Trojan Agent rns gen, Verschlüsselte Dateien wiederherstellen
 

Hallo liebe Moderatoren und User,


ich habe folgendes Problem:


Per E-Mail bekamen meine Freundin und ich eine Information von flirtfever.de mit einem *.zip Anhang wo angeblich das Kündigungsformular enthalten sei.

Wir haben leider diesen Anhang abgespeichert, mit AntiVir überprüft, und angeklickt.

Und nun fängt das Unheil an:

PC ist automatisch heruntergefahren und nach erneutem Hochfahren, erschien auf dem Bildschirm, dass wir 100€ zahlen sollen, damit das Problem behoben werden könne. Man konnte vorher nichts mehr machen, nur noch kalt ausschalten.

Neustart im abgesicherten Modus mit Netzwerkunterstützung.

im abgesichteren Modus Antivir durchlaufen lassen, und außer 5 Warnungen nichts infiziertes gefunden. Verschiedene Trojaner Remove Programme brachten auch kein Ergebnis.
Systemwiederherstellung ging nicht.

MBAM runtergeladen und im abgesicherten Modus ausgeführt. Der hat dann die 2 Funde gehabt mit dem namen Trojan Agent.RNSgen.

Diese 2 Funde haben wir in Quarantäne verschoben und PC neu gestartet.

Nach jedem Neustart fingen andere Programme an zu streiken.

Kurzum entschieden wir uns, Windows über die alte Version zu bügeln.

Gesagt getan. Vorher einige Daten auf der zweiten Festplatte abgesichert und neu installiert.

Nachdem Windows nun neu installiert war, stellten wir fest, dass viele Fotos und Dateien in einigen (nicht allen) Ordnern verschlüsselt angezeigt werden und nicht wieder entschlüsselt werden konnten durch diverse Encrypter Programme.

Wir wissen nicht mehr weiter. Es sind wichtige Daten enthalten und wir würden uns riesig freuen, wenn wir die zurück bekämen.

Ich weiß, es war dumm auf den Anhang zu klicken, aber geschehen ist geschehen. )-:


kann mir jemand dazu helfen?

ich habe noch den Post im Forum gefunden, der in meine Richtung geht:

http://www.trojaner-board.de/115498-...onieren-4.html

aber ich weiß nicht, ob es schon neue Erkenntnisse in die Richtung gibt.

Ohne die Logs von Malwarebytes und Co wird das hier nichts. :glaskugel:
Alles von Malwarebytes (und evtl. anderen Scannern) muss hier gepostet werden.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:


Warum waren diese furchtbar wichtigen Daten denn nicht vorher gesichert? :confused:

Hi,


ja ich weiß, aber unserer Sicherungen sind schon ne Weile her )-:


In unserer Quarantäne befindet sich auch noch die Datei, wenn ich die später auch nochn mit hochladen soll.

Die Mail mit dem eigentlichen Trojaner hab ich auch noch, bei Bedarf.

Vorweg auch nochmal als Hinweis:
Wann genau deine Daten entschlüsselt werden können wird dir niemand genau sagen können außer vllt einer :glaskugel: es kann sein, dass du eine neuere Variante hast, deren Verschlüsselungsalgorithmus noch unbekannt ist. Sowas kann man (noch) nicht entschlüsseln und ohne Schlüssel schon garnicht - ist ja auch logisch, sonst wär es ja keine vernünftige Verschlüsselung
Einfach hier nochmal reinsehen in regelmäßigen Abständen, obige Hinweise beachten. 8 Tools mitsamt hunderten Diskussionsbeiträgen stehen da schon

Entschlüsselungsversuche der verschlüsselten Dateien sind nur auf zusätzliche Kopien der verschlüsselten Dateien anzuwenden, sonst zerhackt man sich die noch weiter ohne die "original" verschlüsselte Datei mehr zu haben. Das willst du sicher nicht!

Und in Zukunft willst du sicher mal an ein besseres Backupkonzept denken. Hier ein Denkanstoß => http://www.trojaner-board.de/115678-...r-backups.html


Uralt-Backups sind fürn Ar***, es sei denn man hat nur statische und keine Bewegungsdaten. Je nachdem wie oft sich die Dateien ändern, muss man halt auch öfter sichern, wenn sie so wichtig sind. Stell dir vor, im Büro sichern wir jeden Tag alles wichtige auf Band nach dem Generationenprinzip. Sicherlich ist das für ein Homeumfeld zuviel, aber man kann auch auf günstige USB-Stick oder ext. Platten sichern.

--

Bitte einen neuen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Hier der 2te Malwarebytes log, nachdem wir die 2 Funde in Quarantäne geschoben haben und bevor wir das System drübergebügelt haben:


Den neuen Malwarebytes Scan lass ich gerade durchlaufen, danach Eset, und danach poste ich die Ergebnisse.

hier ein aktueller malwarebytes log und ein aktueller antivir log



[code]
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 4. Juni 2012 01:43

Es wird nach 3786703 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 Professional
Windowsversion : (plain) [6.1.7600]
Boot Modus : Normal gebootet
Benutzername : ShowNoMercy
Computername : SHOWNOMERCY-PC

Versionsinformationen:
BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00
AVSCAN.EXE : 12.3.0.15 466896 Bytes 01.05.2012 22:48:48
AVSCAN.DLL : 12.3.0.15 66256 Bytes 02.05.2012 00:02:50
LUKE.DLL : 12.3.0.15 68304 Bytes 01.05.2012 23:31:47
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 01.05.2012 22:13:36
AVREG.DLL : 12.3.0.17 232200 Bytes 31.05.2012 17:41:03
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 23:22:12
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 23:31:36
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 09:58:50
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 10:43:53
VBASE005.VDF : 7.11.29.136 2166272 Bytes 10.05.2012 17:38:23
VBASE006.VDF : 7.11.29.137 2048 Bytes 10.05.2012 17:38:23
VBASE007.VDF : 7.11.29.138 2048 Bytes 10.05.2012 17:38:23
VBASE008.VDF : 7.11.29.139 2048 Bytes 10.05.2012 17:38:23
VBASE009.VDF : 7.11.29.140 2048 Bytes 10.05.2012 17:38:23
VBASE010.VDF : 7.11.29.141 2048 Bytes 10.05.2012 17:38:23
VBASE011.VDF : 7.11.29.142 2048 Bytes 10.05.2012 17:38:23
VBASE012.VDF : 7.11.29.143 2048 Bytes 10.05.2012 17:38:24
VBASE013.VDF : 7.11.29.144 2048 Bytes 10.05.2012 17:38:24
VBASE014.VDF : 7.11.30.3 198144 Bytes 14.05.2012 17:38:31
VBASE015.VDF : 7.11.30.69 186368 Bytes 17.05.2012 17:38:36
VBASE016.VDF : 7.11.30.143 223744 Bytes 21.05.2012 17:38:45
VBASE017.VDF : 7.11.30.207 287744 Bytes 23.05.2012 17:38:51
VBASE018.VDF : 7.11.31.57 188416 Bytes 28.05.2012 17:38:59
VBASE019.VDF : 7.11.31.111 214528 Bytes 30.05.2012 17:39:08
VBASE020.VDF : 7.11.31.151 116736 Bytes 31.05.2012 17:39:15
VBASE021.VDF : 7.11.31.205 134144 Bytes 03.06.2012 17:37:22
VBASE022.VDF : 7.11.31.206 2048 Bytes 03.06.2012 17:37:22
VBASE023.VDF : 7.11.31.207 2048 Bytes 03.06.2012 17:37:22
VBASE024.VDF : 7.11.31.208 2048 Bytes 03.06.2012 17:37:22
VBASE025.VDF : 7.11.31.209 2048 Bytes 03.06.2012 17:37:22
VBASE026.VDF : 7.11.31.210 2048 Bytes 03.06.2012 17:37:22
VBASE027.VDF : 7.11.31.211 2048 Bytes 03.06.2012 17:37:22
VBASE028.VDF : 7.11.31.212 2048 Bytes 03.06.2012 17:37:22
VBASE029.VDF : 7.11.31.213 2048 Bytes 03.06.2012 17:37:23
VBASE030.VDF : 7.11.31.214 2048 Bytes 03.06.2012 17:37:23
VBASE031.VDF : 7.11.31.218 2048 Bytes 03.06.2012 17:37:23
Engineversion : 8.2.10.80
AEVDF.DLL : 8.1.2.8 106867 Bytes 01.06.2012 17:37:20
AESCRIPT.DLL : 8.1.4.24 450939 Bytes 31.05.2012 17:40:54
AESCN.DLL : 8.1.8.2 131444 Bytes 16.02.2012 16:11:36
AESBX.DLL : 8.2.5.10 606580 Bytes 31.05.2012 17:41:00
AERDL.DLL : 8.1.9.15 639348 Bytes 20.01.2012 23:21:32
AEPACK.DLL : 8.2.16.16 807288 Bytes 31.05.2012 17:40:39
AEOFFICE.DLL : 8.1.2.28 201082 Bytes 26.04.2012 16:41:32
AEHEUR.DLL : 8.1.4.36 4874615 Bytes 31.05.2012 17:40:30
AEHELP.DLL : 8.1.21.0 254326 Bytes 31.05.2012 17:39:29
AEGEN.DLL : 8.1.5.28 422260 Bytes 26.04.2012 16:41:31
AEEXP.DLL : 8.1.0.44 82293 Bytes 31.05.2012 17:41:00
AEEMU.DLL : 8.1.3.0 393589 Bytes 20.01.2012 23:21:29
AECORE.DLL : 8.1.25.10 201080 Bytes 31.05.2012 17:39:24
AEBB.DLL : 8.1.1.0 53618 Bytes 20.01.2012 23:21:28
AVWINLL.DLL : 12.3.0.15 27344 Bytes 01.05.2012 22:59:21
AVPREF.DLL : 12.3.0.15 51920 Bytes 01.05.2012 22:44:31
AVREP.DLL : 12.3.0.15 179208 Bytes 01.05.2012 22:13:35
AVARKT.DLL : 12.3.0.15 211408 Bytes 01.05.2012 22:21:32
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 01.05.2012 22:28:49
SQLITE3.DLL : 3.7.0.1 398288 Bytes 16.04.2012 21:11:02
AVSMTP.DLL : 12.3.0.15 63440 Bytes 01.05.2012 22:51:35
NETNT.DLL : 12.3.0.15 17104 Bytes 01.05.2012 23:33:29
RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 02.05.2012 00:03:51
RCTEXT.DLL : 12.3.0.15 98512 Bytes 02.05.2012 00:03:51

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, F:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Montag, 4. Juni 2012 01:43

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '101' Modul(e) wurden durchsucht
Durchsuche Prozess 'IELowutil.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '41' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1112' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Program Files\WinRAR\rarnew.dat
[WARNUNG] Das Archiv ist unbekannt oder defekt
C:\Users\ShowNoMercy\AppData\Local\Temp\BIT3150.tmp
[0] Archivtyp: Portable Executable Resource
--> object
[1] Archivtyp: CAB (Microsoft)
--> LanguageSelector64.7z
[2] Archivtyp: 7-Zip
--> LanguageSelector64.cab
[3] Archivtyp: CAB (Microsoft)
--> LanguageSelector64.msi
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\Users\ShowNoMercy\Downloads\avira_free_antivirus_de12001125.exe
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\ShowNoMercy\Downloads\DecryptHelper-0.5.3.exe
[WARNUNG] Die Version dieses Archives wird nicht unterstützt
C:\Windows.old\Program Files (x86)\Pixelformer\_UnInst.exe
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Windows.old\Program Files (x86)\WinRAR\rarnew.dat
[WARNUNG] Das Archiv ist unbekannt oder defekt
C:\Windows.old\Users\ShowNoMercy\AppData\Local\Temp\jar_cache4434763005642672459.tmp
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Windows.old\Users\ShowNoMercy\AppData\Local\Temp\jar_cache8078851896180879396.tmp
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Windows.old\Users\ShowNoMercy\AppData\Local\Temp\omlrcgjwpd.pre
[FUND] Ist das Trojanische Pferd TR/Ransom.Gimemo.txy
C:\Windows.old\Users\ShowNoMercy\AppData\Local\Temp\ulejbvtsan.pre
[FUND] Ist das Trojanische Pferd TR/Ransom.Gimemo.txy
C:\Windows.old\Users\ShowNoMercy\Downloads\avira_free_antivirus_de.exe
[WARNUNG] Die Datei ist kennwortgeschützt
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'F:\' <System-reserviert>

Beginne mit der Desinfektion:
C:\Windows.old\Users\ShowNoMercy\AppData\Local\Temp\ulejbvtsan.pre
[FUND] Ist das Trojanische Pferd TR/Ransom.Gimemo.txy
[WARNUNG] Die Datei wurde ignoriert.
C:\Windows.old\Users\ShowNoMercy\AppData\Local\Temp\omlrcgjwpd.pre
[FUND] Ist das Trojanische Pferd TR/Ransom.Gimemo.txy
[WARNUNG] Die Datei wurde ignoriert.


Ende des Suchlaufs: Montag, 4. Juni 2012 05:12
Benötigte Zeit: 1:42:07 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

56862 Verzeichnisse wurden überprüft
1101441 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
1101439 Dateien ohne Befall
8641 Archive wurden durchsucht
11 Warnungen
0 Hinweise
471256 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

]/code]

log nach löschen der infizierten Dateien


hier der Eset Log

sorry wegen oben, da wars zu früh, da hats net geklappt mit dem [code] (-:

Finger weg von Softonic!!

Softonic ist eine Toolbar- und Adwareschleuder! Finger weg! Software lädt man sich mit oberster Priorität direkt vom Hersteller und nicht von solchen Toolbarklitschen wie Softonic! Im Notfall würde natürlich chip.de gehen


Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt? (abgesehen von der Verschlüsselung)
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Hi,


Softonic ist erst frisch vorgestern nach dem drüberbügeln des Betriebssystems drauf gemacht.

Wir werden uns in Zukunft von Softonic fernhalten, danke nochmal für die Info.



Das Betriebssystem haben wir über das alte drüber installiert, deswegen hat Windows auch bei der Installation einen "Windows.old" Ordner erstellt.

Das "neue" Windows funktioniert zwar soweit, aber das ist nur ne Notlösung, bis wir die verschlüsselten Daten wieder haben, danach wollten wir den PC komplett platt machen und komplett neu aufsetzen.


Gestern hatten wir während eines Spiels beim rausswitchen einen Toncrash mit einem langen tiefen Ton und dann einen Bluescreen, der zu schnell wegging, sodass wir nicht mehr sehen konnten, was genau da stand.

Wir haben nur Zugriff auf die alten Daten über den Windows.old Ordner.

Deshalb kann ich die Frage mit dem Startmenu nicht antworten.

Wir haben soweit nichts anderes vermisst zu dem Zeitpunkt.

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

OTL hängt irgendwie.

Unten am Rand steht "Manuel File Scan: Getting Folder Structure..."

und hier gehts nicht weiter. Irgendwann erscheint dann die Meldung "Out of memory" mit Rotem X und da kann ich nur OK drücken.


Sonst passiert gar nichts. Wir haben das programm jetzt schon über eine Stunde so stehen.

Im Taskmanager steht "wird ausgeführt" also hängt es so scheinbar nicht, aber es geht nicht weiter.

Probier es dann bitte im abgesicherten Modus aus

Bin auch schon auf den Gedanken gekommen, leider dort auch das selbe Problem.

Dann mach es so, kein CustomScan

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

OTL.txt

OTL Logfile:
--- --- ---



Extras.txt

OTL Logfile:
--- --- ---


Hi,
Flirt-Fever hat mir erneut eine E-mail geschickt dieses mal aber von einer anderen Email-adresse.
Dieses mal sind 2 zip-dateien im anhang.
Drohen mir nun mit Gericht.
Aber diesmal bin ich schlauer hab nichts angefasst :)

Als ich das Forum durchstöberte bekam ich immer wieder mit ,das einige die im Prinzip die selbe Email "Flirt Fever" hatten, an einen von euch zukommen ließen.Sollte ich diese auch tun?
lg

Log ist ziemlich unauffällig. Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg

ich lass jetzt gleich das Kaspersky Ding durchlaufen, aber vorab habe ich einen Screenshot angehängt, wo man sieht, dass Kopien von Ordnern existieren, mit einem Schloss im Icon.

Ich habe keinen Zugriff auf diese Ordner und habe diese auch nicht erstellt.

Gestern waren die noch nicht da. Habt ihr dafür eine Erklärung?

Herzlichen Glückwunsch, du bist der erste der diese Frage stellt! :) :lach:

=> Windows 7: Wie kann man Ordner mit Schloß-Symbol öffnen?

OK, ich schätze das war sowas ähnliches wie eine anerkennende Bemerkung (-:


Hier der Log vom TDSS-Killer


Aber, dass wir WIndows über das alte WIndows drüber installiert haben und somit ein WIndows.old Ordner entstanden ist, berücksichtigst du auch mit?

Normalerweise müsste dann doch der Rest des "neuen" Windows frei von Befall sein, und nur der Windows.old Ordner infiziert sein, oder?

Du warst natürlich nicht der erste mit dieser Frage! :D

Was soll ich da berücksichtigen? Wozu?
Und warum hat man Windowsdrübergebügelt und nich vernünftig sauber neu installiert?

Öhm, wir haben nur drüber gebügelt, weil wir die verschlüsselten Daten ja wieder bekommen wollen, und in anderen Threads ja geschrieben wurde, dass der Trojaner erhalten bleiben soll, um die Daten wieder herstellen zu können.

Das habe ich doch so in der Art doch schon am Anfang geschrieben.

Du liest wohl meine Texte nicht durch? *zwinker* :zunge:

Das war eher eine rhetorische Frage :pfeiff:
Man hätte auch einfach über eine LiveCD die Daten sichern und dann Windows sauber neu installieren können...aber nun gut so ist es nicht geschehen

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Combofix Logfile:
--- --- ---

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehalalrm!

• Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

1 versuch bekam ich einen Bluescreen. 2 versuch lief durch

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hi

das andere prog starte ich jetzt.
lg

Du hast Malwarebytes vorher nicht aktualisiert. Bitte updaten und einen Vollscan machen.

Es ging um Malwarebytes und nicht um Superantispyware!!

Ups sorry hol ich nach hab moment viel stress. :stirn:

so jetzt aber. aktualisiert und "malwarebytes"