Hallo, habe heute auch den neuen Verschlüsselungs-Trojaner "erhalten". System (Windows 7 Ultimate) hat sich nur noch im abgesicherten Modus starten lassen. Nach Systemwiederherstellung von gestrigem Datum kann ich zumindest wieder im normalen Modus arbeiten, allerdings sind sämtliche wichtigen (Firmen-)Dateien, Bilder, etc. jetzt verschlüsselt (ohne das locked vor dem Dateinamen) bzw. auch umbenannt. Habe verschiedene Entschlüsselungsprogramme probiert - funktioniert hat keines. Avira Ransom File Unlocker erkennt die verschlüsselten Daten nicht einmal als verschlüsselt, nur unter *.alle Dateien. Auch meine externe Speicherplatte ist davon betroffen.

Malewarebytes hat dann folgendes geschrieben:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.22.02

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 8.0.7601.17514
KESA :: KESASERVER [Administrator]

Schutz: Aktiviert

22.05.2012 17:42:56
mbam-log-2012-05-22 (17-42-56).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 245484
Laufzeit: 18 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{21C0A98F-F001-9FE8-03B4-DECA30038F61} (Trojan.ZbotR.Gen) -> Daten: C:\Users\KESA\AppData\Roaming\Coryu\kikaha.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Ich lasse Malwarebytes gerade nochmal drüberlaufen, sowie den ESET Online-Scan, der is jetzt folgendes gefunden hat:

Bedrohungen erkannt!
Win32/Toolbar.WidgiAnwendung
Variante von Win32/Injector.RRS Trojaner

Kann mir jemand helfen? Danke schon vorab

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Nein das war das 1. Mal, allerdings hat der ESET Online-Scan einen 2. Win32/Toolbar.WidgiAnwendung gefunden. Ich pack jetzt mal alle Dateien (auch die von meiner EXT Platte - auch befallen) auf mein C-Laufwerk, packe eine neue FP rein, installiere Windows neu und versuch mal mit dem Backup von der EXT Platte (sollte ja angeblich schreibgeschützt sein) drüberzugehen.

Ok, wenn du neu installieren willst, dann mach das das

Guten Abend,

ich gebs auf, kann zwar auf der neuen FP arbeiten, aber gewisse Dateien und Rogramme lassen sich eben mit dem neu aufgesetzten Teil nicht öffnen. Daher ... zurück zum Ursprung, habe eine Backup-Datei vom 18.05. eingespielt, ca. 40% der Dateien laufen jetzt wieder. Allerdings habe ich da noch meine Probleme mit den restlichen 60%. Habe gerade die Kaspersky Rescue Disk mal laufen. Gebe Bescheid wenn der fertig ist, also morgen ...
Gute Nacht an alle ebenso Trostlosen, die reingefallen sind !!

Du musst schon etwas Geduld haben....für die neuen Verschlüsselungsvarianten werden noch Lösungen erarbeitet, siehe Hinweise oben

Es ist schon wieder was gekommen, aber ESET hats gleich rausgeholt:

Vielen Dank für Ihren Auftrag,

Sie haben gerade bei der Datingwebseite www.Partner-Suche.com die Premiummitgliedschaft erworben. Der Betrag in Höhe von 454,79 EUR wird in den kommenden Tagen von Ihrem Konto abgetragen. Die Abrechnung erfolgt durch Zegyment Ltd.


Sie sind jetzt für die kommenden 6 Monate Premiumklient und können in vollen Umfang die Premiumleistungen nutzen.
Entziehen Sie die Vertragsdetails bitte dem Zusatzordner in der E-Mail, dort finden Sie auch die Zahlungsaufforderungen und Premiumdienstvorteile. Falls Sie die Elitemitgliedschaft nicht mehr wollen, mailen Sie die Kündigung, mit der in dem zugefügtem Zip Ordner, beigelegten Stornierungserklärung.

Das Team wünscht dir viel Spaß!

Mit freundlichen Grüßen Jürgen Peters
Serviceteam


Hannover 62304 Deutschland
TEL: +49-885-38586473

Geschäftsleiter: Brigitte Lang
Inhaltlich Verantwortlicher gemäss § 6 MDStV: Elisabeth Winkler
Datenschutzbeauftragter: Karin Vogel
UST-Nr.: DE4588703846
Amtsgericht Keiserslauter


__________ Warnung von ESET NOD32 Antivirus, Signaturdatenbank-Version 7162 (20120523) __________

Warnung! ESET NOD32 Antivirus hat in dieser E-Mail folgende Bedrohungen gefunden:

2012.zip - Win32/Trustezeb.B Trojaner - geloscht
2012.zip = ZIP = 2012.pif - Win32/Trustezeb.B Trojaner - war Teil des geloschten Objekts

hxxp://www.eset.com

Hallo, hatte heute endlich mal auch Zeit dafür:

GMER Logfile:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-05-26 09:10:03
Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2 Hitachi_HDS721050CLA362 rev.JP2OA3EA
Running: i1j0ggen.exe; Driver: C:\Users\KESA\AppData\Local\Temp\kwdiyuow.sys


---- System - GMER 1.0.15 ----

SSDT   90C53B9E                                                          ZwCreateSection
SSDT   \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)  ZwCreateThread [0x921187F0]
SSDT   \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)  ZwLoadDriver [0x921188B0]
SSDT   90C53BA8                                                          ZwRequestWaitReplyPort
SSDT   90C53BA3                                                          ZwSetContextThread
SSDT   90C53BAD                                                          ZwSetSecurityObject
SSDT   \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)  ZwSetSystemInformation [0x92118870]
SSDT   90C53BB2                                                          ZwSystemDebugControl
SSDT   90C53B3F                                                          ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text  ntkrnlpa.exe!ZwRollbackEnlistment + 140D                          82E8B3C9 1 Byte  [06]
.text  ntkrnlpa.exe!KiDispatchInterrupt + 5A2                            82EC4D52 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text  ntkrnlpa.exe!KeRemoveQueueEx + 11F7                               82ECBEAC 4 Bytes  [9E, 3B, C5, 90] {SAHF ; CMP EAX, EBP; NOP }
.text  ntkrnlpa.exe!KeRemoveQueueEx + 1203                               82ECBEB8 4 Bytes  [F0, 87, 11, 92] {LOCK XCHG [ECX], EDX; XCHG EDX, EAX}
.text  ntkrnlpa.exe!KeRemoveQueueEx + 1313                               82ECBFC8 4 Bytes  [B0, 88, 11, 92]
.text  ntkrnlpa.exe!KeRemoveQueueEx + 1553                               82ECC208 4 Bytes  [A8, 3B, C5, 90]
.text  ntkrnlpa.exe!KeRemoveQueueEx + 1597                               82ECC24C 4 Bytes  [A3, 3B, C5, 90]
.text  ...                                                               
?      C:\Users\KESA\AppData\Local\Temp\mbr.sys                          Das System kann die angegebene Datei nicht finden. !
.text  autochk.exe                                                       002811D2 1 Byte  [49]
.text  autochk.exe                                                       002811D2 3 Bytes  [49, 00, 44]
.text  autochk.exe                                                       002811D6 1 Byte  [43]
.text  autochk.exe                                                       002811D6 3 Bytes  [43, 00, 4C]
.text  autochk.exe                                                       002811DA 1 Byte  [41]
.text  ...                                                               

---- EOF - GMER 1.0.15 ----
         

--- --- ---

Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Hab ich ja alles vorher schon gemacht (siehe oben) fehlt was???

ESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=b2f8d737656d654780f316eb5dd86235
# end=finished
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-05-22 06:34:03
# local_time=2012-05-22 08:34:03 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1024 16777215 100 0 46308085 46308085 0 0
# compatibility_mode=1792 16777215 100 0 10937 10937 0 0
# compatibility_mode=5893 16776573 100 94 5750 89337445 0 0
# compatibility_mode=8204 39157117 100 90 2929 6582246 0 0
# scanned=184245
# found=3
# cleaned=3
# scan_time=5389
# nod_component=V3 Build:0x30000000
C:\Program Files\PDFCreator\Toolbar\pdfforge Toolbar_setup.exe Win32/Toolbar.Widgi Anwendung (gelöscht - in Quarantäne kopiert) 00000000000000000000000000000000 C
C:\Users\***\AppData\Local\Temp\pzpnfrngtl.pre Variante von Win32/Injector.RRS Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C
C:\Users\***\Downloads\PDFCreator-1_2_3_setup.exe Win32/Toolbar.Widgi Anwendung (gelöscht - in Quarantäne kopiert) 00000000000000000000000000000000 C

Sorry, wusste nicht wie ich das Ding in so ein "CODE-Tag" packe !!

Code: Alles auswählenAufklappen

ATTFilter

 ESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=b2f8d737656d654780f316eb5dd86235
# end=finished
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-05-22 06:34:03
# local_time=2012-05-22 08:34:03 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1024 16777215 100 0 46308085 46308085 0 0
# compatibility_mode=1792 16777215 100 0 10937 10937 0 0
# compatibility_mode=5893 16776573 100 94 5750 89337445 0 0
# compatibility_mode=8204 39157117 100 90 2929 6582246 0 0
# scanned=184245
# found=3
# cleaned=3
# scan_time=5389
# nod_component=V3 Build:0x30000000
C:\Program Files\PDFCreator\Toolbar\pdfforge Toolbar_setup.exe Win32/Toolbar.Widgi Anwendung (gelöscht - in Quarantäne kopiert) 00000000000000000000000000000000 C
C:\Users\***\AppData\Local\Temp\pzpnfrngtl.pre Variante von Win32/Injector.RRS Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C
C:\Users\***\Downloads\PDFCreator-1_2_3_setup.exe Win32/Toolbar.Widgi Anwendung (gelöscht - in Quarantäne kopiert) 00000000000000000000000000000000 C
         

Ah so funktioniert das, klasse. Also ich habe jetzt alle Tools zum Entschlüsseln versucht, aber es hilft nix, auch das Ändern der Dateiendung hilft rein gar nichts. Meine Dateien schauen zurzeit alle in etwa so aus:

siehe Anhang

Vollscan mit Malwarebytes fehlt immer noch

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.22.02

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 8.0.7601.17514
KESA :: KESASERVER [Administrator]

Schutz: Aktiviert

22.05.2012 17:42:56
mbam-log-2012-05-22 (17-42-56).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 245484
Laufzeit: 18 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{21C0A98F-F001-9FE8-03B4-DECA30038F61} (Trojan.ZbotR.Gen) -> Daten: C:\Users\KESA\AppData\Roaming\Coryu\kikaha.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Immer noch kein Vollscan