hallo und guten tag:

nach jahrelanger ruhe habe ich mir trotz aktuellem virenschutz nun doch beim vorbeisurfen eine französische "sacem police nationale" ransomware eingefangen. beim normalen start geht windows (vista business 32bit) direkt zu einem greyscreen, auf dem der hängenbleibt, wenn man die netzwerkverbindung kappt. gönnt man ihm internetzugriff, kommt eine seite, auf der man aufgefordert wird, geld zu zahlen, um nicht ins gefängnis zu kommen, weil man illegal musik heruntergeladen hat (was ich nicht getan habe) - bekannte masche.

im normalen modus komme ich aus dieser geiselhaft überhaupt nicht frei, z.b. weil der taskmanager startet nicht. auch im abgesicherten modus, in dem sich der rechner anscheinend "normal" benutzen läßt, sind taskmanager und registrierungseditor "vom administrator deaktiviert".

auch mit der erstellung der logfiles habe ich schwierigkeiten. defogger hat wohl funktioniert, aber dds läßt sich weder über die ausführbare datei starten noch als screensaver, in letzterem fall startet er immerhin kurz, es kommen runde sechs ######, dann bricht er ab (ohne logfile).

immerhin ein gmer-logfile kann ich anbieten (im abgesicherten modus ausgeführt!):
GMER Logfile:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-05-20 08:09:47
Windows 6.0.6002 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 TOSHIBA_MK1011GAH rev.BK002A
Running: dyx6enj6.exe; Driver: C:\Users\Blenco\AppData\Local\Temp\pwdiapow.sys
 
 
---- Registry - GMER 1.0.15 ----
 
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xC4 0xFD 0x1F 0x1A ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) 
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xC4 0xFD 0x1F 0x1A ...
 
---- EOF - GMER 1.0.15 ----
         

--- --- ---


unnötig zu erwähnen, daß selbsthilfe mit boardmitteln ( malwarebytes anti-malware , systemwiederherstellung) nichts gebracht hat - danach kam zwar im normalen modus kurz wieder mein desktophintergrund, nur um dann doch wieder vom greyscreen der ransomware verdrängt zu werden...

ich bin einigermaßen ratlos, wie ich da rankomme - und entsprechend dankbar für schnelle hilfe!!!

all the best, M.

und weiter gehts: ich konnte mit dem kaspersky virus removal tool einen teil des trojaners Trojan-Ransom.Win32.Gimemo.ruy (mehr infos unter hxxp://www.threatexpert.com/report.aspx?md5=fff73986e2b2a0555010090331cdba8c) entfernen, allerdings läßt sich kaspersky pure nicht installieren und auch der task-manager ist immer noch deaktiviert (obwohl in der registry bei HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System eine 0 steht...) - also ist immer noch einiges im argen.

immerhin ließen sich nun diverse diagnose programme (dds, otl, hijackthis) ausführen, deren reports ich hier anhänge.

über analyse und hinweise, wie ich weiter vorgehen könnte, würde ich mich sehr freuen!

1000 dank & all the best, M.

Zitat:

unnötig zu erwähnen, daß selbsthilfe mit boardmitteln ( malwarebytes anti-malware , systemwiederherstellung) nichts gebracht hat

Trotzdem bitte alle Logs davon posten

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log