Willkommen bei Windows Update - Verschlüsselungstrojaner
 

Hallo,
in Freund von mir hat sich den Verschlüsselungstrojaner zugezogen.
Ein Zugriff auf den Desktop ist für mich also weder über den abgesicherten Modus noch über den Taskmanager möglich, folglich kann ich also keine Analyse durch Malwarebytes präsentieren.

Falls das wichtig ist, der Befall liegt sicherlich schon zwei Monate zurück, durch Urlaub kann ich mich dem Problem aber erst jetzt widmen.

Betriebssystem ist Win XP 32

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?



Abgesicherter Modus zur Bereinigung

• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:
  
  

Hy,
nein funktioniert nicht.
Er startet, in der untern Zeile laufen die Befehlszeilen durch wie das immer beim abgesicherten Modus ist.
Dann lande ich auf einem Bluescreen (auf dem ich in der schnelle nichts erkennen kann) und der Rechner startet neu.
Das passiert bei jedem der drei Modi.

Wenn's weiter hilft, ich hab mal den Startbildschirm abfotografiert.

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Soooo,
hier ist die OTL.Txt, eine Extras.Txt ist nicht in C vorhanden.

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

So, Windows startet wieder.
Hier ist das Logfile, die gezippte Movedfiles sind hochgeladen.
Virenscanner mußte ich deinstallieren weil ich den Taskmanager per Strg-Alt-Entf nicht aufrufen konnte.

Auf einige Dateien wie z.B Fotos habe ich Zugriff, auf andere Fotos wiederum nicht.

Bitte jetzt routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

So, scans sind durch.
Allerdings bin ich mir nicht ganz sicher was ich jetzt mit Malearebytes machen soll,
denn aus diesem Satz
werd ich nicht so ganz schlau. Für mich ist das ein widerspruch in sich selbst.
Im moment hab ich das Programm noch offen.
Hier die Logdatei, unter dem Reiter Quarantäne ist momentan nichts zu finden.
und die Logdatei von Eset

Das ist ja nun Quatsch. Überleg doch mal was der Unterschied ist zwischen einem sofortigen Löschen und Verschieben in Quarantäne
Ist vllt nur unglücklich formuliert aber bei Malwarebytes ist das nun mal so, dass "entferne Auswahl" die Funde in die Quarantäne verschiebt - mit geht es darum, dass genau das passiert und auch nichts voreilig aus der Q entfernt wird!

Bitte richtig lesen - du solltest einen Vollscan machen und auch davon das Log posten, du hast nur das Protection-Log gepostet!

Das habe ich, zumindest habe ich den Morgens gestartet.

Mittags als ich wieder rein geschaut habe war das Icon von Malwarebytes nur noch unten rechts in der...fällt mir geradenicht ein.
Halt da wo die Autostartprogramme aufgeführt sind.
Das was ich gepostet habe war alles was zu bekommen war,deswegen bin ich davon ausgegangen das das alles ist.
Ich geh mal davon aus das das Programm abgestürzt ist.

Das mit der Quarantäne hab ich mir gedacht, war mir aber nicht sicher - ist halt wirklich unglücklich formuliert.
Vielleicht sollte man da nochmal einen Satz in die Standardformulierung einfügen.

Wie auch immer, Ich werds nochmal neu starten und mich dann melden.

Was wird denn alles an Logs aufgelistet im Reiter Logdateien?

Kann ich nicht sagen.
Der Scan läuft und ich kann den Reiter nicht wechseln.

Ich denke aber ich weiß was passiert ist.
Ich hab den Rechner zwar so eingestellt das er nicht in Standby geht, aber der Bildschirm geht halt aus.
Jedes mal wenn ich ihn wieder zurück hole fragt er mich ob ich den Scan abbrechen will.
Da hab ich dann wohl mit einem Doppelklick oder der Entertaste ausversehen bestätigt.

So, jetzt aber
Der Übersicht halber damit du alles in einem Fenster hast nochma das Log von Eset und dann kommen insgesamt vier Logdateien von Malwarebytes
Die Erste
Die Zweite
Drei
und Vier

So, nachdem mein Gesuch im "Erinnerung an meinen Thread" Thread nichts gebracht hat versuch ich hier nochmal mein Glück.

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Suche.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)

Done

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Sx].txt. (x=fortlaufende Nummer)

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Hy,
der normale Modus funktioniert normal, allerdings kommt mir das vor als ob alles ein wenig gebremst läuft.
Kann aber auch sein das ich mich täusche da mein persönlicher Rechner wesentlich schneller ist.

Der Rechner ist nicht meiner, deswegen kann ich zur zweiten Frage keine 100%ige Aussage machen.
Aber ich kann alle Programme im Startmenue aufrufen und soweit mir bekannt ist ist auch alles da.
Normalerweise haben die Programme aber immer ein kleines Icon welches sie kennzeichnet.
Da ist nur bei ganz wenigen Programmen der Fall.
Erst im Untermenue, falls vorhanden, tauchen die teilweise wieder auf.
Ich hab mal nen Screenshot gemacht.

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Voila

Dein Freund nutzt diesen Rechner aber nicht gewerblich oder doch?

Er ist angestellter Fahrlehrer.
Das einzige was auf diesem (seinem privaten) Rechner ist sind seine Schulungsprotokolle.
Alles andere läuft auf dem Firmenrechner in der Fahrschule.

Ironischerweise hab ich dem Rechner den Namen gegeben als ich ihn installiert habe.

Und woher kommt diese Version von XP? Warum ein Professional, warum nur SP2?

XP pro kommt von mir und ist eine Version die ich mit einer alten Dell-Workingstation von der Arbeit bekommen habe.
Warum er das update auf SP3 nicht gemacht hat kann ich dir nicht beantworten, ich würde aber mal sagen weil schlicht und ergreifend kein Platz mehr auf C ist.
Wenn dich das beruhigt kann ich das aber gerne machen, dafür muß ich dann aber ein paar Daten verschieben oder ich müsste Wiederherstellungspunkte löschen.
Kann ich das einfach so?

Nein um die Updates kümmern wir uns wenn wir hier durch sind

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Wie lange sollte der Fix dauern?
Ich glaub nämlich wir müssen nochmal einen Schritt zurück.
In der sicheren Erwartung das du erst weiter machst wenn SP3 drauf ist (Von wegen Raubkopie) hab ich SP3 installiert und wieder deinstalliert als du geschrieben hast das wir uns später drum kümmern.

Der Explorer ist sofort beendet worden und dann hat sich Stunden nichts entscheidendes getan.

Nun bleib doch mal locker :D

SO ein OTL-Fix schickt ja auch gleich alle Daten zum lieben Gott oder was :lach:

Starte Windows neu im abgesicherten Modus (mit Netzwerktreibern nach Möglichkeit), manchmal hakt das Fixen mit OTL im normalen Modus aber sehr oft funktioniert der Fix im abgesicherte Modus.

Isch bin ganz locker.:singsing:
Ich hab nur die Wahrscheinlichkeit abgewägt - und hab in die ....... gegriffen.

Aber zum Thema:
Alle drei abgesicherten Modi machen immer noch genau das was sie am Anfang der Geschichte auch gemacht haben - Sie landen in einem Bluescreen und dann in einem Neustart.
Und im Normalmodus tut sich auch nach wie vor über Stunden nichts.

Ich weiß ja nicht ob das die Sache abkürzt, aber das Wichtigste auf dem Rechner sind die Schulungsprotokolle und die Fotos die ja nach wie vor verschlüsselt sind.
Wenn die wieder da sind wird der ganze Rechner eh neu aufgesetzt.

Kannst du denn wenigstens sehen wo in etwa OTL beim Script hängt? An einer bestimmten Stelle/Zeile im Script oder schon ganz am Anfang?

Wie kann ich das sehen?
Was ich sagen kann ist das der Explorer unmittelbar nach dem Starten des Fix beendet wird.
Und dann passiert eben nichts mehr.

Wenn das OTL-Fenster noch sichtbar bleibt solltest du unten eine Statusleiste von OTL sehen - da sieht man nämlich was OTL gerade tut. Auch wenn ein Log gerade erstellt wird, sieht man in welchem Bereich er gerade rumscannt

In der Statuszeile steht
"Killing processes. DO NOT INTERRUPT"

Probiers mal mit diesem Script bitte aus:

The same procedure, another script, absolutely the same result.:dummguck:

Dann müssen wir das Script noch weiter kastrieren :D
Probier es hiermit:

ähhhhhhhhhhhm - nö.

Dann müssen wir OTL erstmal sein lassen, probieren wir später nochmal


Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition ( meistens Laufwerk C: ) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtg4nzy0ywy5/settings_2012-09-04.png

Das hat zur Abwechslung funktioniert

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Auch das hat geklappt.

Ok, dann versuchen wir nochmal OTL, mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Mal ne kurze Frage - die Aufforderungen mit den Code-Tags, ist das eine Standardformulierung?
Ich bin mir da nämlich keiner Schuld bewusst.
Wenn nicht sag mal bescheid, nicht das ich jedes mal ins selbe Fettnäpfchen trete.

Ansonsten :taenzer: ..... diesmal hat es geklappt.

Ja das ist eine Standardformulierung, ich will nicht jedesmal das Rad neu erfinden - was meinst du wohl wie viele Beiträge ich hier verfasse :pfeiff:

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Auch jetzt hängt OTL wieder seit 45min. mit derselben Statusmeldung - "Killing processes. DO NOT INTERRUPT"

Starte Windows neu im abgesicherten Modus (mit Netzwerktreibern nach Möglichkeit), manchmal hakt das Fixen mit OTL im normalen Modus aber sehr oft funktioniert der Fix im abgesicherte Modus.

Jetzt hat auch endlich der abgesicherte Modus funktioniert, irgendwo hast du den Schalterdafür umgelegt.
Und darin hat dann auch der Fix funktioniert.

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

Einmal Gmer

einmal OSAM

und einmal aswMBR

Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Jep, Check.
Einmal Superantispyware
Und Malwarebytes ist komplett durch gelaufen, wenn ich mich nicht ganz vertue ohne Fund.
Leider hab ich das Log im Browser eingefügt und hab, warum auch immer, zurück gedrückt und schon wars Log weg - und ich finde es nicht wieder.
Wo muß ich suchen?

Reiter Logdateien bei Malwarebytes! Wenn es nichts mehr gefunden hat wär mir das an diesem Punkt der Analyse aber auch egal

Da finde ich nur das Protection-Log, der eigentliche scan kam ja erst danach.

Sieht ok aus, da wurden nur Cookies gefunden, der angebliche Fund bei WinRAR ist ein Fehalarm.
Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )


Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

OK, ich werd mir das mal anschauen.

Soweit Läufts.
Aber da sind halt immer noch die verschlüsselten Dateien an die ich gerne wieder rankommen würde.

Wozu haben wir die Hinweise oben? Da steht doch oben alles! :pfeiff:

Eine Entschlüsselung ist unwahrscheinlich bis unmöglich!

Wenn das keine einfache Verschlüsselung mit "locked-" im Dateinamen ist, sollte man sich um Datenrettung und nicht um Entschlüsselung kümmern!
Wenn Vista oder Win7 im Einsatz sind, den ShadowExplorer testen! Aber keine unnötige Zeit mit Entschlüsselungsversuchen verschwenden

Und in Zukunft willst du sicher mal an ein besseres Backupkonzept denken. Hier ein Denkanstoß => http://www.trojaner-board.de/115678-...r-backups.html


Abgesehen davon wären wir aber durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. Mit Hilfe von OTL kannst du auch viele Tools entfernen:

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.


Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.


Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => http://www.adobe.com/software/flash/about/
Downloadlinks => http://www.adobe.com/products/flashp...ribution3.html

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.