Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 02.06.2014, 13:08   #1
mistaluna
 
Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt - Standard

Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt



Hallo,

ich habe mich dem Problem meiner Freundin angenommen, die selbst keine Ahnung von Computern hat. Leider komme ich auch nicht weiter.

Zu den Symptomen:
Meine Freundin hat plötzlich gemerkt, dass sich die Dateien auf ihrem Netzlaufwerk nicht mehr öffnen ließen. Die Dateien heißen wie vorher, jedoch zeigt das jeweilige Programm (Excel, Adobe, Word, ...) einen Dateifehler beim öffnen an: Datei beschädigt. Von einem anderen Rechner liessen sich die Dateien auf dem Netzlaufwerk auch nicht mehr öffnen. Als ich den Rechner unter die Lupe nehmen wollte, startete dieser gar nicht mehr. Egal ob im abgesicherten Modus oder normal, irgend wann erscheint nur noch ein schwarzer Bildschirm und es passiert weiter nichts. Mein erster Verdacht, dass es um einen dieser Trojaner handelt, der die Dateien auf dem Rechner verschlüsselt und nur gegen Zahlung eines Lösegeldes wieder entschlüsselt, kann ich leider nicht erhärten, da sich meine Freundin nicht mehr richtig an irgend welche seltsamen Nachrichten erinnern kann. Scheinbar gab es wohl ein Fenster, dass sie als Werbung für ein Antivirenprogramm gehalten und geschlossen hat. Leider weiss ich weder wo sie es gesehen hat, noch was der Inhalt war.

Ich habe den Rechner mit der Systemrettungs-DVD aus der aktuellen C't gestartet und einen Virenscan gemacht. Dort wird auch allerhand angezeigt ich weiss jedoch nicht wie ich weiter vorgehen soll.

Deswegen würde ich euch gerne um Hilfe bitten. Ich habe den Computer nach Anleitung hier im Forum mit dem Farbar Recovery Scan Tool gescannt:


FRST Logfile:
Code:
ATTFilter
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version:01-06-2014 01
Ran by SYSTEM on MININT-CFLELHP on 02-06-2014 13:36:46
Running from F:\
Platform: Windows 7 Professional (X86) OS Language: English(US)
Internet Explorer Version 8
Boot Mode: Recovery

The current controlset is ControlSet001
ATTENTION!:=====> If the system is bootable FRST could be run from normal or Safe mode to create a complete log.



==================== Registry (Whitelisted) ==================

HKLM\...\Run: [SynTPEnh] => C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [1594664 2010-01-04] (Synaptics Incorporated)
HKLM\...\Run: [SysTrayApp] => C:\Program Files\IDT\WDM\sttray.exe [495711 2009-12-03] (IDT, Inc.)
HKLM\...\Run: [ccApp] => C:\Program Files\Common Files\Symantec Shared\ccApp.exe [115560 2010-01-25] (Symantec Corporation)
HKLM\...\Run: [StartCCC] => C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [98304 2010-10-26] (Advanced Micro Devices, Inc.)
HKLM\...\Run: [QLBController] => C:\Program Files\Hewlett-Packard\HP HotKey Support\QLBController.exe [256056 2010-10-01] (Hewlett-Packard Company)
HKLM\...\Run: [Adobe ARM] => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959904 2013-11-21] (Adobe Systems Incorporated)
HKLM\...\Run: [SunJavaUpdateSched] => C:\Program Files\Common Files\Java\Java Update\jusched.exe [254336 2013-07-02] (Oracle Corporation)
HKLM\...\Run: [axoleoyt] => C:\Windows\System32\axoleoyt.exe [43008 2014-05-05] ()
HKLM Group Policy restriction on software: C:\Program Files\LimeWire <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\iMesh Applications <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\DNA <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Azureus <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\aMule <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Ares <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\uTorrent <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\eMule <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\BitSpirit <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Anubis P2P <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\PokerStars <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\BearShare Applications <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\BitTornado <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Shareaza <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\FrostWire <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\ABC <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\BitTorrent <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\BitComet <====== ATTENTION
HKLM Group Policy restriction on software: C:\Program Files\Messenger Plus! Live <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe <====== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <====== ATTENTION
Winlogon\Notify\AtiExtEvent: Ati2evxx.dll [X]
HKU\Administrateur\...\Run: [swg] => "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
HKU\A**********\...\Run: [Google Update] => C:\Users\A**********\AppData\Local\Google\Update\GoogleUpdate.exe [116648 2012-09-05] (Google Inc.)
HKU\A**********\...\Run: [Spotify Web Helper] => C:\Users\A**********\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe [1176632 2014-05-23] (Spotify Ltd)
HKU\A**********\...\Run: [Spotify] => C:\Users\A**********\AppData\Roaming\Spotify\spotify.exe [6170168 2014-05-23] (Spotify Ltd)
HKU\A**********\...\Run: [Aqila] => C:\Users\A**********\AppData\Local\Temp\Ojelji\aqila.exe [638976 2010-12-23] () <===== ATTENTION
HKU\A**********\...\Run: [axoleoyt] => C:\Users\A**********\axoleoyt.exe [43008 2014-05-05] ()
HKU\A**********\...\Run: [CryptoLocker] => C:\Users\A**********\AppData\Local\Xeawowpralqfnj.exe [806400 2014-05-22] (Smule)
HKU\A**********\...\RunOnce: [*CryptoLocker] - C:\Users\A**********\AppData\Local\Xeawowpralqfnj.exe [806400 2014-05-22] (Smule)

========================== Services (Whitelisted) =================

S2 ccEvtMgr; C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe [108392 2010-01-25] (Symantec Corporation)
S2 ccSetMgr; C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe [108392 2010-01-25] (Symantec Corporation)
S2 hpHotkeyMonitor; C:\Program Files\Hewlett-Packard\HP HotKey Support\hpHotkeyMonitor.exe [280120 2010-10-01] (Hewlett-Packard Company)
S3 LiveUpdate; C:\Program Files\Symantec\LiveUpdate\LuComServer_3_3.EXE [3093880 2010-02-17] (Symantec Corporation)
S3 OpenVPNService; C:\Program Files\OpenVPN\bin\openvpnserv.exe [36352 2010-08-20] ()
S2 SmcService; C:\Program Files\Symantec\Symantec Endpoint Protection\Smc.exe [1881368 2010-04-16] (Symantec Corporation)
S4 SNAC; C:\Program Files\Symantec\Symantec Endpoint Protection\SNAC.EXE [349512 2010-04-01] (Symantec Corporation)
S2 STacSV; C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_x86_neutral_9fc8b38ddee9fbba\STacSV.exe [229461 2009-12-03] (IDT, Inc.)
S2 Symantec AntiVirus; C:\Program Files\Symantec\Symantec Endpoint Protection\Rtvscan.exe [1831024 2010-04-22] (Symantec Corporation)
S2 -settings; "\\SERVWDS\DeploymentShare$\Applications\UltraVNC Server 1.0.5\winvnc.exe" -service [X]

==================== Drivers (Whitelisted) ====================

S0 486b950da2b4770a; C:\Windows\System32\Drivers\486b950da2b4770a.sys [56704 2014-05-05] () <===== ATTENTION Necurs Rootkit?
S3 AR5416; C:\Windows\System32\DRIVERS\athw.sys [1585728 2009-10-14] (Atheros Communications, Inc.)
S3 AtiHDAudioService; C:\Windows\System32\drivers\AtihdW73.sys [101904 2010-07-15] (ATI Technologies, Inc.)
S3 BTDriver; C:\Windows\system32\DRIVERS\btport.sys [37160 2009-12-03] (Broadcom Corporation.)
S3 btwhid; C:\Windows\system32\DRIVERS\btwhid.sys [56992 2009-12-03] (Broadcom Corporation.)
S3 BTWUSB; C:\Windows\System32\Drivers\btwusb.sys [45984 2009-12-03] (Broadcom Corporation.)
S1 eeCtrl; C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys [376920 2013-11-19] (Symantec Corporation)
S3 EraserUtilRebootDrv; C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [108120 2013-11-21] (Symantec Corporation)
S3 NAVENG; C:\ProgramData\Symantec\Definitions\VirusDefs\20140522.001\NAVENG.SYS [93272 2013-08-22] (Symantec Corporation)
S3 NAVEX15; C:\ProgramData\Symantec\Definitions\VirusDefs\20140522.001\NAVEX15.SYS [1612376 2013-08-22] (Symantec Corporation)
S3 SNP2UVC; C:\Windows\System32\DRIVERS\snp2uvc.sys [1763968 2009-12-18] ()
S3 SPBBCDrv; C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCDrv.sys [421424 2009-12-18] (Symantec Corporation)
S1 SRTSP; C:\Windows\System32\Drivers\SRTSP.SYS [283184 2010-03-08] (Symantec Corporation)
S3 SRTSPL; C:\Windows\System32\Drivers\SRTSPL.SYS [320944 2010-03-08] (Symantec Corporation)
S1 SRTSPX; C:\Windows\System32\Drivers\SRTSPX.SYS [43696 2010-03-08] (Symantec Corporation)
S3 SymEvent; C:\Windows\system32\Drivers\SYMEVENT.SYS [124976 2014-05-23] (Symantec Corporation)
S3 SYMREDRV; C:\Windows\System32\Drivers\SYMREDRV.SYS [26416 2009-09-03] (Symantec Corporation)
S1 SYMTDI; C:\Windows\System32\Drivers\SYMTDI.SYS [188080 2009-09-03] (Symantec Corporation)
S4 SysPlant; C:\Windows\SYSTEM32\Drivers\SysPlant.sys [97096 2010-04-16] (Symantec Corporation)
S3 tap0901; C:\Windows\System32\DRIVERS\tap0901.sys [26112 2010-08-20] (The OpenVPN Project)
S3 Teefer2; C:\Windows\System32\DRIVERS\teefer2.sys [67472 2009-12-28] (Symantec Corporation)
S1 WPS; C:\Windows\system32\drivers\wpsdrvnt.sys [43336 2010-04-16] (Symantec Corporation)
S3 WpsHelper; C:\Windows\system32\drivers\WpsHelper.sys [174056 2012-11-06] (Symantec Corporation)

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2014-06-02 13:36 - 2014-06-02 13:36 - 00000000 ____D () C:\FRST
2014-05-23 08:02 - 2014-05-23 08:02 - 00124976 _____ (Symantec Corporation) C:\Windows\System32\Drivers\SYMEVENT.SYS
2014-05-22 18:37 - 2014-05-23 07:53 - 01685430 _____ () C:\Users\A**********\Desktop\Aqnfosyqztpfzfblr.bmp
2014-05-22 13:13 - 2014-05-22 13:13 - 00806400 ___SH (Smule) C:\Users\A**********\AppData\Local\Xeawowpralqfnj.exe
2014-05-16 07:19 - 2014-05-16 07:19 - 00296448 _____ () C:\Users\A**********\Desktop\Feedback S********** A**********.pdf.msg
2014-05-15 08:07 - 2014-05-15 08:07 - 00000844 __RSH () C:\Users\A**********\ntuser.pol
2014-05-15 03:10 - 2014-05-22 05:21 - 00002096 _____ () C:\Users\A**********\Desktop\Delphi MPE.lnk
2014-05-15 03:10 - 2014-05-22 05:21 - 00002090 _____ () C:\Users\A**********\Desktop\Crystal Reports 85.lnk
2014-05-15 03:10 - 2014-05-22 05:21 - 00002046 _____ () C:\Users\A**********\Desktop\PAYE V7.lnk
2014-05-15 03:10 - 2014-05-22 05:21 - 00002042 _____ () C:\Users\A**********\Desktop\Bureau.lnk
2014-05-14 02:13 - 2014-05-14 02:13 - 17938608 _____ (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerInstaller.exe
2014-05-08 22:23 - 2014-05-08 22:23 - 00000000 __RSH () C:\MSDOS.SYS
2014-05-08 22:23 - 2014-05-08 22:23 - 00000000 __RSH () C:\IO.SYS
2014-05-07 00:49 - 2014-05-07 00:49 - 00004224 _____ () C:\Windows\System32\jupdate-1.7.0_55-b14.log
2014-05-07 00:49 - 2014-04-14 10:13 - 00094632 _____ (Oracle Corporation) C:\Windows\System32\WindowsAccessBridge.dll
2014-05-07 00:49 - 2014-04-14 10:05 - 00264616 _____ (Oracle Corporation) C:\Windows\System32\javaws.exe
2014-05-07 00:49 - 2014-04-14 10:05 - 00175528 _____ (Oracle Corporation) C:\Windows\System32\javaw.exe
2014-05-07 00:49 - 2014-04-14 10:04 - 00175016 _____ (Oracle Corporation) C:\Windows\System32\java.exe
2014-05-06 08:48 - 2014-05-06 08:48 - 00921512 _____ (Oracle Corporation) C:\Users\A**********\Downloads\chromeinstall-7u55.exe
2014-05-05 06:41 - 2014-05-05 06:41 - 00043008 _____ () C:\Windows\System32\axoleoyt.exe
2014-05-05 06:41 - 2014-05-05 06:41 - 00043008 _____ () C:\Users\A**********\axoleoyt.exe
2014-05-05 06:39 - 2014-05-05 06:39 - 00056704 _____ () C:\Windows\System32\Drivers\486b950da2b4770a.sys

==================== One Month Modified Files and Folders =======

2014-06-02 13:36 - 2014-06-02 13:36 - 00000000 ____D () C:\FRST
2014-05-25 03:47 - 2010-09-30 04:06 - 00026502 _____ () C:\Windows\PFRO.log
2014-05-23 08:59 - 2013-11-11 03:42 - 00000000 ____D () C:\Users\A**********\AppData\Roaming\Spotify
2014-05-23 08:33 - 2010-09-29 23:57 - 01557414 _____ () C:\Windows\System32\PerfStringBackup.INI
2014-05-23 08:31 - 2010-12-20 08:27 - 00000000 ____D () C:\Users\A**********\AppData\Local\Temp
2014-05-23 08:02 - 2014-05-23 08:02 - 00124976 _____ (Symantec Corporation) C:\Windows\System32\Drivers\SYMEVENT.SYS
2014-05-23 08:02 - 2010-12-08 05:52 - 00007456 _____ () C:\Windows\System32\Drivers\SYMEVENT.CAT
2014-05-23 08:02 - 2010-12-08 05:52 - 00000000 ____D () C:\Program Files\Symantec
2014-05-23 08:01 - 2010-12-20 08:06 - 00000104 _____ () C:\Windows\System32\config\netlogon.ftl
2014-05-23 07:56 - 2013-11-11 03:42 - 00000000 ____D () C:\Users\A**********\AppData\Local\Spotify
2014-05-23 07:53 - 2014-05-22 18:37 - 01685430 _____ () C:\Users\A**********\Desktop\Aqnfosyqztpfzfblr.bmp
2014-05-23 07:51 - 2009-07-13 20:39 - 00116802 _____ () C:\Windows\setupact.log
2014-05-23 07:43 - 2013-11-12 03:03 - 00000000 ____D () C:\Users\A**********\Documents\Fichiers Outlook
2014-05-23 04:00 - 2013-11-04 06:59 - 00000000 ____D () C:\Users\A**********\Documents\Emailarchiv
2014-05-22 13:33 - 2011-01-13 18:10 - 00000000 ____D () C:\Users\A**********\Documents\preparation semaine
2014-05-22 13:33 - 2011-01-02 10:18 - 00000000 ____D () C:\Users\A**********\photos A**********
2014-05-22 13:33 - 2010-12-20 08:27 - 00000000 ____D () C:\users\A**********
2014-05-22 13:26 - 2012-08-31 05:37 - 00000000 ____D () C:\Users\A**********\Documents\Clé USB
2014-05-22 13:22 - 2014-02-17 05:29 - 00000000 ____D () C:\A**********b
2014-05-22 13:13 - 2014-05-22 13:13 - 00806400 ___SH (Smule) C:\Users\A**********\AppData\Local\Xeawowpralqfnj.exe
2014-05-22 05:56 - 2010-12-20 08:07 - 00035072 __RSH () C:\ProgramData\ntuser.pol
2014-05-22 05:21 - 2014-05-15 03:10 - 00002042 _____ () C:\Users\A**********\Desktop\Bureau.lnk
2014-05-22 05:21 - 2010-12-20 08:31 - 00000000 ____D () C:\Users\A**********\AppData\Roaming\ICAClient
2014-05-21 04:09 - 2011-06-13 08:43 - 00002133 _____ () C:\Users\Public\Desktop\Google Chrome.lnk
2014-05-20 12:53 - 2010-12-20 08:37 - 00000000 ____D () C:\Users\A**********\AppData\Roaming\Mozilla
2014-05-16 07:19 - 2014-05-16 07:19 - 00296448 _____ () C:\Users\A**********\Desktop\Feedback S********** A**********.pdf.msg
2014-05-15 08:07 - 2014-05-15 08:07 - 00000844 __RSH () C:\Users\A**********\ntuser.pol
2014-05-14 02:14 - 2012-09-03 01:38 - 00692400 _____ (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerApp.exe
2014-05-14 02:14 - 2012-09-03 01:38 - 00070832 _____ (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerCPLApp.cpl
2014-05-14 02:13 - 2014-05-14 02:13 - 17938608 _____ (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerInstaller.exe
2014-05-08 22:23 - 2014-05-08 22:23 - 00000000 __RSH () C:\MSDOS.SYS
2014-05-08 22:23 - 2014-05-08 22:23 - 00000000 __RSH () C:\IO.SYS
2014-05-07 00:50 - 2014-01-18 02:14 - 00000000 ____D () C:\ProgramData\Oracle
2014-05-07 00:49 - 2014-05-07 00:49 - 00004224 _____ () C:\Windows\System32\jupdate-1.7.0_55-b14.log
2014-05-07 00:49 - 2012-02-28 02:29 - 00000000 ____D () C:\Program Files\Java
2014-05-06 08:48 - 2014-05-06 08:48 - 00921512 _____ (Oracle Corporation) C:\Users\A**********\Downloads\chromeinstall-7u55.exe
2014-05-05 06:41 - 2014-05-05 06:41 - 00043008 _____ () C:\Windows\System32\axoleoyt.exe
2014-05-05 06:41 - 2014-05-05 06:41 - 00043008 _____ () C:\Users\A**********\axoleoyt.exe
2014-05-05 06:39 - 2014-05-05 06:39 - 00056704 _____ () C:\Windows\System32\Drivers\486b950da2b4770a.sys

Files to move or delete:
====================
C:\Users\A**********\AppData\Local\Temp\Ojelji\aqila.exe
C:\Users\A**********\axoleoyt.exe


Some content of TEMP:
====================
C:\Users\A**********\AppData\Local\Temp\ApnStub.exe
C:\Users\A**********\AppData\Local\Temp\drm_dialogs.dll
C:\Users\A**********\AppData\Local\Temp\drm_dyndata_7350007.dll
C:\Users\A**********\AppData\Local\Temp\GLFF136.tmp.ConduitEngineSetup.exe
C:\Users\A**********\AppData\Local\Temp\GoogleToolbarInstaller.exe
C:\Users\A**********\AppData\Local\Temp\ImationLOCKv2.26.exe
C:\Users\A**********\AppData\Local\Temp\jre-6u37-windows-i586-iftw.exe
C:\Users\A**********\AppData\Local\Temp\lcica.exe
C:\Users\A**********\AppData\Local\Temp\nsd56D0.tmp.ConduitEngineEmbbed.exe
C:\Users\A**********\AppData\Local\Temp\nsm2FC3.tmp.ConduitEngineEmbbed.exe
C:\Users\A**********\AppData\Local\Temp\SkypeSetup.exe
C:\Users\A**********\AppData\Local\Temp\tbElf2.dll
C:\Users\A**********\AppData\Local\Temp\tbVeo2.dll
C:\Users\A**********\AppData\Local\Temp\_isAE52.exe
C:\Users\A**********\AppData\Local\Temp\_isC3A.exe
C:\Users\A**********\AppData\Local\Temp\_isE098.exe


==================== Known DLLs (Whitelisted) ============


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== Restore Points  =========================


==================== Memory info =========================== 

Percentage of memory in use: 15%
Total physical RAM: 3954.43 MB
Available physical RAM: 3334.38 MB
Total Pagefile: 3952.71 MB
Available Pagefile: 3374.66 MB
Total Virtual: 2047.88 MB
Available Virtual: 1949.29 MB

==================== Drives ================================

Drive c: (OSDisk) (Fixed) (Total:297.79 GB) (Free:135.53 GB) NTFS
Drive e: (CDROM) (CDROM) (Total:1.26 GB) (Free:0 GB) CDFS
Drive f: (MARKUS) (Removable) (Total:14.92 GB) (Free:14.56 GB) FAT32
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: (BDEDrive) (Fixed) (Total:0.29 GB) (Free:0.25 GB) NTFS ==>[System with boot components (obtained from reading drive)]

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 298 GB) (Disk ID: 451027EB)
Partition 1: (Not Active) - (Size=298 GB) - (Type=07 NTFS)
Partition 2: (Active) - (Size=300 MB) - (Type=07 NTFS)

========================================================
Disk: 1 (MBR Code: Windows XP) (Size: 15 GB) (Disk ID: C3072E18)
Partition 1: (Active) - (Size=15 GB) - (Type=0C)


LastRegBack: 2014-05-01 14:18

==================== End Of Log ============================
         
--- --- ---


Mir geht es weniger um den Computer, den ich auch neu installieren kann. Wichtiger sind jedoch die Dateien, die nun verschlüsselt sind. Wenn mir jemand helfen könnte, das wäre grossartig.

Vielen Dank schon einmal im vorraus für eure Hilfe.

Markus

Edit:
Nachdem ich hier im Forum gelesen habe, dass Cryptolocker eine Nachricht auf dem Desktop hinterlässt, bin ich auch auf diesem Computer fündig geworden. Ich weiss nicht wie ich hier Fotos hochladen kann, deswegen der Inhalt:

Cryptolocker

Your important files encryption produced on this computer: photos, videos, documents, etc.

If you see this text, but do not see the "Cryptolocker" window, then your antivirus deleted "CryptoLocker" from computer.

If you need your files, you have to recover "Cryptolocker" from the antivirus quarantine, or find a copy of "Cryptolocker" in the Internet and start it again.

You can download "Cryptolocker" from the link given below.
hxxp://rxcahxobqdru.com/0388.exe

Approximate destruction time of your private key:
27/05/2014 04:39

If the time is finished you are unable to recover files anymore! Simply remove this wallpaper from your desktop.

Geändert von mistaluna (02.06.2014 um 13:28 Uhr)

Alt 02.06.2014, 14:24   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt - Standard

Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt



Hi und

Zitat:
Deswegen würde ich euch gerne um Hilfe bitten. Ich habe den Computer nach Anleitung hier im Forum mit dem Farbar Recovery Scan Tool gescannt:
Was genau ist denn Ziel des ganzen? Die verschlüsselten Daten entschlüsseln oder den Rechner sauber kriegen?

Das hier => http://www.trojaner-board.de/144615-...entfernen.html habt ihr zum Cryptolocker gelesen?
__________________

__________________

Alt 02.06.2014, 14:32   #3
mistaluna
 
Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt - Standard

Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt



Hallo,

Zitat:
Was genau ist denn Ziel des ganzen? Die verschlüsselten Daten entschlüsseln oder den Rechner sauber kriegen?
danke für die Antwort. Ziel ist die Dateien wieder zu entschlüsseln.

Zitat:
Das hier => CryptoLocker entfernen habt ihr zum Cryptolocker gelesen?
Habe zwei Methoden des Links ausprobiert:

1. Dateien reparieren => habe ein pdf genommen und das Programm RecoveryToolboxForPDFInstall.exe ausprobiert. Es bricht jedoch mit einer Fehlermeldung ab: Kein PDF-Dokument in der Quelldatei gefunden

2. Dateien entschlüsseln => Habe DecryptHelper-0.5.3.exe ausprobiert und ihn mit einer verschlüsselten Datei und der zugehörigen Orginaldatei gefüttert, die ich zufällig noch auf einem älteren USB-Stick gefunden habe (Button Schlüssel erzeugen). Fehlermeldung : Die Dateien sind unterschiedlich groß. (Anmerkung: Der Grössenunterschied beträgt etwa 1 kb.)

3. Dateien entschlüsseln => Habe ebenfalls Avira-RansomFileUnlocker-1.0.1 ausprobiert. Fehlermeldung : The given pair does not match.

Habe bei 2 und 3 jeweils mehrere Dateien ausprobiert jedoch immer mit identischen Ergebnis.
__________________

Geändert von mistaluna (02.06.2014 um 15:04 Uhr)

Alt 02.06.2014, 15:01   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt - Standard

Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt



Das wird verdammt schwierig bei Cryptolocker. Unsere Tools helfen da so nicht weiter, also sowas wie FRST oder Malwarebytes, die sind "nur" für die Systemanalyse und Beseitigung der Malware gedacht, aber nicht zum Entschlüsseln konzipiert. U.U. hast du Chancen mit den Tools die auf Posting #2 im Cryptolocker-Thread erwähnt werden.

Den Rechner setzt du einfach neu auf oder was hast du vor?
__________________
Logfiles bitte immer in CODE-Tags posten

Geändert von cosinus (02.06.2014 um 15:10 Uhr)

Alt 02.06.2014, 15:07   #5
mistaluna
 
Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt - Standard

Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt



Zitat:
U.U. hast du Chancen mit den Tools die auf Posting #2 im Cryptolocker-Thread werden.
Wenn ich richtig verstehe muss ich Malwarebytes ausführen. Der Rechner startet jedoch weder abgesichert noch normal. Also muss ich ihn erst mal in gang bringen oder gibt es eine andere Methode?

Zitat:
Den Rechner setzt du einfach neu auf oder was hast du vor?
Ja den Rechner kann ich neu aufsetzen. Ist mir sowieso lieber damit wirklich alles clean ist.


Alt 02.06.2014, 15:10   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt - Standard

Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt



Hätte ich auch empfohlen allein wegen diesem "hübschen" Eintrag

Zitat:
S0 486b950da2b4770a; C:\Windows\System32\Drivers\486b950da2b4770a.sys [56704 2014-05-05] () <===== ATTENTION Necurs Rootkit?
__________________
--> Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt

Alt 02.06.2014, 15:25   #7
mistaluna
 
Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt - Standard

Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt



Gut zu wissen. Noch eine Frage dazu. Ich habe den Rechner ja mit Farbar Recovery Scan Tool gescant, nachdem ich ihn über die Computerreparaturoptionen (Windowsstart mit F8) booten konnte. Farbar Recovery Scan habe ich von nem USB-Stick gestartet auf den auch der Logfile gespeichert wurde. Den Logfile habe ich mit nem USB-Stick auf nem meinen Rechner geladen. Gibt es ein Risiko, dass das Rootkit auch den USB-Stick und damit meinen Rechner infiziert hat?

Alt 02.06.2014, 15:26   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt - Standard

Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt



Rootkits befallen ein Betriebssystem, keine Datenträger.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 02.06.2014, 16:15   #9
mistaluna
 
Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt - Standard

Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt



Also sind die Windows-Computerreparaturoptionen kein Teil des Betriebssystems und daher auch nicht Rootkit-gefährdet?

Zitat:
Zitat von cosinus Beitrag anzeigen
U.U. hast du Chancen mit den Tools die auf Posting #2 im Cryptolocker-Thread erwähnt werden.
Also wie schon geschrieben, will ich die Dateien wiederherstellen. Ich finde auf der Seite http://www.trojaner-board.de/116851-...strojaner.html jedoch keine für mich relevanten Infos. Die Verschlüsselten Dateien haben in meinem Fall den gleichen Namen wie vorher, sind aber nicht lesbar. Ich habe eine Reparatur eines pdf mit der empfohlenen Recoverx Toolbox versucht, jedoch auch ohne Erfolg.

Wenn ich den diversen Berichten zum Cryptolocker im Internet glauben schenken darf, werden die Dateien mit RSA-2048 verschlüsselt. Eine simple Reparatur sollte wohl unter diesen Umständen keinen Erfolg versprechen.

Damit bleibt mir wohl als erste Option den Schlüssel durch Bruteforce selbst herauszufinden. Wenn ich weiterhin den diversen Artikeln glauben darf, sollte dies beim derzeitigen Stand der Technik unmöglich sein. Ausser jemand entwickelt mir mal schnell einen Quantencomputer und die nötige Software. Mit anderen Worten: Das kann ich wohl vergessen.

Die zweite Option wäre wohl das Lösegeld zu zahlen und zu hoffen, dass ich den Schlüssel bekomme. Davon abgesehen, dass mir dies wiederstrebt, müsste ich allerdings erst einmal auf den infizierten Rechner zugreifen können. Dieser ist jedoch wie schon beschrieben blockiert.

Daher meine Frage: Wie komme ich jetzt wieder soweit in den Computer, um die erforderlichen Informationen zu bekommen?

Alt 02.06.2014, 20:55   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt - Standard

Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt



Zitat:
Also sind die Windows-Computerreparaturoptionen kein Teil des Betriebssystems und daher auch nicht Rootkit-gefährdet?
Was hat das mit dem USB-Stick zu tun?

Zitat:
Die zweite Option wäre wohl das Lösegeld zu zahlen und zu hoffen, dass ich den Schlüssel bekomme. Davon abgesehen, dass mir dies wiederstrebt, müsste ich allerdings erst einmal auf den infizierten Rechner zugreifen können. Dieser ist jedoch wie schon beschrieben blockiert.
Entschlüsselung nicht möglich. Siehe auch CryptoLocker Ransomware Information Guide and FAQ

Wenn das stimmt was die sagt ist der Key zum Entschlüsseln eh schon weg:
Zitat:
Approximate destruction time of your private key:
27/05/2014 04:39
Mal ne blöde Frage, warum existiert von den so wichtigen Daten kein Backup auf externe Datenträger?
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt
adobe, antivirus, bildschirm, computer, cryptolocker, dateien verschlüsselt, desktop, excel, explorer, feedback, google, helper, limewire, private key, problem, programm, registry, rootkit, scan, schwarzer bildschirm, services.exe, software, spotify web helper, sttray.exe, svchost.exe, symantec, temp, trojaner, werbung, windows, windows xp



Ähnliche Themen: Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt


  1. All Programmen und Dateien sind verschlüsselt in einer Datie von 62 Gb mit mail adresse prosschiff@gmail.com_.crypt
    Log-Analyse und Auswertung - 13.09.2015 (3)
  2. Trojaner eingefangen Dateien sind Locked verschlüsselt! Wie entschlüsseln? Hilfe!!
    Log-Analyse und Auswertung - 30.01.2014 (3)
  3. ukash: dateien verschlüsselt, sicherung startet nicht, win7
    Log-Analyse und Auswertung - 10.03.2013 (31)
  4. Eigene Dateien verschlüsselt bzw umbennat und nicht mehr nutzbar
    Diskussionsforum - 02.10.2012 (4)
  5. Windows Verschlüsselungs Trojaner entfernt aber die Dateien sind verschlüsselt!
    Plagegeister aller Art und deren Bekämpfung - 09.08.2012 (25)
  6. Trojaner - Dateien sind verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 23.07.2012 (15)
  7. ransom.ez entfernt, Einige Dateien sind verschlüsselt, Tools haben nicht geholfen.
    Plagegeister aller Art und deren Bekämpfung - 22.07.2012 (2)
  8. Dateien aller Art sind komplett verschlüsselt ohne irgend eine Dateiendung..
    Plagegeister aller Art und deren Bekämpfung - 16.07.2012 (1)
  9. Dateien sind verschlüsselt, aber nicht umbenannt.
    Plagegeister aller Art und deren Bekämpfung - 04.07.2012 (1)
  10. Sind meine Dateien verschlüsselt ?
    Plagegeister aller Art und deren Bekämpfung - 07.06.2012 (2)
  11. Dateien sind verschlüsselt und lassen sich nicht mehr öffnen!
    Plagegeister aller Art und deren Bekämpfung - 05.06.2012 (5)
  12. Nach einer Rechnungsmail sind alle jpq Dateien umbenannt und verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 22.05.2012 (2)
  13. Lizenz-Trojaner entfernt, Scareuncrypt entschlüsselt auch aber Dateien sind trotzdem nicht lesbar
    Plagegeister aller Art und deren Bekämpfung - 16.05.2012 (0)
  14. Desktop Icons und Dateien werden nach Infizierung nicht mehr angezeigt - mein Rechner auch!
    Plagegeister aller Art und deren Bekämpfung - 20.03.2012 (2)
  15. Avira Antivir startet nicht mehr - Download von Dateien nicht mehr möglich
    Log-Analyse und Auswertung - 06.10.2010 (34)
  16. Internet explorer startet nicht und manche exe dateien sind 'keine zulässige win32...
    Log-Analyse und Auswertung - 24.03.2010 (1)
  17. Firewall ist weg, manache dateien sind angeblich nicht mehr da
    Plagegeister aller Art und deren Bekämpfung - 21.11.2008 (1)

Zum Thema Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt - Hallo, ich habe mich dem Problem meiner Freundin angenommen, die selbst keine Ahnung von Computern hat. Leider komme ich auch nicht weiter. Zu den Symptomen: Meine Freundin hat plötzlich gemerkt, - Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt...
Archiv
Du betrachtest: Computer startet nach Virusinfektion nicht mehr, Dateien auch auf Netzlaufwerk sind verschlüsselt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.