Dateien auf Desktop werden verschlüsselt
 

Hallo,

offenbar habe ich mir was auf meinem Windows 7-Rechner eingefangen. Wenn ich Dateien auf den Desktop ablege, werden diese umgehend verschlüsselt und ich habe darauf keinen Zugriff mehr. Ich kann sie weder öffnen noch kopieren. Löschen funktioniert aber.

Hier gibt es bereits einen ähnlichen (identischen?) Fall. Die dortige Anleitung arbeite ich gerade durch. Vielleicht kann ja jemand bereits was mit den Logs anfangen.

Das System wurde vor ca. 6-8 Wochen neu aufgesetzt. Es sind externe Festplatten im Dauergebrauch angeschlossen. Diese sind aber zur Zeit ausgestöpselt und werden von mir noch komplett gescannt.

Folgendes habe ich bereits gemacht:

- Eine automatische Verschlüüselung ausgeschaltet, gemäß dieser Anleitung.

- Einen OLT Scan; die Logdateien füge ich unten bei

- Avira läuft grad noch, hat aber nichts gefunden bisher

- Malwarebytes heruntergeladen, noch nicht ausgeführt

- Eset Smartinstaller heruntergeladen, noch nicht ausgeführt

Hi
werden die Dateien umbenannt oder gibt es sonst irgendwelche meldungen beim öffnen?

Avira ist durchgelaufen, keine Fundmeldung.

Dateien werden nicht umbenannt, sie werden lediglich verschlüsselt. Ich kann auch keine Downloads auf den Desktop speichern.

Bei JPGs gibt es folgende Meldung, wenn ich sie mit der Windows-Fotoanzeige öffne:
"Das Bils kann nicht geöffnet werden, da Sie nicht berechtigt sind, auf den Speicherort zuzugreifen."

PDF öffne ich mit dem Acrobat Reader:
"Beim Öffnen dieses Dokuments ist ein Fehler aufgetreten. Zugriff verweigert."

Ich habe nur einen Benuzer eingerichtet, der natürlich auch Adminrechte hat.
Nicht verschlüsselte Dateien kann ich wie gewohnt nutzen.
Möchte ich Ordner öffnen, die auf dem Desktop liegen, bekomme ich die Meldung:
"Sie verfügen momentan nicht über die Berechtigung des Zugriffs auf diesen Ordner. Klicken Sie auf 'Fortsetzen', um dauerhaft Zugriff auf diesen Ordner zu erhalten."

Edit 1:
Ich sehe gerade, die Links im ersten Beitrag sind nicht übernommen worden:

http://www.trojaner-board.de/123811-...rtet-win7.html

hxxp://www.winfaq.de/faq_html/Content/tip2500/onlinefaq.php?h=tip2512.htm

Edit 2:

Malwarebytes hat auch nichts gefunden im Quick-Scan:

hör bitte auf, irgendwelche scans zu machen, die nicht angefordert sind
was ist, wenn du die Dateien an nen andern ort kopierst, gehen sie dann?

Zwei Scans laufen grad noch, Malwarebytes hat bereits einen Fund.

Ich benötige Adminrechte, um die Datei zu kopieren, anschließend heißt es "Dateizugriff wurde verweigert. Sie benötigen Berechtigungen zur Durchführung des Vorgangs.
Sie müssen die erforderlichen Berechtigungen von 'DoVi-PC\DoVi' erhalten, um Änderungen an dieser Datei durchführen zu können."
(Das ist eben mein Benutzerkonto...)
Dann kann ich wiederholen oder abbrechen klicken.

du sollst keine weiteren scans laufen lassen sagte ich ja.

warum ist in der hosts datei adobe geblockt?

Was hat das für einen Vorteil wenn ich die Scans abbreche? Oder soll ich erst was anderes machen, bevor ich scannen lasse?

Kann ich dir nicht sagen. Ich hab die Installation nicht vorgenommen. Hat ein Kumpel gemacht. Er sagte, er hätte von der Arbeit her Mehrfachlizenzen oder so, keine Ahnung.

scans abbrechen, und vor allem nich mehrere auf einmal.
Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Auf dem Desktop kann ich die nicht speichern bzw. ich kann die Datei anschließend nicht öffnen. Kann ich das in einem anderen Ordner machen?

Folgende Meldung erhalte ich beim Öffnen:
"Aufdas angegebene Gerät bzw. den Pfad kann nicht zugegriffen werden.Si verfügen eventuell nicht über ausreichende Berechtigungen, um auf das Element zugreifen zu können."

a kannst du

Logfile TDSSKiller:

weiter:
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Ist das normal, dass jetzt kein Browser funktioniert? Bin grad mobil online

während des scans sollst du nicht am pc arbeiten, und nach dem scan musst du evtl. neustarten, steht alles in der anleitung

Klar. Ich frage nur, weil avira einen registry Zugriff blockiert hat, obwohl ich den echtzeitscanner deaktiviert hatte. Demnach ist avira gar nicht komplett abgeschaltet. Wie mache ich das denn?

lass combofix erst mal laufen

Habs wieder in einem anderen Ordner laufen lassen müssen. Hier das LOG-File:

ok jetzt mal malwarebytes updaten, vollständiger scan, log bitte posten

Kein Fund:

gab es noch mehr logs mit Funden von Malwarebytes? unter malwarebytes, logdateien

Nein, nur einen Quickscan von gestern, auch ohne Funde.

da combofix einige einstellungen auf standard setzt teste mal ob du wieder dateien speichern kannst

ne, brauche noch immer Adminrechte und Anwendungen lassen sich anschließend nicht öffnen. Auch die Verschlüsselung kann ich nicht aufheben.

weis nicht ob du mir das beantwortet hast, denn ich denke nicht das sie verschlüsselt sind.
wenn du eine textdatei oder bild auf dem destkop speicherst, und sie dann woanders hinkopierst, kannst du die dann immernoch nicht öffnen?

Nun, die Dateinamen sind alle grün und unter Eigenschaften könnte ich sie entschlüsseln, wenn es denn funktionieren würde.

Ich habe eine TXT- und eine PNG-Datei auf den Desktop kopiert. Übliche Geschichte, es wird nach Adminrechten gefragt. Dort kann ich sie nicht öffnen (Zugriff verweigert).
Wieder zurück in den Ursprungsordner ist der Dateiname grün, ich kann sie aber öffnen. Auch die Entschlüsselung über Eigenschaften klappt.

Die alten Dateien vom Desktop kann ich aber nicht verschieben oder kopieren, mir würden die Berechtigungen fehlen.

also nicht verschlüsselt.
HitmanPro - Download - Filepony

Hitmanpro laden, doppelklicken, scan klicken.
Nichts löschen.
Auf weiter klicken, log speichern und Posten, bzw als xml exportieren, packen und anhängen

Here it comes

bitte alle Hitmanpro funde löschen, neues otl log

Anbei

Hi,

Markus ist im Urlaub. Gibt es noch irgendwelche Probleme mit dem System?

Hi, hab's gelesen.

Ist noch alles beim Alten. Ich kann jetzt wohl Dateien auf den Desktop kopieren und wieder zurück, was allerdings noch immer mit diesen Admin- und Berechtigungsmeldungen einhergeht.

Es gab bisher, so wie ich es sehen konnte, keine Funde.

Hi,

Systemscan mit FRST
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Start > Computer (Rechtsklick) > Eigenschaften)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Scan.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

So richtig?

Bitte Logs in Codetags in den Thread posten.

Addition.txt:
FRST.txt:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

Dateien, wie Crack.exe, Keygen.exe oder Patch.exe sind zu 99,9% gefährliche Schädlinge, mit denen man nicht Spaßen sollte.
Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf
Anleitung zum Neu aufsetzten