Mich hat der Verschlüsselungstrojaner auch erwischt und ich habe den Trojaner mit AVG Rescue Cd für den USB stick entfernen können.
Jetzt habe ich versucht mit Hilfe des DecryptHelper von Matthias die Verschlüsselten Dateien zu entschlüsseln jedoch kann ich keinen Schlüssel generieren.
Habe dann mit hilfe ScareUncrypt von BitFox ein paar Bilder enschlüsseln können so das sie Sichtbar sind aber haben immernoch als Dateiname (Beispiel:aGqlNEpQAVgpsvs) und wenn ich das Bild öffnen möchte sagt er Datei konnte nicht gelesen werden.
Bitte um Hilfe.

Vorgehen bei Verschlüsselungstrojaner

1. Besuche diesen Link - hier findest du die derzeit verfügbaren Tools sowie die Anweisungen, wie du zu verfahren hast.
   
   
2. Wenn Bestandteile des Schädlings bzw. die Email, mit der er verschickt wurde, sich noch auf deinem Rechner befinden, besuche bitte diesen Link, um die Entwicklung von Gegenmaßnahmen voranzutreiben!

Mit freundlichem Gruß

Das Team von Trojaner-Board.de

Vielen Dank für die Hilfe aber leider schaffe Ich es mit keinem der Programme die Dateien zu entschlüseln.
Besteht die möglichkeit die E-mail mit dem Trojaner einfach weiter zu leiten da ich nciht weis wie ich sie speichern soll!?

Du kannst die email auch einfach so an die genannte Adresse weiterleiten!

Dein Rechner ist vermutlich noch nicht sauber!

Um eine genauere Analyse zu ermöglichen, befolge bitte diesen Link:

An alle Hilfesuchenden! Was muss ich vor Eröffnung eines Themas beachten?

Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen

Hier das ergebniss von Malwarebytes

Malwarebytes Anti-Malware (Trial) 1.61.0.1400
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Database version: v2012.05.23.03

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Marnax :: MARNAX-PC [limited]

Protection: Enabled

24.05.2012 07:57:48
mbam-log-2012-05-24 (07-57-48).txt

Scan type: Full scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 415694
Time elapsed: 1 hour(s), 52 minute(s), 54 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 31
HKCR\CrossriderApp0002258.BHO (PUP.CrossFire.Gen) -> No action taken.
HKCR\CrossriderApp0002258.BHO.1 (PUP.CrossFire.Gen) -> No action taken.
HKCR\CrossriderApp0002258.FBApi (PUP.CrossFire.Gen) -> No action taken.
HKCR\CrossriderApp0002258.FBApi.1 (PUP.CrossFire.Gen) -> No action taken.
HKCR\CrossriderApp0002258.Sandbox (PUP.CrossFire.Gen) -> No action taken.
HKCR\CrossriderApp0002258.Sandbox.1 (PUP.CrossFire.Gen) -> No action taken.
HKLM\SOFTWARE\Google\Chrome\Extensions\mpfapcdfbbledbojijcbcclmlieaoogk (PUP.GamesPlayLab) -> No action taken.
HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\mpfapcdfbbledbojijcbcclmlieaoogk (PUP.GamesPlayLab) -> No action taken.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110011221158} (PUP.GamePlayLab) -> No action taken.
HKCR\CLSID\{11111111-1111-1111-1111-110011221158} (PUP.GamePlayLab) -> No action taken.
HKCR\TypeLib\{44444444-4444-4444-4444-440044224458} (PUP.GamePlayLab) -> No action taken.
HKCR\Interface\{55555555-5555-5555-5555-550055225558} (PUP.GamePlayLab) -> No action taken.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011221158} (PUP.GamePlayLab) -> No action taken.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110011221158} (PUP.GamePlayLab) -> No action taken.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011221158} (PUP.GamePlayLab) -> No action taken.
HKCR\CLSID\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLabs) -> Delete on reboot.
HKCR\TypeLib\{44444444-4444-4444-4444-440044224458} (Adware.GamePlayLabs) -> Delete on reboot.
HKCR\Interface\{55555555-5555-5555-5555-550055225558} (Adware.GamePlayLabs) -> Delete on reboot.
HKCR\CrossriderApp0002258.BHO.1 (Adware.GamePlayLabs) -> Delete on reboot.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLabs) -> Delete on reboot.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLabs) -> Quarantined and deleted successfully.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLabs) -> Delete on reboot.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLabs) -> Delete on reboot.
HKCR\CLSID\{22222222-2222-2222-2222-220022222258} (Adware.GamePlayLab) -> Delete on reboot.
HKCR\CrossriderApp0002258.Sandbox.1 (Adware.GamePlayLab) -> Delete on reboot.
HKCR\CrossriderApp0002258.Sandbox (Adware.GamePlayLab) -> Delete on reboot.
HKCR\CLSID\{33333333-3333-3333-3333-330033223358} (Adware.GamePlayLab) -> Delete on reboot.
HKCR\CrossriderApp0002258.FBApi.1 (Adware.GamePlayLab) -> Delete on reboot.
HKCR\CrossriderApp0002258.FBApi (Adware.GamePlayLab) -> Delete on reboot.
HKCR\CrossriderApp0002258.BHO (Adware.GamePlayLab) -> Delete on reboot.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\I Want This (Adware.GamePlayLabs) -> Delete on reboot.

Registry Values Detected: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|081A4C6D (Trojan.Agent.RNSGen) -> Data: C:\Users\Marnax\AppData\Roaming\Udngxivm\B1CA0A56081A4C6D1E33.exe -> Quarantined and deleted successfully.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\I Want This|Publisher (Adware.GamePlayLab) -> Data: 215 Apps -> Delete on reboot.

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 3
C:\Program Files\I Want This (Adware.GamePlayLab) -> Delete on reboot.
C:\Users\Admin.Marnax-PC\AppData\Local\I Want This (Adware.GamePlayLab) -> Delete on reboot.
C:\Users\Admin.Marnax-PC\AppData\Local\I Want This\Chrome (Adware.GamePlayLab) -> Delete on reboot.

Files Detected: 14
C:\Program Files\Uncompressor\Uninstall\Uninstall.exe (PUP.Adware.InstallCore) -> No action taken.
C:\Users\Admin.Marnax-PC\Desktop\ADLSoft_UnCompressor_v2.exe (PUP.Adware.InstallCore) -> No action taken.
C:\Program Files\I Want This\I Want This.dll (PUP.GamePlayLab) -> No action taken.
C:\Program Files\I Want This\I Want This.dll (Adware.GamePlayLabs) -> Delete on reboot.
C:\Program Files\I Want This\I Want This.exe (Adware.GamePlayLabs) -> Delete on reboot.
C:\Program Files\I Want This\I Want ThisGui.exe (Adware.GamePlayLabs) -> Delete on reboot.
C:\Program Files\I Want This\Uninstall.exe (Adware.GamePlayLabs) -> Delete on reboot.
C:\Users\Admin.Marnax-PC\AppData\Local\Temp\is1293846689\IWantThis_ADL_ROW.exe (Adware.GamePlayLabs) -> Delete on reboot.
C:\Users\Admin.Marnax-PC\Desktop\DecryptHelper-0.5.3.exe (Trojan.FakeAlert) -> Delete on reboot.
C:\Users\Marnax\Desktop\Neuer Ordner\DecryptHelper-0.5.3.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Program Files\I Want This\I Want This.ini (Adware.GamePlayLab) -> Delete on reboot.
C:\Program Files\I Want This\I Want This.ico (Adware.GamePlayLab) -> Delete on reboot.
C:\Program Files\I Want This\I Want ThisInstaller.log (Adware.GamePlayLab) -> Delete on reboot.
C:\Users\Admin.Marnax-PC\AppData\Local\I Want This\Chrome\I Want This.crx (Adware.GamePlayLab) -> Delete on reboot.

(end)

Quick Scan

Malwarebytes Anti-Malware (Trial) 1.61.0.1400
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Database version: v2012.05.24.01

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Marnax :: MARNAX-PC [limited]

Protection: Enabled

24.05.2012 10:24:31
mbam-log-2012-05-24 (10-24-31).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 211993
Time elapsed: 2 minute(s), 56 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 29
HKCR\CrossriderApp0002258.BHO (PUP.CrossFire.Gen) -> No action taken.
HKCR\CrossriderApp0002258.BHO.1 (PUP.CrossFire.Gen) -> No action taken.
HKCR\CrossriderApp0002258.FBApi (PUP.CrossFire.Gen) -> No action taken.
HKCR\CrossriderApp0002258.FBApi.1 (PUP.CrossFire.Gen) -> No action taken.
HKCR\CrossriderApp0002258.Sandbox (PUP.CrossFire.Gen) -> No action taken.
HKCR\CrossriderApp0002258.Sandbox.1 (PUP.CrossFire.Gen) -> No action taken.
HKLM\SOFTWARE\Google\Chrome\Extensions\mpfapcdfbbledbojijcbcclmlieaoogk (PUP.GamesPlayLab) -> No action taken.
HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\mpfapcdfbbledbojijcbcclmlieaoogk (PUP.GamesPlayLab) -> No action taken.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110011221158} (PUP.GamePlayLab) -> No action taken.
HKCR\CLSID\{11111111-1111-1111-1111-110011221158} (PUP.GamePlayLab) -> No action taken.
HKCR\TypeLib\{44444444-4444-4444-4444-440044224458} (PUP.GamePlayLab) -> No action taken.
HKCR\Interface\{55555555-5555-5555-5555-550055225558} (PUP.GamePlayLab) -> No action taken.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110011221158} (PUP.GamePlayLab) -> No action taken.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011221158} (PUP.GamePlayLab) -> No action taken.
HKCR\CLSID\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLab) -> Delete on reboot.
HKCR\TypeLib\{44444444-4444-4444-4444-440044224458} (Adware.GamePlayLab) -> Delete on reboot.
HKCR\Interface\{55555555-5555-5555-5555-550055225558} (Adware.GamePlayLab) -> Delete on reboot.
HKCR\CrossriderApp0002258.BHO.1 (Adware.GamePlayLab) -> Delete on reboot.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLab) -> Delete on reboot.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLab) -> Delete on reboot.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLab) -> Delete on reboot.
HKCR\CLSID\{22222222-2222-2222-2222-220022222258} (Adware.GamePlayLab) -> Delete on reboot.
HKCR\CrossriderApp0002258.Sandbox.1 (Adware.GamePlayLab) -> Delete on reboot.
HKCR\CrossriderApp0002258.Sandbox (Adware.GamePlayLab) -> Delete on reboot.
HKCR\CLSID\{33333333-3333-3333-3333-330033223358} (Adware.GamePlayLab) -> Delete on reboot.
HKCR\CrossriderApp0002258.FBApi.1 (Adware.GamePlayLab) -> Delete on reboot.
HKCR\CrossriderApp0002258.FBApi (Adware.GamePlayLab) -> Delete on reboot.
HKCR\CrossriderApp0002258.BHO (Adware.GamePlayLab) -> Delete on reboot.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\I Want This (Adware.GamePlayLab) -> Delete on reboot.

Registry Values Detected: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\I Want This|Publisher (Adware.GamePlayLab) -> Data: 215 Apps -> Delete on reboot.

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 3
C:\Program Files\I Want This (Adware.GamePlayLab) -> Delete on reboot.
C:\Users\Admin.Marnax-PC\AppData\Local\I Want This (Adware.GamePlayLab) -> Delete on reboot.
C:\Users\Admin.Marnax-PC\AppData\Local\I Want This\Chrome (Adware.GamePlayLab) -> Delete on reboot.

Files Detected: 9
C:\Program Files\I Want This\I Want This.dll (PUP.GamePlayLab) -> No action taken.
C:\Program Files\I Want This\I Want This.dll (Adware.GamePlayLab) -> Delete on reboot.
C:\Program Files\I Want This\I Want This.ini (Adware.GamePlayLab) -> Delete on reboot.
C:\Program Files\I Want This\I Want This.exe (Adware.GamePlayLab) -> Delete on reboot.
C:\Program Files\I Want This\I Want This.ico (Adware.GamePlayLab) -> Delete on reboot.
C:\Program Files\I Want This\I Want ThisGui.exe (Adware.GamePlayLab) -> Delete on reboot.
C:\Program Files\I Want This\I Want ThisInstaller.log (Adware.GamePlayLab) -> Delete on reboot.
C:\Program Files\I Want This\Uninstall.exe (Adware.GamePlayLab) -> Delete on reboot.
C:\Users\Admin.Marnax-PC\AppData\Local\I Want This\Chrome\I Want This.crx (Adware.GamePlayLab) -> Delete on reboot.

(end)

Die E-Mail mit dem Trojaner habe ich auch schon zu euch geschickt!

Wer hat denn MBAM-Logs verlangt?

Arbeite die Tools im genantnen Link durch und poste deren logs!

Achtung!

Du müsstest die von der Rescue CD entfernten Dateien irgendwo als Quarantäne haben - lösche sie auf keinen Fall! Ohne den Schädling sind deine Daten weg!

Die ergebnisse der anderen Programme sind oben in meinem ersten Beitrag als Zip Datei

Mein Name ist Marius und ich werde dir bei deinem Problem helfen.

Eines vorneweg:

Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass du clean bist.

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Solltest du irgendwo nicht weiterkommen, stoppe an diesem Punkt und beschreibe dein Problem hier!
• Nur Scans durchführen, zu denen du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren) - wenn du die anweisungen mehrere Helfer ausführst, kann das schwere Probleme nach sich ziehen!.
• Installiere oder Deinstalliere während der Bereinigung keine Software (ausser, du wurdest dazu aufgefordert).
• Wenn etwas unklar ist: Frage, bevor du etwas "blind" machst!
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen, außer, ich fordere dich dazu auf. Erschwert mir nämlich das Auswerten.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.



Sorry, mein Fehler!


Schritt 1: aswMBR


Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. ( Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen ) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.



Schritt 2: Scan mit TDSS-Killer


Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen. Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe
• Klicke Change parameters, wähle Detect TDLFS file system, klicke OK.
• Drücke Start Scan
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile. TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ ) Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.

Ich habe das Problem das aswMBR sich beim Scannen aufhängt und dann Windows Fehler kommt das das Programm nicht mehr reagiert.

Starte aswMBR erneut. Wenn du gefragt wirst, ob der PC unter Verwendung von avast!-Definitionen gescannt werden soll, klicke nein.

Scanne erneut

Leider Immer der gleiche Fehler!

Dann weiter mit TDSS-Killer

Bei TDSS-Killer sagt er no threats found!