Hallo Board,

wir haben uns einen Verschlüsselungstrojaner eingefangen.
Beim (dummen) Öffnen einer "Scheinrechnung" per "E-Mail" wurde der Trojaner aktiv und meldet den Standard:
"Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert.
Aus Sicherheitsgründen wurde ihr Windowssystem blockiert..."

Habe mich an das "Vorgehen beim Verschlüsselungs-Trojaner (Trojan.Matsnu.1)" gehalten:


1. Ich habe aus dem gesicherten Modus Malwarebytes Anti-Malware laufen lassen und konnte nach Lauf und Entfernung den PC wieder starten, hier der Report:
Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.03.05

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
*** :: ***-PC [Administrator]

Schutz: Deaktiviert

03.05.2012 19:01:22
mbam-log-2012-05-03 (19-38-38).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 347546
Laufzeit: 36 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|6AF7E5C0 (Trojan.Downloader) -> Daten: C:\Users\***\AppData\Roaming\Qprfuc\2458ECB06AF7E5C0C8C4.exe -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 6
C:\Users\***\AppData\Roaming\Qprfuc\2458ECB06AF7E5C0C8C4.exe (Trojan.Downloader) -> Keine Aktion durchgeführt.
C:\Users\***\AppData\Local\Temp\afrtsdrxsi.pre (Trojan.Downloader) -> Keine Aktion durchgeführt.
C:\Users\***\AppData\Local\Temp\bxyuqgfsyt.pre (Trojan.Downloader) -> Keine Aktion durchgeführt.
C:\Users\***\AppData\Local\Temp\qnnghrrprg.pre (Trojan.Downloader) -> Keine Aktion durchgeführt.
C:\Users\***\AppData\Local\Temp\ysninfjjxo.pre (Trojan.Downloader) -> Keine Aktion durchgeführt.
C:\Users\***\AppData\Local\Temp\zluhbsxiyp.pre (Trojan.Downloader) -> Keine Aktion durchgeführt.

(Ende)

2. Alle relevanten Daten waren bzw. sind verschlüsselt. Habe gemäß Schritt 2 "DecryptHelper von Matthias" zum Entschlüsseln verwendet und dazu parallel den "Avira-RansomFileUnlocker-1.0.1". Hat ebenfalls geklappt. Kann alles wieder verwenden.

3. Was soll ich nun machen? Empfehlung Schritt 3 sagt: "Befolge folgende Anweisungen: an alle Hilfesuchenden um den Rechner vollständig zu bereinigen. Das ist wichtig, denn der Rechner ist noch nicht sauber!"


Schon mal jeden Dank vorab...

P.S. Bin reiner Anwender und damit "Laie"

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
drivers32 /all
%SYSTEMDRIVE%\*.*
%systemroot%\system32\*.wt
%systemroot%\system32\*.ruy
%systemroot%\Fonts\*.com
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\REPAIR\*.bak1
%systemroot%\REPAIR\*.ini
%systemroot%\system32\*.jpg
%systemroot%\*.scr
%systemroot%\*._sy
%APPDATA%\Adobe\Update\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%APPDATA%\Microsoft\*.*
%PROGRAMFILES%\*.*
%APPDATA%\Update\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hallo,

bevor ich loslege...

Ich habe jetzt ja wieder Zugriff auf Bilder, Musik und einige pdfs und docs.

Ich entnehme Deinem Hinweis, dass es wahrscheinlich schneller und sicherer ist, diese Daten zu speichern und dann den PC zu formatieren.

Was meinst Du?

Es ist der sicherste aber oft auch mühsamere Weg. Die Entscheidung liegt voll und ganz bei Dir.

Vielen Dank für Dein schnelles Feedback!

Ich werde mich dann am am Wochenende an die Formatierung begeben. Habe zwar keine Lust aber zumindest Zeit...

Eine letzte Frage. Kann ich davon ausgehen, dass die entschlüsselten Dateien "sicher" sind?

Ja die sind nicht verädnert in sich

Many thanks...und tschüss