Hallo

Hatte mir am 30.4. so einen 50 Euro trojaner eingefangen, der mir den PC
komplett sperrte.

Am 01.05. dann Vista komplett neu aufgespielt.
danach hörte ich daß sich der Trojaner auch im MBR einnistet.

Ist der Trojaner jetzt weg ?

Ansonsten danke für die Links zu Avira - das Teil restauriert alles.

Da ich immer noch jede Woche solche Mails bekomme, habe 2 an Markus
geschickt, woher haben die die Daten ?

Gruß Michael

Grüß Dich Michael,

das sich der Trojaner in den MBR reinschreibt, ist mir bisher nicht bekannt, zumindest konnte ich das nicht nachvollziehen.

Wenn Du hier auf Nummer sicher gehen möchtest, dann würde ich Dir zu folgendes Raten:

Du nimmst Deine Setup Cd von Windows und startest diese. Nachdem er Dich nach den Landeseinstellungen gefragt hast, klickst Du im nächsten Bild unten links auf Computerreparaturoptionen. Er müsste jetzt einige Informationen über Deinen Computer suchen. Wenn er Dein System erkannt hat, einfach auf weiter klicken.
Als Tool wählst Du nun die Eingabeaufforderung.

Dort einfach folgendes Eintippen (ohne Anführungszeichen):
"bootrec /fixmbr"

und mit der Eingabe bestätigen. Als Meldung müsste jetzt kommen "Der Vorgang wurde abgeschlossen".

Falls jetzt noch etwas im MBR war, dann ist es jetzt nicht mehr da...

Woher die Daten kommen, da würde ich Dir gerne ein Video von SemperVideo empfehlen. Da ist das Prinzip anschaulich erklärt. Das Video geht zwar auf das SPAM-Problem ein, aber so in der Art wird es jetzt auch mit dem Verschlüsselungstrojaner gemacht werden:

http://www.youtube.com/watch?v=CiNe_MZC6Dg&feature=plcp

Gruß
René

Achso, es kann nicht schaden, wenn Du alle Dateien, die Du noch so bekommst an markusg weiterleitest. Ich hab hier auch einige verschiedene Versionen, die sich auch ein wenig unterschiedlich verhalten.

Hallo

Dann da noch eine Kleinigkeit.
Nachdem bei mir ja alle Dateien verschlüsselt waren, lud ich mit unter anderem auch den
Decrypt Helper runter.
Jetzt lies ich Malwarebytes laufen und es meldete eben diesen Decrypthelper als infiziert.
sonst nur ein Eintrag in der Registry.

Gruß Michael

Grüß Dich Michael,

danke für die Info, werd gleich mal schauen, ob ich es nachvollziehen kann.

Aber sofern Du den Decrypt Helper hier vom Board runter geladen hast, dann kannst Du davon ausgehen, dass es sich hierbei um einen Fehlalarm handelt.

Gruß
René

Hallo Rene

Danke Hier einmal der Logtext von malwarebytes.
Malwarebytes Anti-Malware (Test) 1.61.0.1400
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.05.20.01

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Michael :: MICHAEL-PC [Administrator]

Schutz: Aktiviert

20.05.2012 08:26:42
mbam-log-2012-05-20 (08-26-42).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 186180
Laufzeit: 4 Minute(n), 37 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKCU\Software\TimeSink, Inc. (AdWare.TimeSink) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Michael\Downloads\DecryptHelper-0.5.3.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Gruß Michael