Hallo
ich hab mir leider auch diesen verschlüsselungs trojaner eingefangen ):
Angefangen hat es mit einer mail (im spam ordner...) in der stand ich hätte auf irgendeiner seite etwas erworben für 200+ euro. Dieses geld würde in den nächsten tagen von meinem konto abgezogen. Natürlich war ich misstrauisch aber dennoch hab ich die mitegesendete datei runtergeladen. Über die email konnte man den anhang auch nach viren überprüfen lassen was allerdings keine funde ergab. aber scheinbar kann man dem ja wohl leider doch nicht trauen. Die datei war in einem zip Ordner nachdem ich diesen entpackt hatte und die datei anklickte kam eine meldung das diese nicht angezeigt werden kann (als text dokument) und dann verschwand die datei einfach...
Naja... ich hab mir da erstmal nichts bei gedacht und weiter videos geschaut... nur komischerweiße waren die auf einmal alle dauernd am laggen ...
da wusste ich dann das irgendwas nich stimmen kann und hab versucht alles mit der system wiederherstellung rückgängig zu machen.
In der zeit als das lief war ich dann aber nicht am pc.. ich kann also nicht sagen ob diese erfolgreich war oder nicht.
Als ich wieder am pc war, war nur ein fenster geöffnet.
in dem stand das ich mir einen verschlüsselungs trojaner eingefangen habe und für hilfe einen code von ukash oder paysafe im wert von 100€ angebn sollte. ):
leider konnte ich dann nichts anderes machen wenn dieses fenster geöffnet war. und nach jedem neustart erschien es nach kurzer zeit wieder...
Jetzt hatte ich vom pc meiner mutter aus nach hilfe gesucht und hab dieses forum gefunden.
Nur weiß ich nicht so recht was ich nun machen soll einerseits steht hier ja auch man soll vorher nach hilfe schaun bevor man einen thread öffnet. anderseits aber auch das man nich einfach die tipps aus anderen befolgen soll da es ja immer unterschiedlich ist.
deswegen hab ich jetzt einfach mal einen thread dazu eröffnet und hoffe das ihr mir weiter helfen könnt mit tipps oder einem link zu einem anderen thread.

Mfg
Mitsuyashi

hi
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

Danke für die schnelle antwort.

Das mit dem Brenner wäre kein problem ich hab nur zur zeit keine leeren cds zu hause xD

Aber gäbe es eventuell nicht noch eine andere lösung? Ich konnte es nich sein lassen und hab gestern doch mal etwas ausprobiert x:
Ich komm ja mit dem Pc problemlos in den abgesicherten Modus mit internet rein. Und hab dann mit Malwarebytes den pc gescannt.
Die frage ist nun.. geht das oben erwähnte program auch so wenn ich das mit meinen pc runterlade und ausführe oder muss ich das mit dem booten machen? (hab nich wirklich ne ahnung von ob es da nen unterschied gibt sorry xD)

woher soll ich wissen was du gemacht hast wenn du es nicht schreibst, und vor allem nicht die logs postest
sowieso gilt:
wenn du hier hilfe haben willst, wird ab jetzt ausschließlich das gemacht, was ich dir schreibe.

okay chef xD
da du meine frage nicht beantwortet hast geh ich davon aus das mir nichts anderes übrigbleibt.
muss ich wohl morgen cds holen^^
ich meld mich dann

du sollst dich erst mal im abgesicherten mit netzwerk modus anmelden und mir das Malwarebytes log posten
dann sehe ich erst mal was du gemacht hast bisher

Okay
es besteht aber aus zwei logs. ich hatte gestern den scan angefangen und dann nach 1 einhalb std abgebrochen weil es schon so spät war und dann heute noch mal den scann durchlaufen lassen wärend ich arbeiten war^^


das hier ist von gestern abend:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.22.02

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Sabrina :: SABRINA-PC [Administrator]

Schutz: Deaktiviert

22.05.2012 19:24:36
mbam-log-2012-05-22 (19-24-36).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 242340
Laufzeit: 1 Stunde(n), 30 Minute(n), 35 Sekunde(n) [Abgebrochen]

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 5
HKCR\CLSID\{CA4520F3-AE13-4FB1-A513-58E23991C86D} (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\gencrawler_gc.GenCrawler (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CA4520F3-AE13-4FB1-A513-58E23991C86D} (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{CA4520F3-AE13-4FB1-A513-58E23991C86D} (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{CA4520F3-AE13-4FB1-A513-58E23991C86D} (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Sabrina\AppData\Roaming\Media Finder\Extensions\gencrawler_gc.dll (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

und hier der scan von heute:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.22.02

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Sabrina :: SABRINA-PC [Administrator]

Schutz: Deaktiviert

23.05.2012 12:11:05
mbam-log-2012-05-23 (12-11-05).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 387580
Laufzeit: 1 Stunde(n), 27 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|6441FE74 (Trojan.Agent.RNSGen) -> Daten: C:\Users\Sabrina\AppData\Roaming\Wvunhdf\6D4315856441FE74C9BE.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Sabrina\AppData\Roaming\Wvunhdf\6D4315856441FE74C9BE.exe (Trojan.Agent.RNSGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

kommst du wieder in den normalen modus?

jap es geht. abgesehn davon das gleich eine meldung kommt in der steht das autostart programme geblockt werden und ich meine bilder auf dem pc nicht ansehn kann >'' fotogalerie kann das bild aufgrund eines fehlers nicht öffnen. das dateiformat wird nicht unterstützt oder es fehlen die neusten fotogalerie -updates. '' (bild ist aber in jpg)

ok
1. die quelle der infektion:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
makrusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.
2. versuche mal shadow explorer:
http://www.trojaner-board.de/115496-...tml#post831090

okay das versuch ich gleich mal^^

meine emails ruf ich übrigens über Yahoo.de ab.

außerdem ist mir aufgefallen das auf meinem desktop ein text dokument mit dem name ACHTUNG-LESEN steht.
In dem steht:
''Sehr geehrte Damen und Herren,
anscheinend wurde das Update Programm vollständig unterbrochen. Jetzt kann das Virus nur manuell beseitigt werden. Dies brauchen Sie um Ihre Dateien benutzen zu können. Falls Sie also die gesperrten Daten brauchen, senden Sie uns bitte 200 Euro Ukash Code an die Email: security-center@inbox.lt, so bald dieser Code geprüft wurde, erhalten Sie ein Update Programm. Falls Sie Ihre Daten nicht brauchen raten wir Ihnen dringend Ihren Computer zu formatieren um den Virus vollständig zu entfernen. Ukash können Sie an einer beliebigen Tankstelle erwerben und auch in mehreren Internetcafes in Ihrer Nähe.
mfG Ihr Security Team''

desweiteren funktioniert msn auch nicht mehr ):

die txt bitte löschen

okay hab ich gemacht. ehm ich hab jetzt shadow explorer installiert... aber was genau soll ich da jetzt machen ):

das vidio angesehen?

jap hab ich..
sorry sollte vllt nich unbedingt sachen von genau heute auswählen wenn das problem mit dem trojaner schon seid gestern ist.. haha xD
habs jetzt auf den 19 gesetzt und es mit einem foto probiert... und siehe da... ich kann es anschaun!
aber das mit allen daten zu machen dauert sicher lange... aber immerhin gehts xD
danke dafür (:
aber ehm... ist damit dann wieder alles okay mit meinem pc oder muss ich noch was machen?