hallo Leute

Bekannte von mir hat am 12.06.2012 angeblich unbekannte Rechnung erhalten von eine Firma und auf Anhang Gengang und der Trojaner aktiviert und so mit ganze Rechner infiziert und geblockt bis er diese Ukash Nummer eingeben soll dann wird frei geschaltet.

ich habe der PC formatiert und neu System draufgemacht alles ging auch gut und schon und die Dokumente und die Bilder auf Laufwerk C:\ alles gesichert vorher und funktionieren auch jetzt.

was mich Aber wundert die Bilder auf die Externe Laufwerk sind alles unbrauchbar und mit Langen unbekannte Dateiendung wie hier (fAGoUyluTrevaNsvqrNte) und manche Bilder sind noch alles JPG aber kann trotzdem nicht Öffnen.

ich habe Alle 8 Tools die hier im Board Getestet geht garnicht, dann habe ich mit JPGRecover Demo Version probiert hat auch nicht richtig geschafft und damit meine ich von 20 solche Dateien 1 oder 2 sichtbar gemacht aber dann auch im Große 96x96 nur.


Sehr wichtig geht um 1000 Familien Bilder Geburt, taufen, Menschen Die Nicht Mehr Am Leben sind und Hochzeiten


gibst eine andere Lösung oder muss ich noch warten bis eine neue Tool rauskommt?
oder mache ich was falsch das keins diese 8 Tools bei mir gehen?

LG

Mein Name ist Marius und ich werde dir bei deinem Problem helfen.

Eines vorneweg:

Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellste und immer der sicherste Weg.

Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass dein Rechner clean ist.

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.

1. Bitte arbeite alle Schritte der Reihe nach ab.
2. Lese die Anleitungen sorgfältig. Solltest du irgendwo nicht weiterkommen, stoppe an diesem Punkt und beschreibe dein Problem hier!
3. Nur Scans durchführen, zu denen du von einem Helfer aufgefordert wirst.
4. Bitte kein Crossposting (posten in mehreren Foren) - wenn du die Anweisungen mehrere Helfer ausführst, kann das schwere Probleme nach sich ziehen!.
5. Installiere oder Deinstalliere während der Bereinigung keine Software (ausser, du wurdest dazu aufgefordert).
6. Wenn etwas unklar ist: Frage, bevor du etwas "blind" machst!
   
   ...und ganz wichtig:
   
   
7. Poste die Logfiles mit code-tags (das #-Symbol oben im Antwortfenster) in deinen Thread! Nicht anhängen, außer, ich fordere dich dazu auf. (Erschwert mir nämlich das Auswerten).

Vista und Win7 User
Alle Tools mit Rechtsklick --> "als Administrator ausführen" starten.


Hallo Matay,

leider gibt es für diese Form der Verschlüsselung derzeit keine Lösung sondern nur noch Workarounds zur Wiederherstellung. Die Gründe dafür sowie die Anleitung zur notfallmäßigen Wiederherstellung findest du hier.


Wir sollten den Rechner aber auf Schadsoftware prüfen, um eine Weiterverbreitung zu verhindern!


Schritt 1: defogger



Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

• Starte das Tool mit Doppelklick.
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
• Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
• Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.

Sollte Defogger eine Fehlermeldung ausgeben, poste bitte die defogger_disable Log von deinem Desktop.
Klicke den Re-enable Button nicht ohne Anweisung.



Schritt 2: OTL



Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)

• Doppelklick auf die OTL.exe
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Schritt 3: Scan mit TDSS-Killer



Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen. Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe
• Klicke Change parameters, wähle Detect TDLFS file system, klicke OK.
• Drücke Start Scan
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile. TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern ( Meistens C:\ ) Als Beispiel: C:\TDSSKiller.<version_date_time>log.txt

Poste den Inhalt bitte hier in deinen Thread.

@Psychotic

Erstmal Danke für deine Info und das hört sich schonmal beruhigend an das Du mir Hilfst.


Aber wie ich im mein Beitrag beschrieben habe der PC ist bereits formatiert
und Windows 7 ist Installiert, früher war Windows XP Drauf, die Bilder die betroffen sind von Trojaner Sind auf die Externe festplatte und ich bin mir sicher die Externe festplatte Von Bekannte Angeschlossen war in die zeit der Infektion, und von daher geht um die Externe festplatte.


soll ich Trotzdem die Schritte vorgehen die du Erwähnt hast?
oder ab welche Punkt muss ich?


ich werde Dir auf wunsch Paar JPG Bilder die nicht Aufgehen und die mit Unbekannte
Dateiendung Senden wenn Nötig ist.

LG

Alles klar, dann machen wir was anderes.

Schließe alle externen Medien an den Rechner an und schalte sie ggf. ein!


Schritt 1: MBAM vollständig


Downloade Dir bitte Malwarebytes

• Installiere das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere Vollständigen Scan durchführen und drücke auf Scannen. (Hinweis: Alle Festplatten anhaken!)
• Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 2: ESET



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo

G:\ (ist Die Externe Festplatte Die Bilder Drauf Sind)



Hier der Log Datei:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.27.13

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
admin :: ADMIN-PC [Administrator]

Schutz: Aktiviert

28.06.2012 01:24:42
mbam-log-2012-06-28 (01-24-42).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 409447
Laufzeit: 42 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\admin\Desktop\Trojaner Lösung\DecryptHelper-0.5.3.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
G:\Pocket PC Programme\Pocket Pc - Games - 43 games [By ICE]\Pocket Pc - Game - 3D Mini-Transcanada\CORE10k.EXE (Dont.Steal.Our.Software) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Hi
Und Hier Der ESET txt

Zitat:

G:\Pocket PC Programme\Pocket Pc - Games - 43 games [By ICE]\Pocket Pc - Game - 3D Mini-Transcanada\CORE10k.EXE

Ist das zufällig ein crack?

Hi

nicht das ich wüsste
aber das ist auf seine Festplatte gewesen und habe gelöscht.

und habe ihm gerade gefragt er Meinte auch wenn Crack ist warum jetzt erst er hat das seit
Paar Jahren Drauf gehabt.

so hat er mir erklärt wie das alles passiert mit Trojaner:

E Mail erhalten von angeblich Photo Toon oder so

das er ein offene Betrag zu begleichen muss weil er angeblich Fotoapparat da gekauft hat und muss noch Ca. 500€ Zahlen muss, um zu überzeugen war ein Anhang im diese E Mail und war neugierig um zu wissen ob das stimmt, Drauf geklickt und das warst, Ganze PC blockiert mit so Software
das er über Ukash Bezahlen muss dann wird alles frei geschaltet.

Dann sind wir durch - die entdeckten Schädlinge im Java-Cache werden wir gleich entfernen!


Temp File Cleaner ausführen



Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe
Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.



Hier noch ein paar Tipps zur Absicherung deines Systems.

Aktualität

Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

• Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
• Windows Updates
  • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
  • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
• Gehe sicher das die automatischen Updates aktiviert sind.
• Software Updates
  Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
  Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Antviren-Software

• Gehe sicher immer eine Antiviren-Software installiert zu haben und dass diese auch up to date ist. Auch der beste Virenscanner ist sinnlos, wenn er nicht aktuell ist!
  Eine Auswahl kostenloser Antivirenprogramme:

• AVG Free Anti-Virus
• Avast! Free Anti-Virus
• Microsoft Security Essentials
  Hinweis:MSE wird auch durch Windows Updates angeboten, falls kein Virenscanner am System erkannt wird

Zusätzlicher Schutz

• MalwareBytes Anti Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
  Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.

Sicheres Browsen

• SpywareBlaster
  Eine kurze Einführung findest du Hier
• MVPs hosts file
  Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
• WOT (Web of trust)
  Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Alternative Browser
Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

• Opera
• Mozilla Firefox.
  • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
  • NoScript
    Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
  • AdblockPlus
    Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner, um diesen zu AdBlockPlus hinzuzufügen, reicht und dieser wird nicht mehr geladen.
    Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )

Don'ts

• Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
• verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Sei mißtrauisch in sozialen Netzwerken (z.B. MeinVZ, Facebook, etc) - auch, wenn Nachrichten/Einträge scheinbar von einem deiner Freunde stammen, bedeutet das noch lange nicht, dass sie unschädlich sind (Malware kann seinen Rechner verseucht haben).
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann.

Hi

ich habe TFC ausgeführt und neustart gemacht wie er von mir verlangt hat
Windows Update ist Immer Aktive AntiVirus Ist immer Aktive und Up2Date

Jetzt habe ich letzte 3 Fragen?

1- Kann man eine AntiVirus Software zusamen mit MalwareBytes
Anti Malware Installieren ohne Konflikte?

2- Und die JPG Bilder und die Bilder mit Unbekannte Dateiendung die
betroffen sind warte ich bis eine Lösung dafür gibt?

3- wird überhaupt eine Lösung im zukunft geben?

Und Danke schön für deine mühe.

Zitat:

1- Kann man eine AntiVirus Software zusamen mit MalwareBytes
Anti Malware Installieren ohne Konflikte?

Ja, da MBAM keinen eigenen Hintergrundscanner mitbringt, der mit Antivirensoftware kollidieren könnte.

Zitat:

2- Und die JPG Bilder und die Bilder mit Unbekannte Dateiendung die
betroffen sind warte ich bis eine Lösung dafür gibt?

3- wird überhaupt eine Lösung im zukunft geben?

Das Problem ist, dass der Schlüssel für deine Dateien individuell für deinen rechner generiert und sofort an den Server der Kriminellen übertragen wurde. Eine Chance besteht also nur, wenn dieser Server irgendwann (vielleicht) einmal durch die Polizei beschlagnahmt wird!

Danke Schön für Alles.

Ich werde demnächst erstmal warten und zwischendurch
schaue ich mir im Internet und hoffe das ich auf ein Seite
komme die Vielleicht Ne Lösung für mein Problem haben.


LG

Schön, dass wir helfen konnten!


Dieses Thema scheint erledigt und wurde aus meinen Abos gelöscht.
Solltest du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen!