Hallo, mir wurde letztens eine Email geschickt,
der Absender hatte einen seltsamen Namen,
also nicht so etwas wie Beispiel@hotmail.de
sondern einfach irgendwelche Zahlen und Bustaben wie bekgtkrrsadz2334as, darin stand das der Absender das Flirtvewer.de-Team ist und das ich noch immer nicht das Geld für etwas gebuchtes bezahlt habe,
obwohl ich nie dort etwas gebucht habe.
Habe mich ein wenig informiert und es besagt,
das in den Regeln der Seite steht,
das das anmelden kostenlos sei und nur der Nachrichtendienst kostet
und den muss man buchen, ich habe aber nie etwas gebucht und nicht mal meine vollständigen Daten wie Adresse usw. angegeben, ehrlich gesagt war das was dazu doch notwendig war, also die Postleitzahl nicht mal meine richtige ist, habe mich da mit dem Account der auch in der Email erwähnt ist mit dem ich mich kostenlos anmeldete zur Prüfung nochmal angemeldet und siehe da, dort stand das ich den Nachrichtendienst erst buchen muss bevor ich die Nachrichten nachgucken kann,
also können die mir nicht sagen das ich was zahlen muss,
nun war etwas im anhang, eine zip-datei mit einem textdokument drin.
Habe es gedownloadet und erstmal mit dem Antivirusprogramm Pandacloud-antivirus gescannt da ich es mit vielen downloads vor der Benutzung mache und das mir sowieso schon verdächtig vorkam,
ich habe nichts gebucht und der absender hatte diesen komischen Namen -->verdächtig.
Der Scann sagte, dass die Datei kein Virus oder sonst was ist,
ich habe die Textdatei entpackt und doppelklick drauf gemacht,
schwups,
das Symbol war weg, ich hatte schonmal so einen Trojaner ich wusste was los war, ich habe versucht bilder zu öffnen dort stand nun das das bildformat nicht unterstütz wird und das die updates nicht aktuell sein könnten, dabei war es ein normales JPEG-bild welches ich immer öffnen konnte,
habe gleich panda cloud gestartet und vollständigen check/scan gestartet-->kein fund
habe den PC neugestartet und ein Fenster erschien, dort stand als titel so etwas wie "ihr computer wurde mit einem Zahlungstrojaner infiziert" oder so, dann gab es 2 Felder in denen ich 500€- oder 1000€-codes einlösen sollte, den Task manager konnte ich starten aber nicht benutzen, da sofort das Fenster wieder kam, der Hintergrund war schwarz.
Ich habe den PC nochmals neugestartet, aber diesmal im abgesicherten modus mit den wichtigesten Treibern usw., nun war es so, das mein Antivirusprogramm und windows firewall nicht mehr funktionieren konnten, da der PC die daten nicht laden konnte.
Ich startete den PC nochmals neu, dieses mal habe ich die Systemwiederherstellung auf einen früheren Stand einleiten lassen.
Danach konnte ich alles wieder starten, also PandaCloudAntivirus und die Firewall und alle anderen Programme.
Ich glaube das der Trojaner nun weg ist, jedoch kann ich die Bilder und selbst Videos immer noch nicht starten, die meisten werden in der kleinen Vorschau nur noch als Datei angezeigt, manche doch noch in JPEG mit kleiner Bildvorschau, manche sind überhaupt nicht beschädigt und lassen sich normal öffnen und bei den videos sagt der dauernd das der WMP das nicht wiedergeben kann, bei neuen Bildern aus dem Netz klappt es auch normal ohne Probleme.
Ich denke der Trojaner hat fast alle Daten auf dem PC geschrottet, denn auch die namen der Bilder wurden verändert, diese haben nun Namen wie "AEVGssyEuuGUppLyrrdt" und nciht mehr die die sie vorher hatten.
Auch einzelne Sachen wie die Chronik oder add-ons für Firefox wurden gelöscht, das programm an sich geht noch und bestimmte sachen wie lesezeichen wurden ebenfalls "verschont"
Ich möchte gern wissen ob man das alles irgendwie noch retten/reparieren kann oder ob ich nun das noch zu rettende auf eine Festplatte packen soll und alles neu raufmachen soll (Betriebssystem usw.), und ich habe dann noch Bedenken ob der Trojaner wirklich weg ist, er scheint ganz klar weg zu sein, aber ich bin einer der auf nummer sicher geht. Wenn dieser nicht weg ist sind die paar dateien die nicht beschädigt sind vielleicht noch "infiziert" das wäre nciht gut wenn ich die dann doch noch auf eine andere Festplatte oder so packen würde.

Um ehrlich zu sein war es genau dieser Trojaner im Anhang als .zip Datei:

www.recht-alltaeglich.de/2012/05/gefaehrliche-email-von-flirt-fever-trojaner-an-bord/



kopiert bitte diesen Link in die Adresszeile, die Link-Funktion funktioniert irgendwie nicht.

Ich habe bereits einen vollständigen Systemcheck auf Viren und weiteres mit Panda Cloud Antivirus gemacht--> kein Fund, ist mein PC nun sicher?

Und wegen der Daten würd ich mich gerne noch informieren, kann man die retten oder nicht?

Zitat:

ich habe nichts gebucht und der absender hatte diesen komischen Namen -->verdächtig.
Der Scann sagte, dass die Datei kein Virus oder sonst was ist,

Soso, dir kommt es verdächtig vor und weil der Virenscanner nichts meldet ist das natürlich sofort ein Grund alles anzuklicken, Neugier war mal wieder größer als der Verstand? Ist ja auch gänzlich unbekannt, dass Virenscanner nicht alles finden oder wollte man es testen was in der Werbung so versprochen wird?

Zitat:

Und wegen der Daten würd ich mich gerne noch informieren, kann man die retten oder nicht?

Hinweise bzgl. der verschlüsselten Dateien:
Wann genau deine Daten entschlüsselt werden können wird dir niemand genau sagen können außer vllt einer es kann sein, dass du eine neuere Variante hast, deren Verschlüsselungsalgorithmus noch unbekannt ist. Sowas kann man (noch) nicht entschlüsseln und ohne Schlüssel schon garnicht - ist ja auch logisch, sonst wär es ja keine vernünftige Verschlüsselung
Einfach hier nochmal reinsehen in regelmäßigen Abständen, obige Hinweise beachten. 8 Tools mitsamt hunderten Diskussionsbeiträgen stehen da schon

Entschlüsselungsversuche der verschlüsselten Dateien sind nur auf zusätzliche Kopien der verschlüsselten Dateien anzuwenden, sonst zerhackt man sich die noch weiter ohne die "original" verschlüsselte Datei mehr zu haben. Das willst du sicher nicht!

Und in Zukunft willst du sicher mal an ein besseres Backupkonzept denken. Hier ein Denkanstoß => http://www.trojaner-board.de/115678-...r-backups.html

Ich muss ja zugeben das es dämlich war die Datei doch zu öffnen aber es ist nunmal passiert. ^^

Ich lasse die Dateien so wie sie sind, bis vielleicht einer eine Lösung hat, ansonsten nehme ich nur die Kopien zum experimentieren.

Danke für die Hilfe.

Ich denke ich werde meine Festplatte formatieren,
die Dateien kann ich bestimmt nicht mehr wiederherstellen,
ich habe so etwas wie backups oder systemabbildern nie gemacht und kann sie somit sowieso nicht entschlüsseln oder wiederherstellen.

Und wer weiß wie lange es dauert bis es eine gute Lösung gibt das man dieses problem beheben kann.

Ich habe zwar noch viele Sachen auf der externen Festplatte die zum glück davon nicht betroffen, es wird dennoch schwierig alle Dateien im inet wieder zu finden, auch die wichtigeren Daten sind betroffen. Ich mache Windows neu rauf und habe wieder einen gesunden PC und mehr Erfahrung mit Viren.

Ich denke vor dem neuinstallieren werde ich die verschlüsselten Daten nochmal auf Viren prüfen und dann auf meine externe Festplatte Kopieren, falls sich doch noch eine gute Lösung dafür ergibt.

Oder sollte ich doch alles lassen wie es ist und warten bis es vielelicht eine Lösung gibt?

Ich habe nun Defogger und OTL Dateien hochgeladen, habe die Festplatte noch nicht formatiert oder so, ich habe alles noch so gelassen wie es ist.

Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

älterere MalwarebytesAM-logs (die Funde habe ich doch leider ganz gelöscht, auch wenn dort steht das sie in Quarantäne gesteckt wurden, da hab ich mich wohl noch zu wenig informiert ich hoffe das ist nicht so schlimm):

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.03.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Andy :: ANDY-PC [Administrator]

Schutz: Aktiviert

03.06.2012 16:42:35
mbam-log-2012-06-03 (16-42-35).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 351266
Laufzeit: 41 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB} (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\FunWebProducts (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 8
C:\Program Files (x86)\FunWebProducts (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\FunWebProducts\Installr (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\FunWebProducts\Installr\1.bin (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\FunWebProducts\Installr\2.bin (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\FunWebProducts\Installr\3.bin (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\FunWebProducts\Installr\4.bin (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\FunWebProducts\Installr\5.bin (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\RelevantKnowledge (PUP.Spyware.MarketScore) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 7
C:\Program Files (x86)\FunWebProducts\Installr\1.bin\F3EZSETP.DLL (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\FunWebProducts\Installr\1.bin\F3PLUGIN.DLL (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\FunWebProducts\Installr\1.bin\NPFUNWEB.DLL (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\System32\H@tKeysH@@k.DLL (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\SysWOW64\H@tKeysH@@k.DLL (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\RelevantKnowledge\MSVCP71.DLL (PUP.Spyware.MarketScore) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\RelevantKnowledge\MSVCR71.DLL (PUP.Spyware.MarketScore) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.03.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Andy :: ANDY-PC [Administrator]

Schutz: Aktiviert

03.06.2012 17:51:46
mbam-log-2012-06-03 (17-51-46).txt

Art des Suchlaufs: Benutzerdefinierter Suchlauf
Aktivierte Suchlaufeinstellungen: Dateisystem | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Heuristiks/Extra | P2P
Durchsuchte Objekte: 1
Laufzeit: 6 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.03.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Andy :: ANDY-PC [Administrator]

Schutz: Aktiviert

07.06.2012 16:39:32
mbam-log-2012-06-07 (16-39-32).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 351791
Laufzeit: 1 Stunde(n), 16 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|wmpnetk (Trojan.Agent) -> Daten: C:\Users\Andy\AppData\Local\Temp\wmpnet32.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Andy\AppData\Local\Temp\svchost.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.03.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Andy :: ANDY-PC [Administrator]

Schutz: Aktiviert

07.06.2012 18:13:32
mbam-log-2012-06-07 (18-13-32).txt

Art des Suchlaufs: Benutzerdefinierter Suchlauf
Aktivierte Suchlaufeinstellungen: Dateisystem | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Heuristiks/Extra | P2P
Durchsuchte Objekte: 1
Laufzeit: 6 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
         

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.03.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Andy :: ANDY-PC [Administrator]

Schutz: Aktiviert

07.06.2012 18:34:46
mbam-log-2012-06-07 (18-34-46).txt

Art des Suchlaufs: Benutzerdefinierter Suchlauf
Aktivierte Suchlaufeinstellungen: Dateisystem | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Heuristiks/Extra | P2P
Durchsuchte Objekte: 1
Laufzeit: 5 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
         

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.03.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Andy :: ANDY-PC [Administrator]

Schutz: Aktiviert

09.06.2012 22:58:34
mbam-log-2012-06-09 (22-58-34).txt

Art des Suchlaufs: Benutzerdefinierter Suchlauf
Aktivierte Suchlaufeinstellungen: Dateisystem | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Heuristiks/Extra | P2P
Durchsuchte Objekte: 1
Laufzeit: 14 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
         

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.03.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Andy :: ANDY-PC [Administrator]

Schutz: Aktiviert

10.06.2012 01:25:54
mbam-log-2012-06-10 (01-25-54).txt

Art des Suchlaufs: Benutzerdefinierter Suchlauf
Aktivierte Suchlaufeinstellungen: Dateisystem | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Heuristiks/Extra | P2P
Durchsuchte Objekte: 66
Laufzeit: 7 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Diesen Durchlauf habe ich gestern machen lassen, dabei habe ich meine externe 1 TB Festplatte mit durchsuchen lassen die bei dem Trojaner aber nicht angeschlossen war (zum Glück):

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.16.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Andy :: ANDY-PC [Administrator]

Schutz: Aktiviert

19.06.2012 13:14:09
mbam-log-2012-06-19 (13-14-09).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 373263
Laufzeit: 1 Stunde(n), 4 Minute(n), 44 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Ich habe nur eine Datei in Quarantäne:
Trojan.Agent
Datum: 7.6.12
Uhrzeit: 14:39
Kategorie: Registry Value
Objekt:HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|wmpnetk



ESET Scan kommt noch hinterher diesmal stecke ich alles in die Quarantäne und lösche es nicht.

Hier ist nun der Inhalt der Log datei von ESET Online Scanner (heutiger durchlauf)

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=1523ed854dbcc4489ccb7db2ce9a3755
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-06-20 02:22:55
# local_time=2012-06-20 04:22:55 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 1452911 1452911 0 0
# compatibility_mode=5893 16776574 100 94 1108687 91824807 0 0
# compatibility_mode=8192 67108863 100 0 90707 90707 0 0
# scanned=153509
# found=0
# cleaned=0
         

Hallo? Ich warte schon ein paar Wochen, hätte gerne ne Antwort
(ich wollte nciht unhöflich oder so erscheinen, sorry wenn das der Fall war)

Du darfst auch ruhig nach drei Tagen mal erinnern, wozu haben wir das denn hier => http://www.trojaner-board.de/72623-e...tml#post887568



Was ist jetzt noch offen?
Hast du noch Schädlingsprobleme?
Hinweise zu den beschädigten Dateien gibt es ja genug

Achso das wusste ich nicht, hab mich neu hier angemeldet und kenn mich hier nich so aus ^^ hehe

also nur meine Dateien sind verschlüsselt, den Virus hab ich beseitigen können. Außerdem habe ihc zur Scherheit Windows neu raufgemacht. habe jetzt nicht mehr die Version von vorher jetzt leider nur home premium 32 bit.

die verschlüsselten Dateien sind noch auf einer externen Festplatte gespeichert, welche ich nochmal gründlich gescannt habe.

auf D:/ sind die Dateien noch gespeichert und es wurde nichts da dran verändert, ich werde mit Kopien nohcmal mit den empfohlenen Programmen experimentieren.

Danke für die Hilfeleistung und so ^^

Das Formatieren war u.U. ein Riesenfehler!

Da du Win7 hast, hättest du wohl deine Daten über den ShadowExplorer ganz oder zum größten Teil wiederbekommen können. Die Schattenkopien sind aber dank der Formatierung nun weg

Eine Entschlüsselung ist unwahrscheinlich bis unmöglich!

Zitat:

3. Bei Dateien wie locked-<DATEINAME>.<ENDUNG>.wxyz entschlüsseln:Übersicht der 8 Entschlüsselungs-Tools
ansonsten Daten retten / Daten wiederherstellen: Daten retten nach Verschlüsselungstrojaner

Wenn das keine einfache Verschlüsselung mit "locked-" im Dateinamen ist, sollte man sich um Datenrettung und nicht um Entschlüsselung kümmern!
Wenn Vista oder Win7 im Einsatz sind, den ShadowExplorer testen! Aber keine unnötige Zeit mit Entschlüsselungsversuchen verschwenden

Und in Zukunft willst du sicher mal an ein besseres Backupkonzept denken. Hier ein Denkanstoß => http://www.trojaner-board.de/115678-...r-backups.html

Hab den Shadow explorer schon längst ausprobiert,

auch wo ich noch nicht formatiert habe,

aber mein win7 hatte keine schattenkopien gemacht,

eig. gar ncihts an sicherheitskopien,

um den virus überhaupt erstmal unschädlich machen zu können hatte ich den pc sowieso schon auf den frühesten stand gebracht,

und da war der Virus schon so gut wie weg
(wegen den Virus hab danach natürlich noch einige Schritte durchgezogen die hier empfohlen werden, damit man 100%ig sicher gehen kann)

an den dateien selber war allerdings immer noch alles kaputt, auch JPEGsnoop hatte ncihts gebracht.

JPEGsnoop:
"File did not start with JPEG marker. Consider using [Tools->Img Search Fwd] to locate embedded JPEG."
---Als ich das Tool startete kam die Meldung:
"No SOI Marker found in forward search"

da hatte ich keine Ahnung von und sowieso die Hoffnung aufgegeben, das war eben ein schwacher Moment und dann habe ich formatiert.


Und das mit dem backup konzept habe ich auch schon oft genug gelesen, werde ich auch Zeit mit verbringen.

Danke trotzdem ^^

Zitat:

Zitat von Schenoyabe

JPEGsnoop:
"File did not start with JPEG marker. Consider using [Tools->Img Search Fwd] to locate embedded JPEG."
---Als ich das Tool startete kam die Meldung:
"No SOI Marker found in forward search"

Hallo Schenoyabe,
ich hoffe Du hast nach der Anleitung die Option Batch-Recover genommen.
In dem von Dir ausgewählten Verzeichnis sollte dann ein Ordner JPEGsnoop-recovered existieren, in dem alle wiederherstellbaren Dateien zu finden sind.
Falls das nicht der Fall ist, gehen die gescannten Bilder wohl direkt in den ersten paar Bytes los und Vorschauen sind da auch keine enthalten.
Da kann dir dieses Tool wohl nicht weiterhelfen.
Die Ausgabeinfos von JPEGsnoop, wie Du sie beschreibst, kannst Du getrost ignorieren, die stammen noch aus der ursprünglichen Version, die nicht für Batch-Wiederherstellung ausgelegt ist.

Alternativ kannst Du ja auch mal JPEG-Recovery ausprobieren.

Gruß Volker

Vielen Dank für die Info, ich schaue mal ob sich etwas mit dem recoveryProgramm machen lässt.

^^