Hallo,

ich habe, so lange mein "Computerfachmann“ Tage lang versucht hat meinen PC wieder herzustellen, hier viel gelesen. Wahrscheinlich und auch nach Aussage unseres "Fachmannes" habe ich einen ziemlich neuen Trojaner. Er hat ganze Arbeit geleistet. Alle angeschlossenen externe Festplatten hat er auch gleich mit verschlüsselt. Alle Outlookdaten wie Kalende, Adressen, Mails usw. sind komplett weg. Bilder, alle Filme und viele Dokumente sind verschlüsselt. Es existieren nur noch Dateien mit Buchstabensalat. Ich habe an anderer Stelle gelesen man solle eine Originaldatei und eine befallene Datei hier posten. Doch selbst wenn ich die Bilddateien aus dem Windows Beispielordner benutze weiß ich bei dem Buchstabensalat immer noch nicht welches dann die passende befallene Datei ist. Ich bin ziemlich verzweifelt und habe mir daher gleich einen ganz neuen Rechner gekauft. Doch ich habe die wirklich große Hoffnung, dass hier jemand ist, der mir helfen kann die verschlüsselten Dateien wieder zu entschlüsseln, denn ich habe u.a. ca. 2000 Spielfilme und 5ooo Dokumentation auf meinem Rechner, Dazu viele 1000 Fotos usw. Aber am Schlimmsten sind meine Outlookdaten, aber die scheinen komplett weg zu sein
Ich habe jetzt mal nach der Anweisung hier aus dem Forum die zwei Dateien „dds.txt“ und „attach.txt“ erstellt. Ich habe dann auch GMER scannen lassen habe aber da nicht die „Gmer.txt“ Datei bekommen, sondern nur eine „log“ Datei erhalten.
Allerdings kann ich mit meinem alten Rechner auch nicht mehr ins Internet, weil er mir auch Opera verschlüsselt hat. Also kopiere ich immer als mit einem USB-Stick hin und her.
Mal sehen ob es mir gelingt die Dateien als Zip Datei anzuhängen.
Ich hoffe sehr, dass ich soweit erst mal alles richtig gemacht habe.

Mal kurz ein Zwischenwort: Ich habe echt nicht viel Ahnung, aber Ihr habt das hier wirklich alles Idiotensicher erklärt. Vielen Dank dafür

Und auch schon mal vielen Dank für die Arbeit die Ihr hier leistet. Nun habe ich nur noch die große Hoffnung, dass mir hier jemand helfen kann

Hiltrud

Hallo und Herzlich Willkommen!

Zitat:

Zitat von Hiltrud

ich habe, so lange mein "Computerfachmann“ Tage lang versucht hat meinen PC wieder herzustellen,

- weißt Du genau, was er am PC gemacht hat?

► Ich kann Dir beim Entfernen der Malware helfen, aber mit dem Verschlüsselung aufheben wird schwieriger...kann sein, dass wir nur ein Teil vom großen & Ganzen entschlüsseln können, oder eben garnix davon!

Datenentschlüsselung:
Wir sind intensiv mit der Lösung beschäftigt, wird das aber noch einige Zeit in Anspruch nehmen. Bisher leider kein Schema entdecken können, wie die Virenprogrammierern mit den Daten umgegangen sind. Leider mußt du damit rechnen, diese Änderung vlt so gut wie nie rückgängig zu machen können.

Wichtig!:
Nach den ersten vorliegenden Ergebnissen, ich kann dir nur wärmstens empfehlen, alle Funde, die sich in der Quarantine oder sonstwo befinden, NICHT endgültig vernichten bzw löschen lassen! Es liegt nämlich die Vermutung nahe, dass
mit den gefundenen und dann entfernten Schadcode, die Wiederherstellung von Originaldaten wird nicht mehr möglich! Also alle Funde auf jeden Fall in der Quarantäne lassen muss!
Bevor wir beginnen (wenn Du willst) dein System von Malware zu befreien:
es wäre aber vielleicht auch nicht verkehrt, mit einem Backup-Programm die ganze Partitionen sichern bzw. ein Image erstellen (z.B mit Parted Magic) lassen und aufheben ( in den aktuellen Zustand, zumindest solange, bis es eine Lösung gibt)!

gruß
kira

Kallo Kira,

so viel ich weiß hat er verschiedene Suchprogramme durchlaufen lassen um den Virus überhaupt zu finden. Was ihm aber nicht geglückt ist. Er meinte so lange er nicht weiß welcher Virus es ist könnte er auch nicht viel machen. Was er sonst noch so gemacht hat weiß ich nicht.
Leider verstehe ich wirklich sehr wenig von dem Ganzen. Ich weiß auch nicht wo welche Quarantäne ist was da drin ist, wie man damit umgeht usw. Ich habe mir einen ganz neuen PC zugelegt, weil auf dem Alten wirklich ein einziges Chaos besteht. Wenn ich Opera öffnen will geht immer der Internetexplorer auf usw. Nichts geht mehr so wie es soll. Daher habe ich es auch völlig aufgegeben da noch etwas zu machen. Ich hoffe nur wirklich sehr, dass ich die Daten irgendwann einmal entschlüsseln kann, das wäre wirklich sehr wichtig.
Ich weiß also nicht ob es dennoch wichtig oder sinnvoll wäre
das System von Malware zu befreien, oder mit einem Backup-Programm die ganze Partitionen zu sichern bzw. ein Image erstellen. Ganz abgesehen davon, dass ich keine Ahnung habe was das alles bedeutet.
Ich hoffe so sehr, dass Ihr ein Entschlüsselungscode findet.

Lieben Gruß
Hiltrud

Zitat:

Zitat von Hiltrud

Ich weiß also nicht ob es dennoch wichtig oder sinnvoll wäre
das System von Malware zu befreien, oder mit einem Backup-Programm die ganze Partitionen zu sichern bzw. ein Image erstellen.

Überlege genau, was Du tun willst und teile mir mit
1. wenn Du den PC nicht benötigst (da Du ein neue gekauft hast), einfach auf die Seite legen und warten bis ein Lösung gibt...
2. wir versuchen die Malware entfernen, jedoch keine Garantie für den Erfolg, fraglich ob die Entschlüsselung danach gelingt

Hallo Kira,
ich brauche den PC zwar zum Arbeiten erst mal nicht, aber dennoch würde ich ihn gerne wieder herstellen. Daher würde ich mich sehr freuen, wenn Du mir helfen kannst die Malware (was immer das auch ist) zu beseitigen. Mir ist schon auch klar, dass es keine Garantie gibt, aber ein versuch ist es ja wert.
Liebe Grüße
Hiltrud

Ok, dann legen wir mal los:

1.
Am besten alle verschlüsselten Daten extern sichern (auf leere USB-Stick oder ext. Festplatte). Dann mit Entschlüsselung beginnen. Also am Computer sollen die geänderten Daten um Nummer sicher zu gehen zuerst unberührt bleiben
Oft werden bereits verschlüsselte Daten durch die Benutzung des falschen Schlüssels erneut verschlüsselt – eine Wiederherstellung der Daten ist dann fast unmöglich. Wenn alles gut geht, kannst Du dann am PC weiter machen
Wenn alles gut geht, kannst Du dann am PC weiter machen

2.
Vorgehen beim Verschlüsselungs-Trojaner :-> http://www.trojaner-board.de/114783-...ubersicht.html
► SemperVideo hat ein Video zum Thema erstellt.
eventuell noch probieren mit "Wiederherstellen einer Datei mit der Schattenkopie:"
-> *klick*

3.
Systemscan mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop.

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
  
  
  
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

4.
Um festzustellen, ob veraltete oder schädliche Software unter Programme installiert sind, ich würde gerne noch all deine installierten Programme sehen:

• Download den CCleaner herunter
  
• Software-Lizenzvereinbarung lesen, falls irgendeine Toolbar angeboten wird, bitte abwählen!-> starten -> Falls nötig, auf "Deutsch" einstellen.
• starten-> klick auf `Extras` (um auf deinem System installierte Software zu anzeigen)-> dann auf `Als Textdatei speichern...`
• ein Textdatei wird automatisch erstellt, poste auch dieses Logfile (also die Liste alle installierten Programme...eine Textdatei)

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B OTL-Logfile o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
kira

Hallo Kira,

ich verstehe da einiges leider nicht.
1. In dem Video werden gezeigt wie die verschlüsselten Dateien aussehen, aber die sehen bei mir ganz anders aus. Da steht nur noch dein Buchstaben salat und sonst nichts mehr ohne etwas davor und ohne Endung. Daher kann ich auch keine identische unverschlüsselte Datei einer Veschlüsselten Datei zuordnen. Es ist nicht mehr zu erkennen.
2. SOll ich alle Entschlesselungstool der Reihe nach ausprobieren?
3. Wie kann ich denn verschlüsselte Ordner und Programme sichern?
4. Beim Erstellen einer Schattenkopie wird beim DOwnload gesagt, des es um "Vista" geht.Ich habe aber Windows7

Ich habe jetzt erst mal Dokumente, Bilddateien und Videos gesichert. Wie soll ich denn jetzt zuerst vorgehen?

Liebe Grüße
Hiltrud

1.

Zitat:

Zitat von kira

Bevor wir beginnen (wenn Du willst) dein System von Malware zu befreien:
es wäre aber vielleicht auch nicht verkehrt, mit einem Backup-Programm die ganze Partitionen sichern bzw. ein Image erstellen (z.B mit Parted Magic) lassen und aufheben ( in den aktuellen Zustand, zumindest solange, bis es eine Lösung gibt)!

um alle Daten sicherstellen (mitsamt Malware)

2.
nochmal die "salatausehende" Daten auf leere USB-Stick speichern und von dort zuerst versuchen sie zu entschlüsseln. Leider die Chance gering, aber alle Tools muss man ausprobieren
Win7 funktioniert ähnlich wie Vista, ich würde erstmal diese Option ausprobieren:-> -> *klick*

Hallo Kira,

ich habe gestern mal versucht die verschiedenen Tools anzuwenden, bin da leider an die Grenzen meiner Fähigkeit gestoßen. Ich werde erst mal jemanden vor Ort fragen müssen, der mir helfen kann. Schon alleine weil ich kein Englisch kann.
Sobald ich alls gemacht habe wie Du vorgeschlagen hast werde ich mich hier wieder melden. Kann aber einige Tage dauern.
Liebe Grüße
Hiltrud

Hallo Kira,

ich habe es nun doch geschafft mal alles zu machen was Du vorgeschlagen hast. Ich hoffe ich habe es auch richtig gemacht.
Ich habe alle Dateien gezipt und in den Anhang gehängt.

Liebe Grüße
Hiltrud

1.

Zitat:

Achtung wichtig!:
Falls Du selber im Logfile Änderungen vorgenommen hast, musst Du durch die Originalbezeichnung ersetzen und so in Script einfügen! sonst funktioniert nicht!
(Benutzerordner, dein Name oder sonstige Änderungen durch X, Stern oder andere Namen ersetzt)

Fixen mit OTL

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript also - nach dem "Code", alles was in der Codebox steht - (also beginnend mit :OTL und am Ende [emptytemp]), alles was in der Codebox steht (ohne "code"!) :

Code: Alles auswählenAufklappen

ATTFilter

:OTL
IE - HKLM\..\URLSearchHook:  - No CLSID value found
IE - HKLM\..\URLSearchHook: {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\prxtbWin0.dll (Conduit Ltd.)
IE - HKLM\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - No CLSID value found
IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2319825
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 80 73 A2 52 AB 5C CA 01  [binary data]
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Restore = http://search.babylon.com/home
IE - HKCU\..\URLSearchHook:  - No CLSID value found
IE - HKCU\..\URLSearchHook: {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\prxtbWin0.dll (Conduit Ltd.)
IE - HKCU\..\URLSearchHook: {7846ae31-bea2-438a-8f5e-2d899361656c} - No CLSID value found
IE - HKCU\..\URLSearchHook: {7e111a5c-3d11-4f56-9463-5310c3c69025} - No CLSID value found
IE - HKCU\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKCU\..\SearchScopes\{01274783-6B7C-434B-A238-2440F73FB306}: "URL" = http://de.wikipedia.org.anonymize-me.de/?to=64652E77696B6970656469612E6F7267&st={searchTerms}&clid=1c27458a-e81b-4699-99e3-b508154bd433&pid=freewarede&mode=bounce&k=0
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com.anonymize-me.de/?anonymto=687474703A2F2F7777772E62696E672E636F6D2F7365617263683F713D7B7365617263685465726D737D267372633D49452D536561726368426F7826464F524D3D494538535243&st={searchTerms}&clid=1c27458a-e81b-4699-99e3-b508154bd433&pid=freewarede&k=0
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com.anonymize-me.de/?anonymto=687474703A2F2F7365617263682E626162796C6F6E2E636F6D2F7765622F7B7365617263685465726D737D3F6261627372633D62726F77736572736561726368&st={searchTerms}&clid=1c27458a-e81b-4699-99e3-b508154bd433&pid=freewarede&k=0
IE - HKCU\..\SearchScopes\{319ED72F-1FEF-4851-9DCF-2689D4CD6E10}: "URL" = http://www.myvideo.de.anonymize-me.de/?to=6D79766964656F2E6465&st={searchTerms}&clid=1c27458a-e81b-4699-99e3-b508154bd433&pid=freewarede&mode=bounce&k=0
IE - HKCU\..\SearchScopes\{47E88494-A8A1-4E65-9E67-8985DD876C98}: "URL" = http://www.otto.de.anonymize-me.de/?to=6F74746F2E6465&st={searchTerms}&clid=1c27458a-e81b-4699-99e3-b508154bd433&pid=freewarede&mode=bounce&k=0
IE - HKCU\..\SearchScopes\{59285D1A-D1F0-48F5-88C3-1E15A4089C8E}: "URL" = http://www.amazon.de.anonymize-me.de/?to=616D617A6F6E2E6465&st={searchTerms}&clid=1c27458a-e81b-4699-99e3-b508154bd433&pid=freewarede&mode=bounce&k=0
IE - HKCU\..\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}: "URL" = http://search.icq.com.anonymize-me.de/?anonymto=687474703A2F2F7365617263682E6963712E636F6D2F7365617263682F726573756C74732E7068703F713D7B7365617263685465726D737D2663685F69643D6F7364&st={searchTerms}&clid=1c27458a-e81b-4699-99e3-b508154bd433&pid=freewarede&k=0
IE - HKCU\..\SearchScopes\{6BA7E17A-2694-4B95-A7DF-776A1AF00327}: "URL" = http://search.ebay.de.anonymize-me.de/?to=656261792E6465&st={searchTerms}&clid=1c27458a-e81b-4699-99e3-b508154bd433&pid=freewarede&mode=bounce&k=0
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2319825
IE - HKCU\..\SearchScopes\{B8ABAB91-3722-459C-A5CA-C968B012B23A}: "URL" = http://www.pricerunner.de.anonymize-me.de/?to=707269636572756E6E65722E6465&st={searchTerms}&clid=1c27458a-e81b-4699-99e3-b508154bd433&pid=freewarede&mode=bounce&k=0
IE - HKCU\..\SearchScopes\{D807C282-97A2-98BE-16DD-048091DD5B07}: "URL" = http://www.whitesmokestart.com.anonymize-me.de/?anonymto=687474703A2F2F7777772E7768697465736D6F6B6573746172742E636F6D2F732F3F713D7B7365617263685465726D737D2669657372633D7B72656665727265723A736F757263653F7D266366673D322D3132322D302D43577974&st={searchTerms}&clid=1c27458a-e81b-4699-99e3-b508154bd433&pid=freewarede&k=0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngin0.dll (Conduit Ltd.)
O2 - BHO: (Winload Toolbar) - {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\prxtbWin0.dll (Conduit Ltd.)
O2 - BHO: (IMinent WebBooster (BHO)) - {A09AB6EB-31B5-454C-97EC-9B294D92EE2A} - C:\Programme\Iminent\IMBooster4Web\Iminent.WebBooster.dll (Iminent)
O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask.com)
O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found.
O3 - HKLM\..\Toolbar: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngin0.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Winload Toolbar) - {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\prxtbWin0.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask.com)
O3 - HKLM\..\Toolbar: (loadtbs) - {DFEFCDEE-CF1A-4FC8-88AD-129872198372} - C:\Users\Hiltrud\AppData\Roaming\loadtbs\toolbar.dll (InfiniAd GmbH)
O3 - HKCU\..\Toolbar\WebBrowser: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngin0.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (Winload Toolbar) - {40C3CC16-7269-4B32-9531-17F2950FB06F} - C:\Programme\Winload\prxtbWin0.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask.com)
O4 - HKCU..\Run: [playfuser] C:\Users\Hiltrud\AppData\Roaming\playfuser.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{9b095a4c-7200-11df-8e06-005056c00008}\Shell - "" = AutoRun
O33 - MountPoints2\{9b095a4c-7200-11df-8e06-005056c00008}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a
[2012.05.28 15:50:21 | 000,001,100 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2012.05.28 15:29:29 | 000,001,096 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
@Alternate Data Stream - 400 bytes -> C:\Users\Hiltrud\AppData\Local\desktop.ini:3a96398c0f384e4adf5faa1736aeaf96
@Alternate Data Stream - 146 bytes -> C:\ProgramData\TEMP:CB0AACC9
@Alternate Data Stream - 138 bytes -> C:\ProgramData\TEMP:43ABA97D

:Files
C:\Users\Hiltrud\AppData\Roaming\Zqndkf
C:\Program Files\Conduit
C:\Program Files\Winload
C:\Users\Hiltrud\AppData\Roaming\loadtbs

ipconfig /flushdns /c
:Commands
[REBOOT]
         

• und füge es hier ein:
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf .
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Deinen Thread.

2.
Lade Dir Malwarebytes Anti-Malware Lade Dir Malwarebytes Anti-Malware → von hier herunter

• Installieren und per Doppelklick starten.
• Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
• "Komplett Scan durchführen" wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• Alle Funde in der Quarantäne verschieben, also nicht endgültig löschen lassen!
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung/virus-protect.org

3.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked" klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
         

4.
deinstalliere:
Iminent
loadtbs-2.1

5.
kann deinstalliert werden:

Code: Alles auswählenAufklappen

ATTFilter

Norton Security Scan 
LiveUpdate 3.3 (Symantec Corporation)
         

Zwar handelt es sich nicht um eine vollwertige Antiviren-Lösung ("Es treten keine Konflikte mit anderer installierter Sicherheitssoftware auf."), aber Jeder laufende Anwendung belastet das System und kostet Performance bzw kann zu einer erheblichen Systembelastung führen. Außerdem ich halte diese "Zusatzschutz" für den Browser für vollkommen überflüssig

6.
Tipps (unabhängig davon ob man den Internet Explorer benutzt oder nicht!):
-> Standard Suchmaschine des Explorers ändern
-> Tipps zu Internet Explorer
-> Wie kann ich den Cache im Internet Explorer leeren?

7.
erneut einen Scan mit OTL:

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

8.
poste erneut - nach der vorgenommenen Reinigungsaktion:
TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

9.
es handelt sich hier um durch Erpresser-Trojaner verschlüsselte Objekte?:

Zitat:

C:\Users\Hiltrud\Desktop\aejotVvqdvjUQjVlynJOo

Hallo Kira,

vielen Dank schon mal, ich werde das alles versuchen zu machen
Hier schon mal der erste OZL Text

Liebe Grüße Hiltrud

Hallo Kira,

ich hoffe ich habe alles richtig gemacht und schicke anbei die Dateien. Die Tips unter Punkt 6 habe ich nicht verstanden wie ich das machen soll. Und zu Punkt 9. ja es handelt sich um eine verschlüsselte Datei

Liebe Grüße

Hiltrud

Es gibt schlechte Nachrichten die verschlüsselte Daten betreffend. Zwar noch keine genaue Diagnose", aber es sieht danach aus, dass ein Zusammenhang besteht zwischen Malware-Festplatte-verschlüsselte Daten. Das heißt, man sollte doch die Festplatte belassen sowie ist (also auch die Tools die wir verwendet haben und auch alle entfernte Objekte.

oder ein Risiko eingehen (das könnte man jetzt auch versuchen),
die hier vorgeschlagenen Methoden ausprobieren:
-> http://www.pc-ab-50.de/vorgaengerver...erstellen.html
-> Vorgängerversionen von Dateien aus Schattenkopien wiederherstellen - mit deutscher Anleitung für ShadowExplorer
-> Daten wiederherstellen mit ShadowExplorer

Wieviel Erfolg bringt, ob damit auch deine wichtige Daten wiederherstellbar sind oder was..welche genau (sehr alte vermutlich nicht mehr, je nach Einstellung der Speicherplatz, der für die Systemwiederherstellung reserviert ist...das kann man nicht vorher einschätzen

Hallo Kira,

die wichtigen Dateien habe ich ja erst mal alle auf eine externe Festplatte verschoben. Ich hoffe ja immer noch, dass es eines Tages ein Entschlüsselungscode für diese Daten gibt. Das wiederherstellen einer Vorgängerversion habe ich schon ganz am ANfang mal versucht, hat aber auch nichts gebracht, ich habe es dann wieder rückgängig gemacht.

Kann ich denn noch darauf hoffen, das es eines Tages ein Entschlüsselungstool gibt?

Liebe Grüße
Hiltrud