenCommand) -> Bösartig: ("regedit.exe" "%1") Gut: (regedit.exe "%1") -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 1
C:\Users\Gedan\AppData\Roaming\hellomoto (Trojan.Ransom.FGen) -> Keine Aktion durchgeführt.

Infizierte Dateien: 2
C:\Users\Gedan\AppData\Roaming\hellomoto\TujP.dat (Trojan.Ransom.FGen) -> Keine Aktion durchgeführt.
C:\Users\Gedan\AppData\Roaming\hellomoto\BukF.dat (Trojan.Ransom.FGen) -> Keine Aktion durchgeführt.

(Ende)

Zitat:

Reicht es, wenn ich die betroffenen Dateien einfach lösche, oder ist es nötig, das System neu aufzusetzen?

Neuaufsetzen = richtig sauber.

Bereinigen bleibt immer Restrisiko.
Musst du entscheiden.

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html


Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.