Hallo Zusammen,

ich bin schon einmal auf dieses Forum gestoßen und konnte mir Hilfe erlesen.
Jetzt hab ich allerdings ein Problem und wurde so zum registrierten Benutzer.

Ich hab gerade eben einen Systemproblem bekommen mit einem vermutlichen Trojaner und habe versucht ihn zu beseitigen, so wie es demletzt auch funktioniert hat.
Nachdem "Malwarebytes" abgeschlossen war, hab ich die Dateien gelöscht und danach gesehen, dass sämtliche Dateien ge"locked" sind.

Darauf hab ich mich hier noch einmal umgesehen und nach Tipps gesucht, komme aber nun nicht mehr weiter. Habe gelesen, dass ich die Dateien, nicht hätte löschen sollen und habe jetzt Angst, dass alles verloren ist.

"Malewarebytes" läuft nun gerade im Intensivmodus und ich hoffe, dass ihr mir helfen könnt um die Dateien wieder zu entschlüsseln und den Trojaner komplett zu beseitigen.

Bis hierhin erstmal.

Gruß

Philipp

hi, poste beide Malwarebytes logs.
sind die dateien nach diesem chema benannt.
locked.name.endung.vierer zufalls endung?
dann hilft das hier:
http://www.trojaner-board.de/114548-...e-dateien.html
für die zukunft:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

Hey,

also das ist ja super.
Nachdem ich mich ein wenig belesen habe, hab ich erstmal angefangen mit dem DecryptHelper. Ein Dateienpäärchen war schnell gefunden und mit nur wenigen Ausnahmen konnte ich schon viel Dateien wieder herstellen.
Als ich dann heute Abend deinen Hinweis mit dem scareuncrypt-Programm gelesen habe, habe ich dieses Programm verwendet um den Rest zu entschlüsseln.
Es ist grade in den letzten Zügen und ich bin vollends begeistert.
Wenn die Entschlüsselung abgeschlossen ist, lass ich Malewarebytes nochmal im Intensivmodus laufen und schaue ob noch irgendwo etwas sitzt.


Zum Anfang der Geschichte kann ich aber auch sagen, dass es bei mir keine Mail war, die ich geöffnet habe. Der Rechner ist grad hochgefahren, die Datenverbindung mit dem Internet baute sich auf und schon war alles kaputt. Ich weiß also nicht wo der Trojaner bei mir gesessen hat und wie ich ihn bekommen habe.

Es ist alles bereinigt Super Sache hier. Vielen Dank
Im Anschluss noch die beiden LogDateien.
Die erste ist von dem Moment als ich merkte, dass ich infiziert bin.
Die zweite ist von dem Moment, nachdem der Entschlüsselungsprozess beendet war.

PHP-Code:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.24.01

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Rade :: RADE-PC [Administrator]

Schutz: Deaktiviert

05.06.2012 13:24:52
mbam-log-2012-06-05 (13-24-52).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 205563
Laufzeit: 7 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|DC401644 (Trojan.Agent.RNSGen) -> Daten: C:\Users\Rade\AppData\Roaming\Mkpwm\61A6B012DC4016446B4A.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Rade\AppData\Roaming\Mkpwm\61A6B012DC4016446B4A.exe (Trojan.Agent.RNSGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende) 


PHP-Code:

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.05.04

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Rade :: RADE-PC [Administrator]

06.06.2012 03:26:25
mbam-log-2012-06-06 (03-26-25).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 385284
Laufzeit: 2 Stunde(n), 14 Minute(n), 31 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\Rade\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44\7a0e3f2c-16656ba0 (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Rade\Downloads\DecryptHelper-0.5.3.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende) 


hi,
die dateien lassen sich auch öffnen?

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hey,
ja, alle Dateien lassen sich wieder öffnen und es funktioniert augenscheinlich wieder alles.

Was hat es mit dem Combofix auf sich? Soll ich es trotzdem noch übers System laufen lassen?

Gruß Philipp