Verzweifelte Grüße an alle Helfer!

Ich hatte vor ca. 3 Tagen einen Scareware-Trojaner im Stil eines Bundestrojaners auf meinem PC, sprich nachdem ich mich in meinen Benutzer eingeloggt habe wird der Bildschirm gesperrt und die schöne "gib mir 100€"-Abzocke Nachricht zeigt sich.
Da ich so eine Art von Scareware schon von Freunden kannte, wusste ich schon wohl bescheid und hab mich nach Entfernungsmöglichkeiten erkundigt und auch schnell eine Anleitung bei CHIP gefunden, die da sagte ich solle in den abgesicherten Modus mit DOS und den Befehl rstrui.exe für die Systemwiederherstellung eingeben. Das hab ich dann auch gemacht und auf 2 Tage davor zurückgesetzt, hat auch prima geklappt ich war total happy, weil alles wieder funktioniert hat. Hier der Link für die besagte Anleitung: hxxp://www.chip.de/news/GVU-Trojaner-entfernen-Neuer-Erpresser-im-Netz_54761623.html

Auf der Seite stand natürlich auch, dass man danach noch diverse Sicherungsmaßnahmen einleiten sollte, die ich leider missachtet habe

Nach 2 Tagen, sprich gestern hab ich dann leider etwas feststellen müssen und zwar sind persönliche Dateien von mir in den Verzeichnissen meines Users und auch sämtliche Dateien in meinen Bibliotheken (bis auf 1 aus 100 Dateien als Außnahmen) Umbenannt, bzw. verschlüsselt worden...

Alle nach dem Muster locked-Dateiname.docx.xyza wobei die letzte Endung natürlich willkürlich gewählt ist...

Wie gesagt es sind nur bestimmte Verzeichnisse betroffen, darunter alle dateien die über meinen Benutzer laufen und alle Dateien in meiner Bibliothek.

Ich kann im Moment noch fast alle Programme wie zum Beispiel Spiele öffnen, nur leider funktioniert mein Office nicht mehr, ich habe nämlich eine der locked- Dateien genommen und die Endung nach Erstellung eines Backups einfach gelöscht und versucht sie danach zu öffnen, vergeblich ... jedesmal wenn ich das miti einem Dokument oder einer ppt-Präsentation versuche will mein PC Office neu konfigurieren und findet dann die Setup Dateien nicht ???

Wenn ich das mit dem Umbenennen bei einem Lied mache funktioniert das Lied meistens sogar einwandfrei jedoch nur 50% davon, ich habe es mit ca. 6 mp3 Dateien ausprobiert und 3 davon laufen im Moment wieder

Ich hab natürlich auch Bedenken was das einloggen in diverse Accounts betrifft aber von so einer Scareware kriegt man doch keinen Keylogger untergejubelt oder?

Ich hab natürlich auch schon nach Lösungen für mein neues Problem gesucht und bin auf Malwarebytes Anti-Malware Programm gestoßen und direkt einen Quickscan durchgeführt Logfile ist im Anhang und ja ich weiß das dabei auch 2 Trainer für !!Offline!! Spiele dabei sind

Dummerweise war ich ein wenig übereifrig und hab die im Logfile angezeigten Infizierten Objekte wohl schon gelöscht kurz vor der Nutzung von Malwarebytes' hab ich mir auch OTL geladen, ihn nur leider falsch benutzt wies ausschaut direkt nen Fix gemacht aber viel getan hat sich nicht...

Viel Ahnung von PCs hab ich leider nicht zumindest nicht was Trojaner betrifft für mich auch das erste Mal das ich einen so schädlichen Trojaner auf meinem PC habe, wobei er eigentlich nur nervig ist ich brauche im Moment ein wichtiges Dokument und es wäre gut wenn ich dieses Dokument nach einer entschlüsselung auch wieder mit meinem Office ppt bbearbeiten könnte...

Zur Entschlüsselung: Ich habe bereits im trojaner-board nach Software gesucht und bin auf ScareCrypt gestoßen, sprich Software bei der ein Schlüssel generiert wird, das Problem ist nur es wird nach einem Original und nach der verschlüsselten Datei verlangt, es kann sein das ich irgendwas nicht verstanden hab aber ich hab im Moment leider immer nur exakt eine Datei und das ist die Umbenannte locked-blablabla Datei nix mit Original oder derartiges ...

Ich würde mich sehr über eine schnelle Antwort freuen weil mich der Trojaner echt zum verzweifeln bringt und echt einfach nur nervig ist...

LG Marvin

Zitat:

C:\Users\*\Desktop\Downloads\Call of Duty 4 - Modern Warfare\rzr-cod4.exe (Trojan.Agent.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files\Dragon Age 2\bin_ship\rld-da2k.exe (RiskWare.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Siehe auch => http://www.trojaner-board.de/95393-c...-software.html

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden.

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!


In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials


Allgemeine Hinweise bzgl. des Verschlüsselungstrojaners:
Wann genau deine Daten entschlüsselt werden können wird dir niemand genau sagen können außer vllt einer es kann sein, dass du eine neuere Variante hast, deren Verschlüsselungsalgorithmus noch unbekannt ist. Sowas kann man (noch) nicht entschlüsseln und ohne Schlüssel schon garnicht - ist ja auch logisch, sonst wär es ja keine vernünftige Verschlüsselung
Einfach hier nochmal reinsehen in regelmäßigen Abständen, obige Hinweise beachten. 8 Tools mitsamt hunderten Diskussionsbeiträgen stehen da schon

Eine Notlösung für Vista und Win7-User => http://www.trojaner-board.de/115496-...erstellen.html

Entschlüsselungsversuche der verschlüsselten Dateien sind nur auf zusätzliche Kopien der verschlüsselten Dateien anzuwenden, sonst zerhackt man sich die noch weiter ohne die "original" verschlüsselte Datei mehr zu haben. Das willst du sicher nicht!

Man darf sich aber keine falschen Hoffnungen machen. Mittlerweile sieht es finster aus => Delphi-PRAXiS - Einzelnen Beitrag anzeigen - Verschlüsselungs-Trojaner, Hilfe benötigt

Und in Zukunft willst du sicher mal an ein besseres Backupkonzept denken. Hier ein Denkanstoß => http://www.trojaner-board.de/115678-...r-backups.html