Suspected of copyright violation and unauthorized access to the licensed software.

Makubo · 20.09.2012, 10:44

Hallo,

ich habs total verschlumpft.

Nachdem das Rechnerproblem wegen anderer Dinge etwas in Vergessenheit geraten ist (ist ja nicht der Laptop den ich normalerweise benutze

... und auch das Problem mit verschwundenem Internetexplorer und Mediaplayer war nicht so tragisch) wurde ich heute mit einem "Wääääh, meine Dateien sind weg ..." wieder daran erinnert.
Also darf ich wieder. *seufz* Na, bin ja zum Teil selber schuld wegen Sieb-im-Kopf.

In den letzten Tagen gab es laut Bericht wohl immer wieder eine Meldung, dass der Adobe flash-Player was installieren will - wurde aber schlauerweise immer wieder weggeklickt.
Nichtsdestotrotz sind seit heute so ziemlich alle persönlichen Dateien mit der Endung .police versehen und verschlüsselt. Zusätzlich findet sich überall auf dem PC eine Datei namens "warning.txt" mit folgendem inhalt.

Code:

ATTFilter

You id: 41997990563437458527040941014159808841378652341298155609410
If you are reading this warning.txt file, it means that your computer and IP address were suspected of copyright violation and unauthorized access to the licensed software.
All files located on your hard discs have been encrypted. Note to self: do not try to rename any files or alter their contents since it may lead to the inability of their subsequent decryption.
The copyrights are protected and governed by the articles 17 U.S.C. § 102, § 107, § 108, § 109 ? § 501 of the United States of America legislation.
Violation of the above noted laws is subject to either the money penalty of $300.000 or a 10-year term of imprisonment.
You have 48 hours in order to pay an indemnity to the copyright holders,
otherwise the US law enforcement community will have to file a lawsuit against you.
In order to pay the indemnity you need to purchase a MoneyPak with nominal value of 100 dollars.
For Europe users is other way for payment - paymer check (www.paymer.com) You can purchase Paymer codes in any
exchange service such as www.buywmz.com www.exwp.org and many others.
The code shall be sent to unlock@fbilock.net using your e-mail.
You can purchase MoneyPak codes in any Walmart, CVS/Pharmacy, Kmart or Walgreens store.
As soon as we receive the code, you will be sent an application which is going to decrypt all infected files on your computer.

Ich befürchte also, dass es wieder von Vorne losgeht und habe gleich mal wieder Malwarebytes und OTL laufen lassen, siehe Anhang. (OTL hat nur ein Log geliefert

)

Gibt's eine Prognose, ob man an die Dateien wieder drankommt? Bei einigen wäre es wohl ziemlich ärgerlich wenn sie weg wären.

Mit den besten Grüßen,

Matz

cosinus · 22.09.2012, 13:54

Zitat:

Gibt's eine Prognose, ob man an die Dateien wieder drankommt? Bei einigen wäre es wohl ziemlich ärgerlich wenn sie weg wären.

Ja einfach aus dem letzten Backupset holen - du machst ja regelmäßig Backups oder nicht?

Makubo · 22.09.2012, 19:35

Hi,

ja, ich (und der User des Befallenen PCs) machen regelmäßig Backups, aber nicht täglich. Die wirklich wichtigen Sachen werden einmal in der Woche nach dem Virencheck auf eine externe HD verfrachtet.
Den Stick für das Backup zwischendurch hat der Trojaner leider mit zerlegt. - Während des Backups, sonst steckt er auch nicht.

Ich denke daher mittlerweile auch ernsthaft darüber nach, das System komplett neu aufzusetzen - wenn ich nach dem Putzen nicht mehr an die Daten komme, ist das glaube ich die sinnvollste Alternative.

Gruß,
Matz

cosinus · 22.09.2012, 21:57

Zum Wiederholen der Daten könnte ich dich eh nur an den obigen Hinweis verweisen...

Willst du nun Bereinigen oder nicht? Falls du eine Neuinstallation machen willst, probier das vorher noch mit den Schattenkopien aus!

Makubo · 24.09.2012, 20:45

Hallo,

sorry, ich komme zwischen Beruf und Familie gerade nicht so wirklich dazu, mich mit dem Problem zu beschäftigen.

Ich melde mich, sobald ich wieder klar denken kann.

Gruß,
Matz

So, jetzt aber.

Ich bin gerade dabei per Recovery das System mehr oder weniger in den Urzustand zu versetzen. Um ganz sicher zu gehen, würde ich allerdings gerne einmal überprüfen.
Kannst Du mir dabei helfen?
Fange ich am besten mit Malwarebytes an?

Danke und Gruß,
Matz

cosinus · 25.09.2012, 11:43

Zitat:

Ich bin gerade dabei per Recovery das System mehr oder weniger in den Urzustand zu versetzen.

Klasse Idee! Damit zerstörst du ganz sicher alle Daten und die Schattenkopien helfen dir dann garantiert als letzter Rettungsanker auch nicht mehr weiter!

Makubo · 25.09.2012, 12:31

Zitat:

Zitat von cosinus

Klasse Idee! Damit zerstörst du ganz sicher alle Daten und die Schattenkopien helfen dir dann garantiert als letzter Rettungsanker auch nicht mehr weiter!

Ist mir klar. Es geht mir in jetzt erster Linie darum, wieder einen sicheren Rechner zu haben, denn ...

Zitat:

Zitat von Makubo

Die wirklich wichtigen Sachen werden einmal in der Woche nach dem Virencheck auf eine externe HD verfrachtet.

Das war kein Witz. Die Platte existiert und ist sauber.

Zitat:

Zitat von cosinus

Zum Wiederholen der Daten könnte ich dich eh nur an den obigen Hinweis verweisen...

Ja, durch die Hinweise bin ich durch. Sorry dass ich das nicht so explizit hier hingeschrieben habe.
Schatenkopien habe ich auch gesucht. Von dem was für die Rettung noch interessant gewesen wäre (weil noch nicht gesichert), gab es nichts (unter anderem).

Ich bin Euch wirklich dankbar für alle Hinweise, die ihr hier gebt, und weiß die Hilfe die hier geleistet wird zu schätzen. Speziell Dir bin ich dafür dankbar dass Du Dir jetzt gerade Zeit für mein Problem nimmst. Mir ist klar, dass Du sicher noch andere Dinge zu tun hast.

Zitat:

Zitat von Makubo

Ich denke daher mittlerweile auch ernsthaft darüber nach, das System komplett neu aufzusetzen - wenn ich nach dem Putzen nicht mehr an die Daten komme, ist das glaube ich die sinnvollste Alternative.

Daher bin ich mit meinen überlegungen an dem Punkt gewesen wo Recovery und Verzicht auf Daten den geringsten Arbeitsaufwand für alle beteiligten bedeutet.
Das ätzende "Klasse Idee!" kann ich daher nicht nachollziehen.

Würdest Du mir trotzdem bei einem Check helfen?

Gruß,
Matz

cosinus · 25.09.2012, 14:45

Zitat:

Das ätzende "Klasse Idee!" kann ich daher nicht nachollziehen.

Was soll ich deiner Meinung denn sonst schreiben wenn du kein Wort über die Schattenkopien verlierst? Für mich sieht das so aus, als hättest du das nicht gesehen und es ist potentiell die einzige Möglichkeit schnell an seine Daten wieder heranzukommen, die verschlüsselt und vorher nichts extern gesichert wurden!

Zitat:

Würdest Du mir trotzdem bei einem Check helfen?

Und wo genau soll ich jetzt noch helfen?

Makubo · 25.09.2012, 17:18

Hi,

OK, Du hast recht, das mit den Schattenkopien konntest Du nicht wissen. Insofern habe ich Haue verdient.

Und auch beim zweiten Punkt habe ich mich wohl nebulös ausgedrückt.

Zitat:

Zitat von cosinus

Und wo genau soll ich jetzt noch helfen?

Ich würde nach diesem GAU gerne einen prophlaktischen Systemcheck machen. Ist nicht ganz der Urzustand sondern System plus Software die auf dem Rechner so gebraucht wird.
Oder denkst Du, das ist nicht nötig?

Gruß,
Matz

cosinus · 25.09.2012, 19:33

Wenn man alles richtig gemacht hat bei der Neuinstallation kann keine malware mehr aktiv sein
Wann hast du das Malwarebytes Log gemacht? Vor oder nach der Neuinstallation?

Makubo · 28.09.2012, 12:13

Hallo

Zitat:

Zitat von cosinus

Wenn man alles richtig gemacht hat bei der Neuinstallation kann keine malware mehr aktiv sein.

Da hast Du natürlich recht. Ich bin vielleicht ein wenig paranoid nachdem im letzten halben Jahr mindestens dreimal Viren- und Trojaneralarm auf Arbeit war ( nein, nicht mein PC

) und jetzt das hier. Ich hatte nochmal Malwarebytes laufen lassen und - wie erwartet - alles sauber.

Code:

ATTFilter

Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.09.26.07

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Neptun :: NEPTUN-PC [Administrator]

26.09.2012 15:01:43
mbam-log-2012-09-26 (15-01-43).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 344474
Laufzeit: 3 Stunde(n), 29 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Danke nochmal für die Zeit, die Du Dir genommen hast, und sorry wegen der Missverständnisse.

Gruß,
Matz

22.09.2012, 21:57	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Suspected of copyright violation and unauthorized access to the licensed software. Zum Wiederholen der Daten könnte ich dich eh nur an den obigen Hinweis verweisen... Willst du nun Bereinigen oder nicht? Falls du eine Neuinstallation machen willst, probier das vorher noch mit den Schattenkopien aus! __________________ Logfiles bitte immer in CODE-Tags posten

25.09.2012, 19:33	#10
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Suspected of copyright violation and unauthorized access to the licensed software. Wenn man alles richtig gemacht hat bei der Neuinstallation kann keine malware mehr aktiv sein Wann hast du das Malwarebytes Log gemacht? Vor oder nach der Neuinstallation? __________________ Logfiles bitte immer in CODE-Tags posten

Suspected of copyright violation and unauthorized access to the licensed software.

Log-Analyse und Auswertung: Suspected of copyright violation and unauthorized access to the licensed software.