Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: GDCB-Decrypt Befall, Dateien verschlüsselt

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 16.02.2018, 19:39   #1
paulmueck
 
GDCB-Decrypt Befall, Dateien verschlüsselt - Standard

GDCB-Decrypt Befall, Dateien verschlüsselt



Hallo,
es sind alle internen Festplatten und 1 externe betroffen.
Es ist aber anscheinend meist nur die oberste Ordner-Ebene der Festplatte betroffen, also der erste Ordner und die darin enthaltenen Ordner und Dateien.
Dort befndet sich auch dann ein txt-file mit dem Hinweis Tor zu installieren und dort zu zahlen.

3 dieser txt-Hinweise habe ich gelöscht um auszuprobieren ob man die löschen kann.
Wiederherstellen wäre über den Papierkorb möglich.

Der betroffene Rechner ist aktuell vom Netz getrennt.
OS Win8.1

Ein Wiederhestellungspunkt von gestern, dem 15.2. für die Systemplatte C ist vorhanden.
Für die anderen Platten nicht.

Gruß Ralf

Der Virenscanner hatte verdächtige Dateien angezeigt, die dann gelöscht wurden

Geändert von paulmueck (16.02.2018 um 20:03 Uhr)

Alt 16.02.2018, 22:04   #2
M-K-D-B
/// TB-Ausbilder
 
GDCB-Decrypt Befall, Dateien verschlüsselt - Standard

GDCB-Decrypt Befall, Dateien verschlüsselt







Wir können hier Schadsoftware entfernen. Verschlüsselte Dateien/Ordner wiederherstellen ist nicht möglich.

Was genau für eine Hilfe möchtest/erwartest du?
Ich frage das, weil du etwas von einem Wiederherstellungspunkt geschrieben hast.


Zitat:
Der Virenscanner hatte verdächtige Dateien angezeigt, die dann gelöscht wurden
Genauere Informationen hierzu (Unter welchem Pfad wurde welche Schadsoftware wann genau gefunden?) wären hilfreich.
__________________


Geändert von M-K-D-B (16.02.2018 um 22:09 Uhr)

Alt 17.02.2018, 12:51   #3
paulmueck
 
GDCB-Decrypt Befall, Dateien verschlüsselt - Standard

GDCB-Decrypt Befall, Dateien verschlüsselt



Was wird wahrscheinlich passieren wenn ich den Wiederherstellungspunkt ausführen lasse?
Ist dann meine Systemplatte eventuell wieder ok? Bis auf ein paar gesperrte Files in den Eigenen Dateien?
Aktuell sind auch alle Firefox und Thunderbird Einstellungen weg.

Was Defender gefunden und gelöscht hat kann ich nicht mehr feststellen.
Direkt danach tauchten die txt-Files und die verschlüsselten Dateien auf.

Was ist mit den Decryptern af Emsisoft?
Da sind ja verschiedene. Ich wüsste nur nicht welchen ich auswählen sollte.
https://decrypter.emsisoft.com/

Ist bei diesem Schädling auch so was wie ein Virus auf dem PC?
Oder werden die Dateien aus dem Netz verschlüsselt?
Aber anscheinend sind da schon irgendwelche exe-Dateien platziert.

Kann ich nicht infizierte/verschlüsselte Dateien sichern? Es sind ja nicht alle verschlüsselt.
Oder arbeitet das Virus weiter und verschlüsselt weitere Dateien?
__________________

Alt 17.02.2018, 21:06   #4
M-K-D-B
/// TB-Ausbilder
 
GDCB-Decrypt Befall, Dateien verschlüsselt - Standard

GDCB-Decrypt Befall, Dateien verschlüsselt



Zitat:
Zitat von paulmueck Beitrag anzeigen
Was wird wahrscheinlich passieren wenn ich den Wiederherstellungspunkt ausführen lasse?
Ist dann meine Systemplatte eventuell wieder ok? Bis auf ein paar gesperrte Files in den Eigenen Dateien?
Kann ich dir nicht sagen. Die Malware könnte weg sein, aber auch nicht.



Zitat:
Zitat von paulmueck Beitrag anzeigen
Was ist mit den Decryptern af Emsisoft?
Da sind ja verschiedene. Ich wüsste nur nicht welchen ich auswählen sollte.
https://decrypter.emsisoft.com/
Hilft nichts... laut diesem Artikel gibt es keinen Decrypter.




Zitat:
Zitat von paulmueck Beitrag anzeigen
Ist bei diesem Schädling auch so was wie ein Virus auf dem PC?
Oder werden die Dateien aus dem Netz verschlüsselt?
Aber anscheinend sind da schon irgendwelche exe-Dateien platziert.
Ich habe keine weitere Malware in dem FRST Logfile gesehen.
Sie werden nicht vom Netz verschlüsselt, sonern von Malware, die lokal auf deinem PC läuft.



Zitat:
Zitat von paulmueck Beitrag anzeigen
Kann ich nicht infizierte/verschlüsselte Dateien sichern? Es sind ja nicht alle verschlüsselt.
Oder arbeitet das Virus weiter und verschlüsselt weitere Dateien?
Klar kannst du Dateien sichern... Die Malware könnte sich erneut starten...

Du solltest sagen, was du tun möchtest... Systemwiederhstellung laufen lassen oder Rechner bereinigen....

Alt 17.02.2018, 23:09   #5
paulmueck
 
GDCB-Decrypt Befall, Dateien verschlüsselt - Standard

GDCB-Decrypt Befall, Dateien verschlüsselt



Ok. Danke für Deine Antworten.

Zitat:
Hilft nichts... laut diesem Artikel gibt es keinen Decrypter.
Dann wird es wohl auch nichts nützen im Emsisoft Forum anzufragen ...

Ich schildere nochmal kurz die Situation mit der bitte um Deinen Rat:
SSD:C mit Windows und meine Partion :I (Bootpartion 350MB) sind betroffen.
Die Ordner mit betroffenen/verschlüsselten Dateien erkennt man im ersten Moment an dem Textfile GDCB-DECRYPT.txt.
Auf C: sind hauptsächlich die Ordner Benutzer>Benutzername>Appdata>Roaming und Local betroffen. Eben da wo Email und Browser Daten sind.
Im eigentlichen Windows-Ordner auf C: ist nichts zu erkennen.

Bei den restlichen 5 Platten/Partionen und der externen Festplatte sind ebenfalls nur die ersten Ordner betroffen.
Das sind alles Daten. Von einigen habe ich Sicherungen.
Mit Dateien von Native Instruments (nki, ncw, ...) konnte der Schädling anscheinend nichts anfangen. Da ist nichts von GDCB zu sehen.
Einiges ist verloren, aber insgesamt anscheinend nur ein kleiner Teil.

Zitat:
Ich habe keine weitere Malware in dem FRST Logfile gesehen.
Sie werden nicht vom Netz verschlüsselt, sonern von Malware, die lokal auf deinem PC läuft.
Das heißt Du würdest/könntest weiter nach der Malware suchen?
Daß das die Dateien nicht entschlüsselt ist mir klar.

Mindestens eine verdächtige Datei ist in der FRST.txt ja vorhanden:
Zitat:
HKU\S-1-5-21-1841176941-2286993146-1741802375-1001\...\RunOnce: [gnajytzgwfz] => C:\Users\Paul\AppData\Local\Temp\Low\b4.exe [313344 2018-02-16] () <==== ACHTUNG
Startup: C:\Users\Paul\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DefenderUpdate.lnk.GDCB [2018-02-16]
Startup: C:\Users\Paul\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\GDCB-DECRYPT.txt [2018-02-16] ()
Zitat:
Dateien, die verschoben oder gelöscht werden sollten:
====================
C:\Users\Paul\AppData\Local\Temp\Low\b4.exe
Einmal hatte ich den PC neu gestartet und da hat sich auch diese b4.exe gemeldet, wurde aber von Windows geblockt: wollen Sie zulassen, daß .... Ja - Nein.

Kann man davon ausgehen, daß sich die Malware auf den Partionen C: bzw I: befindet?
Dann könnte ich ja die Platten mit Daten erst mal abhängen.

Man weiß nicht, ob die Systemwiederherstellung funktionieren würde.
Wenn was zum Retten interessant wäre, dann sind das die Daten von Thunderbird und Firefox.

Was würdest Du tun?
Erstmal Malware suchen?
Das wird aber zuerst mal die Profile-Files in Appdata/Roaming von Firefox und Email nicht freigeben/retten.

Bitte schrebe was Du denkst.
Ich mache gerne weitere Angaben, wenn nötig.

Gruß Ralf


Alt 18.02.2018, 11:53   #6
M-K-D-B
/// TB-Ausbilder
 
GDCB-Decrypt Befall, Dateien verschlüsselt - Standard

GDCB-Decrypt Befall, Dateien verschlüsselt



Servus,



Zitat:
Das heißt Du würdest/könntest weiter nach der Malware suchen?
Ich kann den Verschlüsselungstrojaner für dich entfernen; zudem können wir auf weitere Malware hin den Rechner überprüfen. Das ist mein Angebot.



Zitat:
Kann man davon ausgehen, daß sich die Malware auf den Partionen C: bzw I: befindet?
Die Malware befindet sich auf C:.



Zitat:
Dann könnte ich ja die Platten mit Daten erst mal abhängen.
Klar. Grundsätzlich gilt: Man sollte externe Platten oder andere Laufwerke nie ständig angesteckt lassen (so wie du es anscheinend leider gemacht hast).



Zitat:
Man weiß nicht, ob die Systemwiederherstellung funktionieren würde.
Wenn was zum Retten interessant wäre, dann sind das die Daten von Thunderbird und Firefox.

Was würdest Du tun?
Erstmal Malware suchen?
Das wird aber zuerst mal die Profile-Files in Appdata/Roaming von Firefox und Email nicht freigeben/retten.
Ich würde alle Laufwerke mit privaten Daten nicht länger am PC belassen.
Des Weiteren würde ich eine Systemwiederherstellung vor der Infektion durchführen. Evtl. hilft es ja und die privaten Daten von FF & Co sind wieder da.

Danach können wir mit FRST nochmal einen Suchlauf starten, ob die Malware noch da ist.

Alt 18.02.2018, 14:41   #7
paulmueck
 
GDCB-Decrypt Befall, Dateien verschlüsselt - Standard

GDCB-Decrypt Befall, Dateien verschlüsselt



Hallo und Danke!

Die Wiederherstellung hat anscheinend funktioniert.
Firefox und Thunderbird lassen sich wieder starten.
Es sind jetzt jeweils 2 Profil-Ordner vorhanden.
Einer ist ohne Verschlüsselung - die wurden anscheinend nach der Infektion neu anglegt als ich Thunderbird und Firefox geöffnet hatte.
Der zweite hat neue Dateien erzeugt die verschlüsselten Daten mit der Endung GDBC sind noch zu sehen. Siehe Bild1.

Die GDCB-DECRYPT.txt-Files sind noch in allen Ordnerebenen von AppData Roaming zu sehen. Ebenso in der Bootpartition I:
Nach dem Hochfahren hat sich eines dieser txt-Files automatisch geöffnet.

Unter Netzwerkadressen ist auch noch eines. Siehe Bild2.

Hätte Emsisoft Anti Malware diese Infektion verhindert?

Gruß Ralf

Neue FRST Files anbei
Miniaturansicht angehängter Grafiken
-2profilestb.jpg   -pc.jpg  

Alt 19.02.2018, 22:04   #8
M-K-D-B
/// TB-Ausbilder
 
GDCB-Decrypt Befall, Dateien verschlüsselt - Standard

GDCB-Decrypt Befall, Dateien verschlüsselt



Servus,



Zitat:
Hätte Emsisoft Anti Malware diese Infektion verhindert?
Angeblich verhindert Emsisoft so etwas... auch bei MBAM weiß ich, dass deren Echtzeitschutz Ransomware blockiert.

Der Windows Defender hat mit dem neuesten Update (4.12) eigentlich auch einen Schutz vor Verschlüsselungstrojanern. Darum wurde wahrscheinlich auch nicht alles bei dir verschlüsselt, danach hat der Ordnerschutz gegriffen (wenn auch etwas zu spät anscheinend)... oder läuft der Schutz nur unter Windows 10... hhhmm, bin mir da gerade gar nicht so sicher...

Bei mir läuft MBAM Premium und Windows Defender... parallel mit Schutz vor Ransomware. Gebraucht hab ich meinen Schutz aber noch nie...


Wir entfernen jetzt noch recurisv die .txt Dateien (Schritt 1 kann ggf. etwas dauern; ich füge einfach alle Laufwerksbuchstaben bis einschließlich "I" ein... jedes Laufwerk, das vorhanden ist, wird von den .txt Dateien befreit) und kontrollieren deinen Rechner gründlich auf Malware.

Alle GDBC-verschlüsselten Dateien bzw. Profile (FF, TB, etc.) solltest du selbst löschen und neue anlegen (sofern noch nicht getan). Eine Wiederherstellung ist nach heutigem Stand nicht möglich.





Schritt 1
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    ATTFilter
    Start::
    CMD: delete "C:\GDCB-DECRYPT.txt" /F /Q /S
    CMD: delete "D:\GDCB-DECRYPT.txt" /F /Q /S
    CMD: delete "E:\GDCB-DECRYPT.txt" /F /Q /S
    CMD: delete "F:\GDCB-DECRYPT.txt" /F /Q /S
    CMD: delete "G:\GDCB-DECRYPT.txt" /F /Q /S
    CMD: delete "H:\GDCB-DECRYPT.txt" /F /Q /S
    CMD: delete "I:\GDCB-DECRYPT.txt" /F /Q /S
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    RemoveProxy:
    CMD: ipconfig /flushdns
    EmptyTemp:
    End::
             
  • Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
  • Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 2
Downloade Dir bitte AdwCleaner auf deinen Desktop (Bebilderte Anleitung).
  • Schließe alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Werkzeuge > Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel
    • "Prefetch" Dateien
    • Proxy
    • Winsock
    • Internet Explorer Richtlinien
    • Chrome Richtlinien
  • Bestätige die Auswahl mit Ok.
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen (auch dann wenn AdwCleaner sagt, dass nichts gefunden wurde) und bestätige auftretende Hinweise mit Ok.
  • Klicke am Ende der Bereinigung auf Jetzt neu starten. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).





Schritt 3
Downloade Dir bitte Malwarebytes Anti-Malware 3 (Bebilderte Anleitung)
  • Installiere das Programm in den vorgegebenen Pfad.
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scan, wähle den Bedrohungs-Scan aus und klicke auf Scan starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Ausgewählte Elemente in die Quarantäne verschieben.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM nach dem Neustart, klicke auf Berichte.
  • Wähle den neuesten Scan-Bericht aus, klicke auf Bericht anzeigen und dann auf Export.
  • Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.





Schritt 4
  • Starte die FRST.exe erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
  • FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.





Bitte poste mit deiner nächsten Antwort
  • die Logdatei des FRST-Fix (fixlog.txt),
  • die Logdatei von AdwCleaner,
  • die Logdatei von MBAM,
  • die zwei neuen Logdateien von FRST.

Geändert von M-K-D-B (19.02.2018 um 22:19 Uhr)

Alt 20.02.2018, 17:06   #9
paulmueck
 
GDCB-Decrypt Befall, Dateien verschlüsselt - Standard

GDCB-Decrypt Befall, Dateien verschlüsselt



Hallo,

es gibt ein Problem bei Schritt 1:

========= delete "C:\GDCB-DECRYPT.txt" /F /Q /S =========

Der Befehl "delete" ist entweder falsch geschrieben oder
konnte nicht gefunden werden.

========= Ende von CMD: =========

... bei allen Laufwerken.
Log anbei.

Alt 20.02.2018, 20:08   #10
M-K-D-B
/// TB-Ausbilder
 
GDCB-Decrypt Befall, Dateien verschlüsselt - Standard

GDCB-Decrypt Befall, Dateien verschlüsselt



Servus,


Mein Fehler, tut mir Leid.





Schritt 1
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    ATTFilter
    Start::
    CMD: del "C:\GDCB-DECRYPT.txt" /F /Q /S
    CMD: del "D:\GDCB-DECRYPT.txt" /F /Q /S
    CMD: del "E:\GDCB-DECRYPT.txt" /F /Q /S
    CMD: del "F:\GDCB-DECRYPT.txt" /F /Q /S
    CMD: del "G:\GDCB-DECRYPT.txt" /F /Q /S
    CMD: del "H:\GDCB-DECRYPT.txt" /F /Q /S
    CMD: del "I:\GDCB-DECRYPT.txt" /F /Q /S
    Reboot:
    End::
             
  • Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
  • Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 2
Downloade Dir bitte AdwCleaner auf deinen Desktop (Bebilderte Anleitung).
  • Schließe alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Werkzeuge > Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel
    • "Prefetch" Dateien
    • Proxy
    • Winsock
    • Internet Explorer Richtlinien
    • Chrome Richtlinien
  • Bestätige die Auswahl mit Ok.
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen (auch dann wenn AdwCleaner sagt, dass nichts gefunden wurde) und bestätige auftretende Hinweise mit Ok.
  • Klicke am Ende der Bereinigung auf Jetzt neu starten. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).





Schritt 3
Downloade Dir bitte Malwarebytes Anti-Malware 3 (Bebilderte Anleitung)
  • Installiere das Programm in den vorgegebenen Pfad.
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scan, wähle den Bedrohungs-Scan aus und klicke auf Scan starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Ausgewählte Elemente in die Quarantäne verschieben.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM nach dem Neustart, klicke auf Berichte.
  • Wähle den neuesten Scan-Bericht aus, klicke auf Bericht anzeigen und dann auf Export.
  • Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.





Schritt 4
  • Starte die FRST.exe erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
  • FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.





Bitte poste mit deiner nächsten Antwort
  • die Logdatei des FRST-Fix (fixlog.txt),
  • die Logdatei von AdwCleaner,
  • die Logdatei von MBAM,
  • die zwei neuen Logdateien von FRST.

Alt 23.02.2018, 15:39   #11
M-K-D-B
/// TB-Ausbilder
 
GDCB-Decrypt Befall, Dateien verschlüsselt - Standard

GDCB-Decrypt Befall, Dateien verschlüsselt



Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomme ich keine Benachrichtigung über neue Antworten.
PM inklusive Link zum Thema an mich falls du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen!

Alt 25.02.2018, 11:23   #12
paulmueck
 
GDCB-Decrypt Befall, Dateien verschlüsselt - Standard

GDCB-Decrypt Befall, Dateien verschlüsselt



Hallo,

anbei die gewünschten Dateien.

"Fixlog" habe ich gepackt:
Zitat:
Fehler beim Hochladen
Fixlog.txt:
Die Datei, die Sie anhängen möchten, ist zu groß. Die maximale Dateigröße für diesen Dateityp beträgt 97,7 KB. Ihre Datei ist 288,1 KB groß.
Gruß Ralf

Alt 25.02.2018, 14:35   #13
M-K-D-B
/// TB-Ausbilder
 
GDCB-Decrypt Befall, Dateien verschlüsselt - Standard

GDCB-Decrypt Befall, Dateien verschlüsselt



Servus,



wir entfernen noch ein bisschen was und kontrollieren nochmal alles.



Hinweis: Der Suchlauf mit ESET kann länger dauern.





Schritt 1
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    ATTFilter
    Start::
    C:\Users\Paul\AppData\Roaming\Mozilla\Firefox\Profiles\3gnlhyoo.default\Extensions\clipconverter@clipconverter.cc.xpi.GDCB
    C:\Users\Paul\AppData\Roaming\Mozilla\Firefox\Profiles\3gnlhyoo.default\Extensions\elemhidehelper@adblockplus.org.xpi.GDCB
    C:\Users\Paul\AppData\Roaming\Mozilla\Firefox\Profiles\3gnlhyoo.default\Extensions\info@convert2mp3.net.xpi.GDCB
    C:\Users\Paul\AppData\Roaming\Mozilla\Firefox\Profiles\3gnlhyoo.default\Extensions\status4evar@caligonstudios.com.xpi.GDCB
    C:\Users\Paul\AppData\Roaming\Mozilla\Firefox\Profiles\3gnlhyoo.default\Extensions\{097d3191-e6fa-4728-9826-b533d755359d}.xpi.GDCB
    C:\Users\Paul\AppData\Roaming\Mozilla\Firefox\Profiles\3gnlhyoo.default\Extensions\{35106bca-6c78-48c7-ac28-56df30b51d2a}.xpi.GDCB
    C:\Users\Paul\AppData\Roaming\Mozilla\Firefox\Profiles\3gnlhyoo.default\Extensions\{524B8EF8-C312-11DB-8039-536F56D89593}.xpi.GDCB
    C:\Users\Paul\AppData\Roaming\Mozilla\Firefox\Profiles\3gnlhyoo.default\Extensions\{6d96bb5e-1175-4ebf-8ab5-5f56f1c79f65}.xpi.GDCB
    C:\Users\Paul\AppData\Roaming\Mozilla\Firefox\Profiles\3gnlhyoo.default\Extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi.GDCB
    C:\Users\Paul\AppData\Roaming\Mozilla\Firefox\Profiles\3gnlhyoo.default\Extensions\{9125C9CB-BE2B-4389-A0C7-46A4BDD46AEA}.xpi.GDCB
    C:\Users\Paul\AppData\Roaming\Mozilla\Firefox\Profiles\3gnlhyoo.default\Extensions\{A4732521-77D9-447E-A557-B279AC923F06}.xpi.GDCB
    C:\Users\Paul\AppData\Roaming\Mozilla\Firefox\Profiles\3gnlhyoo.default\Extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}.xpi.GDCB
    C:\Users\Paul\AppData\Roaming\Mozilla\Firefox\Profiles\3gnlhyoo.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi.GDCB
    C:\Users\Paul\AppData\Roaming\Mozilla\Firefox\Profiles\3gnlhyoo.default\Extensions\{dc572301-7619-498c-a57d-39143191b318}.xpi.GDCB
    2018-02-16 16:50 - 2018-01-12 19:22 - 000001648 _____ C:\Users\Paul\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AllDup.lnk.GDCB
    2018-02-16 16:50 - 2017-12-27 00:03 - 000001392 _____ C:\Users\Paul\AppData\Roaming\Microsoft\Windows\Start Menu\X.lnk.GDCB
    2018-02-16 16:50 - 2017-12-24 13:44 - 000002720 _____ C:\Users\Paul\AppData\Roaming\Microsoft\Windows\Start Menu\startscreen.lnk.GDCB
    2018-02-16 16:50 - 2017-12-24 12:03 - 000002000 _____ C:\Users\Paul\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk.GDCB
    2018-02-16 16:48 - 2017-03-23 07:37 - 000002800 _____ C:\app_updater.log.GDCB
    EmptyTemp:
    End::
             
  • Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
  • Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 2
Downloade dir die passende Version von HitmanPro auf deinen Desktop: HitmanPro - 32 Bit | HitmanPro - 64 Bit.
  • Starte die HitmanPro.exe
  • Klicke auf
  • Entferne den Haken bei
  • Klicke auf
    und
  • Akzeptiere die Lizenzbedingungen und klicke auf
  • Klicke auf

    und auf
  • Wenn der Scan beendet wurde, nichts löschen lassen etc. sondern wähle unten links auf der Button-Leiste
    und speichere die Logdatei auf Deinem Desktop.
  • Schließe HitmanPro und poste mir das Log.

 







Schritt 3
Downloade Dir bitte ESET Online Scanner (Bebilderte Anleitung)
  • Starte die Installationsdatei.
  • Akzeptiere die Nutzungsbedingungen.
  • Wähle Erkennung evtl. unerwünschter Anwendungen aktivieren aus und klicke auf Scannen.
  • Zuerst werden die notwendigen Signaturen heruntergeladen, anschließend startet ESET automatisch den Suchlauf.
  • Am Ende des Suchlaufs werden gegebenenfalls die gefundenen Elemente aufgelistet.
  • Wähle In Textdatei speichern... aus und speichere die Datei als eset.txt auf deinem Desktop ab.
  • Füge den Inhalt der eset.txt mit deiner nächsten Antwort hinzu.
  • Sollte ESET nichts finden, so kann auch keine Logdatei erstellt werden. Teile uns das dann unbedingt mit.
  • Schließe den ESET Online Scanner rechts oben [ X ] und klicke anschließend auf Schließen.





Schritt 4
  • Starte die FRST.exe erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
  • FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.







Gibt es jetzt noch Probleme mit dem PC oder mit deinen Internet Browsern? Wenn ja, welche?







Bitte poste mit deiner nächsten Antwort
  • die Logdatei des FRST-Fix,
  • die Logdatei von HitmanPro,
  • die Logdatei von ESET,
  • die beiden neuen Logdateien von FRST,
  • die Beantwortung der gestellten Fragen.

Alt 26.02.2018, 10:15   #14
paulmueck
 
GDCB-Decrypt Befall, Dateien verschlüsselt - Standard

GDCB-Decrypt Befall, Dateien verschlüsselt



Hallo,

anbei die gewünschten Dateien.
ESET hat keine Bedrohungen gefunden.

Die weiteren verschlüsselten GDCB-Dateien muss ich noch suchen und soweit Backups vorhanden ersetzen und dann löschen.

Probleme gibt es aktuell keine.

Die Malewarebytes Premium Trial ist noch installiert.
Bei jedem Neustart ist der Echtzeitschutz deaktiviert.
Geht dann aber aktivieren.
Hardcopies siehe Anhang

Danke!

Gruß Ralf
Miniaturansicht angehängter Grafiken
-mwb1.jpg   -mwb2.jpg  
Angehängte Dateien
Dateityp: log HitmanPro_20180226_0814.log (1,3 KB, 129x aufgerufen)

Alt 26.02.2018, 21:11   #15
M-K-D-B
/// TB-Ausbilder
 
GDCB-Decrypt Befall, Dateien verschlüsselt - Standard

GDCB-Decrypt Befall, Dateien verschlüsselt



Servus,



auf die kostenlose Version von MBAM kannst du wie folgt wechseln:
Starte MBAM.
Klicke rechts oben auf "Mein Konto".
Klicke auf "Premium-Testversion deaktivieren"
Klicke nun auf "Echtzeitschutz wird nicht benötigt".
Schließe MBAM wieder.


Du hast ja Windows Defender als AV.








Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...
Vielleicht möchtest du das Forum mit einer kleinen Spende unterstützen.

Hinweise:
Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.
Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.





Cleanup
Alle Logs gepostet? Dann lade Dir bitte DelFix herunter.
  • Schließe alle offenen Programme.
  • Starte die delfix.exe mit einem Doppelklick.
  • Setze vor jede Funktion ein Häkchen.
  • Klicke auf Start.
  • Starte deinen Rechner zum Abschluss neu auf.
Hinweis:
DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte deinen Rechner anschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst du diese bedenkenlos löschen.






Virenscanner + Firewall
Vorab sei erwähnt, dass man niemals die Schutzwirkung eines Virenscanners überbewerten darf! Kein Antivirusprogramm erkennt 100% der Schadsoftware.

Sofern du noch unentschieden bist, verwende MAXIMAL EIN EINZIGES der folgenden Antivirusprogramme mit Echtzeitscanner und stets aktueller Signaturendatenbank:
Microsoft Security Essentials (MSE) / Windows Defender (WD) ist ab Windows 8 fest eingebaut, wenn du also Windows 8, 8.1 oder 10 und dich für MSE/WD entschieden hast, brauchst du nicht extra MSE/WD zu installieren. Bei Windows 7 muss es aber manuell installiert oder über die Windows Updates als optionales Update bezogen werden. Selbstverständlich ist ein legales/aktiviertes Windows Voraussetzung dafür.

Verwende immer nur reine Virenscanner (keine Produkte mit "Suite", "Internet Security", "Endpoint" oder "Total Security" in Namen, denn diese bringen kontraproduktive Firewalls mit - die Windows-Firewall ist alles was benötigt wird)

Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware , AdwCleaner und mit dem ESET Online Scanner scannen.
Diese Programme sind alle kostenlos und stören nicht den Betrieb deines Antivirenprogramms.





Absicherungen
Beim Betriebsystem Windows ist es wichtig, die automatischen Updates zu aktivieren.
Auch sicherheitsrelevante Software sollte immer in aktueller Version vorliegen.

Das zeitnahe Einspielen von Updates ist erforderlich, damit Sicherheitslücken geschlossen werden. Sicherheitslücken werden beispielsweise dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren.

Besonders aufpassen bzgl. der Aktualität musst du insbesondere bei folgender Software - sofern diese überhaupt benötigt wird:

Optionale Browsererweiterungen
  • Adblock Plus oder uBlock Origin (Firefox - Chrome) - können Banner, Pop-ups, Videowerbung, Tracking und Malware-Seiten blockieren.
  • NoScript - verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen. NoScript kann gerade bei technisch nicht allzu versierten Nutzern beim Surfen zum Nervfaktor werden; ob das Tool geeignet ist, muss jeder selbst mal ausprobieren und dann für sich entscheiden.





Grundsätzliches
  • Ändere regelmäßig deine Online-Passwörter und erstelle regelmäßig Backups deiner wichtigen Dateien oder des Systems. Genaueres dazu findest du unten im Lesestoff zu Backups.
  • Lade keine Software von Chip, Softonic, SourceForge, openoffice.de oder VLC.de. Die dort angebotene Software wird häufig mit einem sog. "Installer" verteilt, mit dem man sich nur unerwünschte Software oder Adware installiert.
  • Halte dich von Seiten wie kinox.to & Co fern! Diese Seiten sind bekannt dafür, Schadsoftware zu verbreiten bzw. leiten auf infizierte Seiten weiter.
  • Lade Software von einem sauberen Portal wie oder direkt beim jeweiligen Hersteller / Entwickler.
  • Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne die Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
  • Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten bis nicht belegbar. Selbst Microsoft unterstützt sog. Registry-Cleaner nicht.
    Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden.





Lesestoff:
Backup-/Image-Tools

IMHO sind Wiederherstellungspunkte nix weiter als eine Notlösung, wer sich auf was Funktionierendes verlassen will und muss, kommt um echte Backup/Imaging Software nicht herum. Ich nehme unter Windows immer Drive Snapshot - Disk Image Backup for Windows NT/2000/XP/2003/X64

Damit man sinnvolle Backups hat, muss man regelmäßig (z. B. wöchentlich) ein Image auf eine separate externe Festplatte erstellen. Diese externe Festplatte wird nur dann angeschlossen, wenn man das Backup erstellen will (oder etwas wiederherstellen muss), sonsten bleibt sie aus Sicherheitsgründen sicher im Schrank verwahrt - allein schon aus dem Grund, die Backups vor Krypto-Trojaner zu schützen.



Option 1: Drivesnapshot

Offizielle TB-Anleitung --> http://www.trojaner-board.de/186299-...esnapshot.html






Drive Snapshot - Disk Image Backup for Windows NT/2000/XP/2003/X64
Download (32-Bit) => http://www.drivesnapshot.de/download/snapshot.exe
Download (64-Bit) => http://www.drivesnapshot.de/download/snapshot64.exe



Es gibt da auch leicht abgespeckte Versionen von Acronis TrueImage gratis wenn man Platten von Seagate und/oder Western Digital hat. Vllt sagen diese Programme dir mehr zu. Mein Favorit aber ist das kleine o.g. Drivesnapshot.



Option 2: Seagate DiscWizard
Download => Seagate DiscWizard - Download - Filepony


Screenshots:
http://filepony.de/screenshot/seagate_discwizard5.jpg
http://filepony.de/screenshot/seagate_discwizard4.png
http://filepony.de/screenshot/seagate_discwizard3.jpg




Option 3: Acronis TrueImage WD Edition
Download => Acronis True Image WD Edition - Download - Filepony


Screenshots:
http://filepony.de/screenshot/acroni...d_edition1.jpg
http://filepony.de/screenshot/acroni...d_edition2.jpg

Antwort

Themen zu GDCB-Decrypt Befall, Dateien verschlüsselt
aktuell, andere, anderen, befall, dateien, enthaltene, externe, festplatte, festplatten, gelöscht, gestern, hinweis, installiere, installieren, interne, internen, löschen, oberste, papierkorb, platte, platten, rechner, schei, verschlüsselt, win




Ähnliche Themen: GDCB-Decrypt Befall, Dateien verschlüsselt


  1. .AF21 Dateien Verschlüsselt
    Diskussionsforum - 24.10.2016 (5)
  2. WIN XP Dateien mit RSA4096 verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 23.10.2016 (5)
  3. *CCC Dateien verschlüsselt
    Log-Analyse und Auswertung - 04.01.2016 (10)
  4. Dateien verschlüsselt mit Erpresserschreiben
    Plagegeister aller Art und deren Bekämpfung - 13.12.2015 (1)
  5. PDF und Doc Dateien verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 15.10.2015 (7)
  6. help file decrypt Daten verschlüsselt
    Log-Analyse und Auswertung - 14.08.2015 (9)
  7. XTBL - Dateien verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 29.07.2015 (4)
  8. Win 7: Dateien verschlüsselt
    Log-Analyse und Auswertung - 15.02.2015 (9)
  9. decrypt instruction--kann einige dateien nicht mehr öffnen
    Plagegeister aller Art und deren Bekämpfung - 12.07.2014 (28)
  10. Word und Bilder (Jpeg) durch Virus verschlüsselt "Read to Decrypt!"
    Log-Analyse und Auswertung - 17.08.2013 (21)
  11. Wichtige Dateien durch Virus verschlüsselt "Read to Decrypt!"
    Plagegeister aller Art und deren Bekämpfung - 09.07.2013 (9)
  12. BKA 14.1 Dateien Verschlüsselt
    Log-Analyse und Auswertung - 16.10.2012 (1)
  13. Bundestrojaner dateien verschlüsselt
    Log-Analyse und Auswertung - 22.09.2012 (1)
  14. Bild-Dateien verschlüsselt
    Plagegeister aller Art und deren Bekämpfung - 19.07.2012 (5)
  15. Trojaner -- Dateien verschlüsselt
    Log-Analyse und Auswertung - 10.06.2012 (4)
  16. Verschlüsselungstrojaner: Windowsdateien sind verschlüsselt nach Befall
    Plagegeister aller Art und deren Bekämpfung - 24.05.2012 (2)
  17. Trojaner Dateien verschlüsselt
    Log-Analyse und Auswertung - 15.05.2012 (12)

Zum Thema GDCB-Decrypt Befall, Dateien verschlüsselt - Hallo, es sind alle internen Festplatten und 1 externe betroffen. Es ist aber anscheinend meist nur die oberste Ordner-Ebene der Festplatte betroffen, also der erste Ordner und die darin enthaltenen - GDCB-Decrypt Befall, Dateien verschlüsselt...
Archiv
Du betrachtest: GDCB-Decrypt Befall, Dateien verschlüsselt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.