Dateien verschlüsselt mit RSA4096; TR/Crypt/Zpack.gen; TR/atraps/Gen

M-K-D-B · 26.06.2016, 12:39

Servus,

1)
es gibt derzeit keinen Decrypter for die verschlüsselten Dateien, d. h. aktuell kann man sie nicht entschlüsseln.
Trotzdem würde ich die verschlüsselten Dateien behalten, evtl. gibt es in Zukunft ein Programm zum entschlüsseln.

2)
Die Schadsoftware an sich können wir entfernen.

Schritt 1
Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

start
CloseProcesses:
Startup: C:\Users\Petra\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!107C27F828FAB.lnk [1899-12-30]
ShortcutTarget: !107C27F828FAB.lnk -> C:\ProgramData\!107C27F828FA.bmp ()
C:\ProgramData\!107C27F828FA.bmp
Startup: C:\Users\Petra\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!107C27F828FAH.lnk [1899-12-30]
ShortcutTarget: !107C27F828FAH.lnk -> C:\ProgramData\!107C27F828FA.html ()
C:\ProgramData\!107C27F828FA.html
Tcpip\..\Interfaces\{3C656E6C-B02A-465C-9DE5-B0FAD9B5B6C3}: [DhcpNameServer] 61.177.7.1 218.104.32.106 168.95.1.1
Toolbar: HKLM - Kein Name - {41564952-412D-5637-00A7-7A786E7484D7} -  Keine Datei
Toolbar: HKU\S-1-5-21-3399224521-1943896031-3567854259-1001 -> Kein Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} -  Keine Datei
Toolbar: HKU\S-1-5-21-3399224521-1943896031-3567854259-1001 -> Kein Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  Keine Datei
Toolbar: HKU\S-1-5-21-3399224521-1943896031-3567854259-1001 -> Kein Name - {41564952-412D-5637-00A7-7A786E7484D7} -  Keine Datei
BHO: Kein Name -> {5C255C8A-E604-49b4-9D64-90988571CECB} -> Keine Datei
C:\ProgramData\!107C27F828FA.cfg
Folder: C:\ProgramData\{EB4EB77B-E94F-443C-8B3C-22584FBC1005}
RemoveProxy:
CMD: ipconfig /flushdns
CMD: netsh winsock reset
EmptyTemp:
end

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

Starte nun FRST erneut und klicke den Entfernen Button.
Das Tool erstellt eine Fixlog.txt.
Poste mir deren Inhalt.

Schritt 2
Lade dir die passende Version von SystemLook vom folgenden Spiegel herunter und speichere das Tool auf dem Desktop:
SystemLook (32 bit) | SystemLook (64 bit)

Doppelklicke auf die SystemLook.exe, um das Tool zu starten.
Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
Code:
ATTFilter
```
:filefind
*!107C27F828FA*

:folderfind
*!107C27F828FA*

:regfind
!107C27F828FA
         
```
Klicke nun auf den Button Look, um den Scan zu starten.
Der Suchlauf kann einige Zeit dauern.
Wenn der Suchlauf beendet ist, wird sich dein Editor mit den Ergebnissen öffnen, poste diese in deinen Thread.
Die Ergebnisse werden auch auf dem Desktop als SystemLook.txt gespeichert.

Schritt 2
Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 3
Downloade Dir bitte

Malwarebytes Anti-Malware

Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
Starte Malwarebytes' Anti-Malware (MBAM).
Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 4

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
Drücke eine beliebige Taste, um das Tool zu starten.
Je nach System kann der Scan eine Weile dauern.
Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Schritt 5

Starte die FRST.exe erneut. Setze einen Haken vor Addition.txt und drücke auf Scan.
FRST erstellt nun zwei Logdateien (FRST.txt und Addition.txt).
Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

die Logdatei des FRST-Fix,
die Logdatei von AdwCleaner,
die Logdatei von MBAM,
die Logdatei von JRT,
die beiden neuen Logdateien von FRST.

Dateien verschlüsselt mit RSA4096; TR/Crypt/Zpack.gen; TR/atraps/Gen

Log-Analyse und Auswertung: Dateien verschlüsselt mit RSA4096; TR/Crypt/Zpack.gen; TR/atraps/Gen

Dateien verschlüsselt mit RSA4096; TR/Crypt/Zpack.gen; TR/atraps/Gen

Ähnliche Themen: Dateien verschlüsselt mit RSA4096; TR/Crypt/Zpack.gen; TR/atraps/Gen