Was wird wahrscheinlich passieren wenn ich den Wiederherstellungspunkt ausführen lasse?
Ist dann meine Systemplatte eventuell wieder ok? Bis auf ein paar gesperrte Files in den Eigenen Dateien?
Aktuell sind auch alle Firefox und Thunderbird Einstellungen weg.

Was Defender gefunden und gelöscht hat kann ich nicht mehr feststellen.
Direkt danach tauchten die txt-Files und die verschlüsselten Dateien auf.

Was ist mit den Decryptern af Emsisoft?
Da sind ja verschiedene. Ich wüsste nur nicht welchen ich auswählen sollte.
https://decrypter.emsisoft.com/

Ist bei diesem Schädling auch so was wie ein Virus auf dem PC?
Oder werden die Dateien aus dem Netz verschlüsselt?
Aber anscheinend sind da schon irgendwelche exe-Dateien platziert.

Kann ich nicht infizierte/verschlüsselte Dateien sichern? Es sind ja nicht alle verschlüsselt.
Oder arbeitet das Virus weiter und verschlüsselt weitere Dateien?

Zitat:

Zitat von paulmueck

Was wird wahrscheinlich passieren wenn ich den Wiederherstellungspunkt ausführen lasse?
Ist dann meine Systemplatte eventuell wieder ok? Bis auf ein paar gesperrte Files in den Eigenen Dateien?

Kann ich dir nicht sagen. Die Malware könnte weg sein, aber auch nicht.

Zitat:

Zitat von paulmueck

Was ist mit den Decryptern af Emsisoft?
Da sind ja verschiedene. Ich wüsste nur nicht welchen ich auswählen sollte.
https://decrypter.emsisoft.com/

Hilft nichts... laut diesem Artikel gibt es keinen Decrypter.

Zitat:

Zitat von paulmueck

Ist bei diesem Schädling auch so was wie ein Virus auf dem PC?
Oder werden die Dateien aus dem Netz verschlüsselt?
Aber anscheinend sind da schon irgendwelche exe-Dateien platziert.

Ich habe keine weitere Malware in dem FRST Logfile gesehen.
Sie werden nicht vom Netz verschlüsselt, sonern von Malware, die lokal auf deinem PC läuft.

Zitat:

Zitat von paulmueck

Kann ich nicht infizierte/verschlüsselte Dateien sichern? Es sind ja nicht alle verschlüsselt.
Oder arbeitet das Virus weiter und verschlüsselt weitere Dateien?

Klar kannst du Dateien sichern... Die Malware könnte sich erneut starten...

Du solltest sagen, was du tun möchtest... Systemwiederhstellung laufen lassen oder Rechner bereinigen....

Ok. Danke für Deine Antworten.

Zitat:

Hilft nichts... laut diesem Artikel gibt es keinen Decrypter.

Dann wird es wohl auch nichts nützen im Emsisoft Forum anzufragen ...

Ich schildere nochmal kurz die Situation mit der bitte um Deinen Rat:
SSD:C mit Windows und meine Partion :I (Bootpartion 350MB) sind betroffen.
Die Ordner mit betroffenen/verschlüsselten Dateien erkennt man im ersten Moment an dem Textfile GDCB-DECRYPT.txt.
Auf C: sind hauptsächlich die Ordner Benutzer>Benutzername>Appdata>Roaming und Local betroffen. Eben da wo Email und Browser Daten sind.
Im eigentlichen Windows-Ordner auf C: ist nichts zu erkennen.

Bei den restlichen 5 Platten/Partionen und der externen Festplatte sind ebenfalls nur die ersten Ordner betroffen.
Das sind alles Daten. Von einigen habe ich Sicherungen.
Mit Dateien von Native Instruments (nki, ncw, ...) konnte der Schädling anscheinend nichts anfangen. Da ist nichts von GDCB zu sehen.
Einiges ist verloren, aber insgesamt anscheinend nur ein kleiner Teil.

Zitat:

Ich habe keine weitere Malware in dem FRST Logfile gesehen.
Sie werden nicht vom Netz verschlüsselt, sonern von Malware, die lokal auf deinem PC läuft.

Das heißt Du würdest/könntest weiter nach der Malware suchen?
Daß das die Dateien nicht entschlüsselt ist mir klar.

Mindestens eine verdächtige Datei ist in der FRST.txt ja vorhanden:

Zitat:

HKU\S-1-5-21-1841176941-2286993146-1741802375-1001\...\RunOnce: [gnajytzgwfz] => C:\Users\Paul\AppData\Local\Temp\Low\b4.exe [313344 2018-02-16] () <==== ACHTUNG
Startup: C:\Users\Paul\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DefenderUpdate.lnk.GDCB [2018-02-16]
Startup: C:\Users\Paul\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\GDCB-DECRYPT.txt [2018-02-16] ()

Zitat:

Dateien, die verschoben oder gelöscht werden sollten:
====================
C:\Users\Paul\AppData\Local\Temp\Low\b4.exe

Einmal hatte ich den PC neu gestartet und da hat sich auch diese b4.exe gemeldet, wurde aber von Windows geblockt: wollen Sie zulassen, daß .... Ja - Nein.

Kann man davon ausgehen, daß sich die Malware auf den Partionen C: bzw I: befindet?
Dann könnte ich ja die Platten mit Daten erst mal abhängen.

Man weiß nicht, ob die Systemwiederherstellung funktionieren würde.
Wenn was zum Retten interessant wäre, dann sind das die Daten von Thunderbird und Firefox.

Was würdest Du tun?
Erstmal Malware suchen?
Das wird aber zuerst mal die Profile-Files in Appdata/Roaming von Firefox und Email nicht freigeben/retten.

Bitte schrebe was Du denkst.
Ich mache gerne weitere Angaben, wenn nötig.

Gruß Ralf

Servus,

Zitat:

Das heißt Du würdest/könntest weiter nach der Malware suchen?

Ich kann den Verschlüsselungstrojaner für dich entfernen; zudem können wir auf weitere Malware hin den Rechner überprüfen. Das ist mein Angebot.

Zitat:

Kann man davon ausgehen, daß sich die Malware auf den Partionen C: bzw I: befindet?

Die Malware befindet sich auf C:.

Zitat:

Dann könnte ich ja die Platten mit Daten erst mal abhängen.

Klar. Grundsätzlich gilt: Man sollte externe Platten oder andere Laufwerke nie ständig angesteckt lassen (so wie du es anscheinend leider gemacht hast).

Zitat:

Man weiß nicht, ob die Systemwiederherstellung funktionieren würde.
Wenn was zum Retten interessant wäre, dann sind das die Daten von Thunderbird und Firefox.

Was würdest Du tun?
Erstmal Malware suchen?
Das wird aber zuerst mal die Profile-Files in Appdata/Roaming von Firefox und Email nicht freigeben/retten.

Ich würde alle Laufwerke mit privaten Daten nicht länger am PC belassen.
Des Weiteren würde ich eine Systemwiederherstellung vor der Infektion durchführen. Evtl. hilft es ja und die privaten Daten von FF & Co sind wieder da.

Danach können wir mit FRST nochmal einen Suchlauf starten, ob die Malware noch da ist.

Hallo und Danke!

Die Wiederherstellung hat anscheinend funktioniert.
Firefox und Thunderbird lassen sich wieder starten.
Es sind jetzt jeweils 2 Profil-Ordner vorhanden.
Einer ist ohne Verschlüsselung - die wurden anscheinend nach der Infektion neu anglegt als ich Thunderbird und Firefox geöffnet hatte.
Der zweite hat neue Dateien erzeugt die verschlüsselten Daten mit der Endung GDBC sind noch zu sehen. Siehe Bild1.

Die GDCB-DECRYPT.txt-Files sind noch in allen Ordnerebenen von AppData Roaming zu sehen. Ebenso in der Bootpartition I:
Nach dem Hochfahren hat sich eines dieser txt-Files automatisch geöffnet.

Unter Netzwerkadressen ist auch noch eines. Siehe Bild2.

Hätte Emsisoft Anti Malware diese Infektion verhindert?

Gruß Ralf

Neue FRST Files anbei

Servus,

Zitat:

Hätte Emsisoft Anti Malware diese Infektion verhindert?

Angeblich verhindert Emsisoft so etwas... auch bei MBAM weiß ich, dass deren Echtzeitschutz Ransomware blockiert.

Der Windows Defender hat mit dem neuesten Update (4.12) eigentlich auch einen Schutz vor Verschlüsselungstrojanern. Darum wurde wahrscheinlich auch nicht alles bei dir verschlüsselt, danach hat der Ordnerschutz gegriffen (wenn auch etwas zu spät anscheinend)... oder läuft der Schutz nur unter Windows 10... hhhmm, bin mir da gerade gar nicht so sicher...

Bei mir läuft MBAM Premium und Windows Defender... parallel mit Schutz vor Ransomware. Gebraucht hab ich meinen Schutz aber noch nie...


Wir entfernen jetzt noch recurisv die .txt Dateien (Schritt 1 kann ggf. etwas dauern; ich füge einfach alle Laufwerksbuchstaben bis einschließlich "I" ein... jedes Laufwerk, das vorhanden ist, wird von den .txt Dateien befreit) und kontrollieren deinen Rechner gründlich auf Malware.

Alle GDBC-verschlüsselten Dateien bzw. Profile (FF, TB, etc.) solltest du selbst löschen und neue anlegen (sofern noch nicht getan). Eine Wiederherstellung ist nach heutigem Stand nicht möglich.





Schritt 1

• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code: Alles auswählenAufklappen

  ATTFilter

  Start::
  CMD: delete "C:\GDCB-DECRYPT.txt" /F /Q /S
  CMD: delete "D:\GDCB-DECRYPT.txt" /F /Q /S
  CMD: delete "E:\GDCB-DECRYPT.txt" /F /Q /S
  CMD: delete "F:\GDCB-DECRYPT.txt" /F /Q /S
  CMD: delete "G:\GDCB-DECRYPT.txt" /F /Q /S
  CMD: delete "H:\GDCB-DECRYPT.txt" /F /Q /S
  CMD: delete "I:\GDCB-DECRYPT.txt" /F /Q /S
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  RemoveProxy:
  CMD: ipconfig /flushdns
  EmptyTemp:
  End::
           

• Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
• Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2
Downloade Dir bitte AdwCleaner auf deinen Desktop (Bebilderte Anleitung).

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Werkzeuge > Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel
  • "Prefetch" Dateien
  • Proxy
  • Winsock
  • Internet Explorer Richtlinien
  • Chrome Richtlinien
• Bestätige die Auswahl mit Ok.
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen (auch dann wenn AdwCleaner sagt, dass nichts gefunden wurde) und bestätige auftretende Hinweise mit Ok.
• Klicke am Ende der Bereinigung auf Jetzt neu starten. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 3
Downloade Dir bitte Malwarebytes Anti-Malware 3 (Bebilderte Anleitung)

• Installiere das Programm in den vorgegebenen Pfad.
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scan, wähle den Bedrohungs-Scan aus und klicke auf Scan starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Ausgewählte Elemente in die Quarantäne verschieben.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM nach dem Neustart, klicke auf Berichte.
• Wähle den neuesten Scan-Bericht aus, klicke auf Bericht anzeigen und dann auf Export.
• Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 4

• Starte die FRST.exe erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort

• die Logdatei des FRST-Fix (fixlog.txt),
• die Logdatei von AdwCleaner,
• die Logdatei von MBAM,
• die zwei neuen Logdateien von FRST.

Hallo,

es gibt ein Problem bei Schritt 1:

========= delete "C:\GDCB-DECRYPT.txt" /F /Q /S =========

Der Befehl "delete" ist entweder falsch geschrieben oder
konnte nicht gefunden werden.

========= Ende von CMD: =========

... bei allen Laufwerken.
Log anbei.