Hallo!

habe ein WIN7 Home Premium 64bit notebook, bei dem alle dateien offensichtlich verschlüsselt sind, in den ordnern finden sich "HOW TO DECRYPT FILES.TXT" files. die dateien haben alle ein geänderte extension z.B. "Desert.jpg.Bl9c98vcvv". habe die im Trojaner-Board zur verfügung gestellten decryper ausprobiert (WIN7 original beispielbilder), die sagen mir alle, dass original und encrypted file nicht zusammenpassen. habe einen Malwarebytes scan gemacht der hat 2 infizierungen gefunden und entfernt, keiner der beiden hat jedoch vom namen auf einen decrypt-trojaner hingedeutet.

Komm nicht weiter und ich hoffe Ihr könnt mir hier weiterhelfen, vielen dank im voraus!

Lg,
Hans

----------------------------------------

HOW TO DECRYPT FILES.txt

All your files are encrypted!
To decrypt them you need to
send a voucher code or Paysafecard Ukash at email: tenagliamirella@gmail.com
In return you get a code to decrypt files.
You can find more information here hxxp://ukash.com/uk/en/home.aspx
or hxxp://www.paysafecard.com/choose-country/

PLEASE READ CAREFULLY!
To avoid problems, TURN OFF YOUR ANTI-VIRUS!
AKA restore your files WILL NOT!
================================================================================
Todos os seus arquivos sao criptografados!
Para decifra-los voce precisa
enviar um codigo de voucher Ukash Paysafecard ou no e-mail: tenagliamirella@gmail.com
Em troca, voce recebera um codigo para decifrar arquivos.
Voce pode encontrar mais informacao aqui hxxp://ukash.com/uk/en/home.aspx
ou hxxp://www.paysafecard.com/choose-country/

LEIA COM ATENCAO!
Para evitar problemas, DESLIGUE seu anti-virus!
AKA restaurar seus arquivos nao serao!

--------------------------------------

mbam.log-2012-05-09 (08-23-45).txt

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.09.01

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus)
Internet Explorer 9.0.8112.16421
Purgi :: PURGI-PC [Administrator]

09.05.2012 08:23:45
mbam-log-2012-05-09 (08-23-45).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 429153
Laufzeit: 50 Minute(n), 41 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\decrypt virus\DecryptHelper-0.5.3.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Purgi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\4Q5XGU90\FastDownload.exe (Affiliate.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Mein Name ist Marius und ich werde dir bei deinem Problem helfen.

Eines vorneweg:

Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass du clean bist.

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Solltest du irgendwo nicht weiterkommen, stoppe an diesem Punkt und beschreibe dein Problem hier!
• Nur Scans durchführen, zu denen du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren) - wenn du die anweisungen mehrere Helfer ausführst, kann das schwere Probleme nach sich ziehen!.
• Installiere oder Deinstalliere während der Bereinigung keine Software (ausser, du wurdest dazu aufgefordert).
• Wenn etwas unklar ist: Frage, bevor du etwas "blind" machst!
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen, außer, ich fordere dich dazu auf. Erschwert mir nämlich das Auswerten.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.


Leite die Email bitte an diese Adresse weiter.

Dann mach folgendes:


Schritt 1: defogger


Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

• Starte das Tool mit Doppelklick.
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
• Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
• Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.

Sollte Defogger eine Fehlermeldung ausgeben, poste bitte die defogger_disable Log von deinem Desktop.
Klicke den Re-enable Button nicht ohne Anweisung.


Schritt 2: DDS


Downloade dir bitte dds ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop. dds.com dds.scr dds.pif

• Schließe alle laufenden Programme.
• Starte DDS mit Doppelklick.
• Es wird 2 Logfiles erstellen.
  • dds.txt
  • attach.txt
• Speichere beide Logfiles auf deinem Desktop
• Poste beide Logfiles hier.

Schritt 3: TDSS-Killer


Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen. Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe
• Klicke Change parameters, wähle Detect TDLFS file system, klicke OK.
• Drücke Start Scan
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile. TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ ) Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.



Schritt 4: aswMBR


Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen ) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Hallo Marius!

danke für Deine rasche antwort!

ich werde die hinweise so bald wie möglich durchführen und poste die ergebnisse in diesem thread.

einrs noch:

was ist mit "Leite die Email bitte an diese Adresse weiter." gemeint ?

danke & lg,
Hans

Zitat:

Zitat von hpesata

was ist mit "Leite die Email bitte an diese Adresse weiter." gemeint ?

danke & lg,
Hans

Alles okay, ich dachte zuerst, der Schädling sei per Email gekommen.
Ignoriere den Hinweis!

Guten Morgen Marius!

habe die logfiles hochgeladen.

danke & lg,
Hans

Bitte zippe die logfiles von MBAM (zu finden im Programm unter Logdateien) und hänge sie hier an deine nächste Antwort als Anhang an!

hab einige verschlüsselte files (WIN7 sample pictures) raufgeladen.

lg,
Hans

Dann noch den ESET-Scan!

Guten Morgen!

der ESET hat nichts gefunden, konnte auch keine logfile speichern,
da war kein button "list of found threads".

hab auch mit AVIRA AntiVir gescannt, der hat auch nix gefunden.

lg,
Hans

Zippe bitte den Ordner

Zitat:

C:\qoobox

und lade ihn im Upload-Channel hoch.

Momentan können unsere Experten kein Gegenmittel für deinen Fall entwickeln, weil der eigentliche Schädling noch zur Analyse fehlt.

Außerdem:

Custom scan mit OTL


Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
explorer.exe
regedit.exe
winlogon.exe
wininit.exe
userinit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hallo!

anbei die OTL logfles. 7-zip hat ene fehlermeldung ausgegeben beim zippen des ordners beim zugriff auf den ordner qoobox/backenv, ich lade das zip gleich rauf.

wenn sich der virus in einer email versteckt hat, finden ihn die ganzen tools dann überhaupt ? hab sie durchgeschaut aber nix verdächtiges gefunden...

danke & lg,
Hans

Hm...da kann ich auch nix sehen.

• Als die Textdatei zum ersten Mal geöffnet wurde, gab es auch andere Anzeichen für einen Schädling?
• Hat ein Antivirenprogramm angeschlagen?
• Hast du mit einem Antivirenprogramm gescannt, BEVOR du das Thema hier eröffnet hast?

Oder war diese sich öffnende Textdatei der erste und einzige Hinweis auf einen Befall?

Hallo nochmal!

bevor ich bei Euch geposted habe, habe ich einen Scan mit AntiVir gemacht, hier gab es keine funde. virenprogramm hat auch keins angeschlagen.

soll ich mal SpyBot probieren ?

das raufladen des gezippten Qoobox ordners (250 MB) hängt schon ziemlich lange, weiss nicht obs das zu Euch schafft ...

ich mach gerade einen scan mit der DesInfect CD aus der c't 9/2012,
vielleicht findet der Kaspersky was ...

danke & lg,
Hans

Hm...das Problem ist, dass er den A1-Manager als Infektion erkannt und mit in den Ordner gepackt hat.
Brech das ab, so kommen wir nicht weiter.

Spybot hilft uns hier auch nicht.

Zippe bitte alle Logfiles von Avira und hänge sie hier an den Thread an!

Hallo!

der A1-manager hat auch zum spinnen angefangen, spuckt immer fehlermeldungen aus, z.B. dass TCP/IP nicht enabled ist o.ä., spuckt auch access violations aus.

anbei die avira logs...

lg,
Hans