Alle Dateien versteckt nach Befall mit S.M.A.R.T Verschlüsselungstrojaner

lzm31415

Hi allerseits!

Ich bin neu hier im Forum und hoffe, dass mir jemand mit meinem Trojaner-Problem helfen kann. Genauer gesagt ist es das Problem meines Freundes, der sich auf seinem PC den S.M.A.R.T-Trojaner eingefangen hat.

Nachdem ich hier bereits zum Thema fündig geworden bin, habe ich bereits folgende Punkte nach Anleitung durchgeführt:

1. Ich habe auf einem nicht infizierten Rechner die Malwarebytes Anti-Malware-Software heruntergeladen und auf einen USB-Stick kopiert.
2. Da der Trojaner auf dem infizierten Rechner bereits haufenweise Fenster mit vermeintlichen Systemfehler geöffnet und den Rechner völlkommen ausgebremst hatte, habe ich ihn im abgesicherten Modus hochgefahren.
3. Danach habe ich die Anti-Malware-Software auf dem infizierten Rechner installiert und mittels ebenfalls aktuell heruntergeladenem "mbam-rules.exe" aktualisiert (eine Netzwerkverbindung ließ sich im abgesicherten Modus leider nicht herstellen).
4. Der anschließend durchgeführte Quick-Scan ergab insgesamt 11 Funde, die ich von der Anti-Malware-Software entfernen ließ. Das Scan-Protokoll habe ich auf dem USB-Stick gespeichert (siehe unten).
5. Entsprechend der Aufforderung der Anti-Malware-Software habe ich einen Systemneustart durchgeführt. Der Rechner zeigte nun keine Anzeichen einer Infizierung mehr; allerdings blieben sämtliche Dateien auf allen Laufwerken nach wie vor unsichtbar.
6. Weiterhin habe ich noch versucht, den Rechner mittels (der nun wieder zugänglichen) Windows-Systemwiederherstellung auf einen früheren Zeitpunkt zurückzuversetzen. Leider schlugen die entsprechenden Bemühungen aber fehl.

Ich hoffe nun sehr, dass mir einer der Experten hier im Forum die weiteren Schritte beschreiben kann, die nötig sind, um den Rechner wieder in seinen Ausgangszustand zurückzuversetzen. Bereits an dieser Stelle herzlichen Dank für Eure Hilfe!

Und hier ist der Inhalt des Scan-Protokolls:

-----%<-----%<-----%<-----%<-----%<-----%<-----

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.28.04

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.6001.18702
Frank ********** :: FRANK-29F472617 [Administrator]

02.06.2012 23:00:19
mbam-log-2012-06-02 (23-00-19).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 215611
Laufzeit: 5 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|INydJiXHWbi.exe (Trojan.Fasagent) -> Daten: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\INydJiXHWbi.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

----->%----->%----->%----->%----->%----->%-----

-Karsten

Hi!

Gute Nachrichten: Der Trojaner scheint keine Dateiverschlüsselungen durchgeführt zu haben, sondern hat lediglich alle Dateien und Ordner als "versteckt" gekennzeichnet. Dies ließ sich über den Windows-Explorer (glücklicherweise sogar interaktiv für alle Unterordner) problemlos beheben. Lediglich die WindowsXP-Schnellstartleiste wurde offenbar gelöscht und bleibt weiterhin leer, was aber nicht weiter tragisch ist.

Ich werde jetzt mit der Malwarebytes-Software nochmals einen vollständigen Scan laufen lassen und ggf. auch HijackThis zu rate ziehen. Falls ich doch noch auf irgendwelche Dateiverschlüsselungen stoßen sollte, melde ich mich wieder.

Hi nochmals!

Hier ein weiteres Update: Es waren nicht nur die Links in der Schnellstart-Leiste, die gelöscht worden waren, sondern sämtliche Einträge des Startmenüs (nicht die Ordner, nur die Links). Ein nochmaliger Versuch, eine Systemwiederherstellung durchzuführen, war dann glücklicherweise erfolgreich und hat die gelöschten Einträge zurückgeholt. Unmittelbar im Anschluss daran habe ich nochmals einen Scan im abgesicherten Modus laufen lassen, wodurch nochmals eine einzelne Infektion zu Tage befördert und behoben werden konnte. Auch HijackThis fand noch eine schädliche Software, die in Quarantäne genommen wurde.

Alles in allem bin ich mir inzwischen recht sicher, die Wurzeln des Übels ausgehebelt zu haben. Sollte ich dennoch Eure Hilfe benötigen, melde ich mich wieder.