Hallo zusammen,

ich habe hier den Laptop meiner Freundin, deren Dateien von einem Verschlüsselungstrojaner umbenannt wurden, wie er hier im Diskussionsforum besprochen wurde.
http://www.trojaner-board.de/115183-...te-umlauf.html
(wieso nimmt der Post keinen Link an?)

Die Umbenennung der Dateien erfolgt nach dem Muster >
C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\TxoXdJptaEoQUvpsnED

Malwarebytes hängt sich leider während des Scans auf, daher habe ich einen Scan mit Avira Antivir durchgeführt, den ich aus Zeitgründen nach 20 min abbrechen mußte.
Dieses fand TR / Dropper Gen 2
Späterer Suchlauf fand nichts weiter.

Ich habe nach Anleitung OTL.txt und GMER.log erstellt.
Extras.txt wollte das Programm leider kein zweites Mal erstellen. (1. Datei versehentlich gelöscht) > befinden sich im Anhang.

Ich konnte evtl. im Hintergrund laufende Prozesse nicht abbrechen, weil Zugriff auf 'Ausführen' und Taskmanager blockiert sind.

Wie soll ich weiter vorgehen?
Vielen Dank für Eure Hilfe.

hatiora

Nachtrag:

Ich bekomme gerade eine neue Warnung von Avira > TR/Crypt.XPACK.Gen2 gefunden
Auszug aus dem Bericht

30.06.2012,11:58:00 Update-Auftrag gestartet!
30.06.2012,11:58:18 Aktuelle Engine Version: 8.2.10.102
30.06.2012,11:58:18 Aktuelle Version der VDF-Datei: 7.11.34.160
30.06.2012,12:21:52 [WARNUNG] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen2!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\KSS2\DataRoot\Data\Updater\Temporary Files\temporaryFolder\bases\sco\i386\win\sys_critical_obj.dll
[USER] NT-AUTORITÄT\SYSTEM
[INFO] Der Zugriff auf die Datei wurde verweigert!

Es ist der Kasperky Online Scanner installiert.

Habe zusätzlich den Avira Rootkit Scan durchgeführt, für den Fall, das er auch von Interesse sein kann. Ist zu groß für den Anhang. Wenn er benötigt wird, hänge ich ihn als zip-Datei an.

Danke für Eure Geduld. Ist das erste Mal, daß ich in einem solchen Forum poste...

hatiora

Zitat:

Malwarebytes hängt sich leider während des Scans auf

Auch im abgesicherten Modus?
Verschiedene Scan Modi (Quick, Voll, Flash) ausprobiert?

Die ersten Startversuche nach Infektion erfolgten im Abgesicherten Modus.
Unmittelbarer Bluescreen mit Meldung < Windows wird aus Sicherheitsgründen heruntergefahren.

Alles durchprobiert bei Malwarebytes. flash scan steht nicht zur Verfügung, weil ich eurer Empfehlung gefolgt bin > keine Vollversion.

Hier ein knapp vor Errreichen des kritischen Punktes 'Durchsuchen weiterer Objekte auf System' abgebrochener Scan

Zitat:

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.30.05

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 6.0.2900.2180
Administrator :: TOMATE [Administrator]

02.07.2012 10:09:44
mbam-log-2012-07-02 (10-14-53)Bulletproof.txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 191951
Laufzeit: 2 Minute(n), 19 Sekunde(n) [Abgebrochen]

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 6
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (Adware.180Solutions) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{EFB22865-F3BC-4309-ADFA-C8E078A7F762} (Trojan.Dialer) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BPS Spyware-Adware Remover_is1 (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 12
C:\Programme\BulletProofSoft.com (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\Help (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\HS (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\HS\Help (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\HS\Language (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\Ini (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\Lang (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Help (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Lang (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Sounds (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.

Infizierte Dateien: 99
C:\Programme\BulletProofSoft.com\SpywareRemover\errorlog.txt (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\LiveUpdate.cli (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\LiveUpdate.exe (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\LSPFix.exe (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\Remove.reg (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\ScanLog13-03-06-97980.txt (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\Setting.ini (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\Spyware.exe (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\SpyWatch.exe (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\unins000.dat (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\unins000.exe (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\Help\help.chm (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\Help\LSPHelp.htm (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\HS\HiJack.exe (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\HS\Help\English.chm (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\HS\Language\Arabic.bmp (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\HS\Language\Arabic.ini (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\HS\Language\English.bmp (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\HS\Language\English.ini (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\Ini\update.ref (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\Lang\arabic.bmp (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\Lang\arabic.ini (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\Lang\Chinese.bmp (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\Lang\Chinese.ini (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\Lang\Dutch.bmp (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\Lang\Dutch.ini (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\Lang\English.bmp (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\Lang\English.ini (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\Lang\Francais.bmp (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\Lang\Francais.ini (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\Lang\German.bmp (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\Lang\German.ini (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\Lang\Italiano.bmp (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\Lang\Italiano.ini (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\Lang\Japanese.bmp (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\Lang\Japanese.ini (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\Lang\Korean.bmp (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\Lang\Korean.ini (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\Lang\portugues.bmp (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\Lang\portugues.ini (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\Lang\Slovenian.bmp (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\Lang\Slovenian.ini (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\Lang\Spanish.bmp (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\Lang\Spanish.ini (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\Lang\Swedish.bmp (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\Lang\Swedish.ini (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\Lang\Turkish.bmp (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\Lang\Turkish.ini (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\PopUpWatch.exe (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Help\pwhelp.chm (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Lang\arabic.bmp (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Lang\arabic.ini (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Lang\Dutch.bmp (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Lang\Dutch.ini (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Lang\English.bmp (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Lang\English.ini (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Lang\Français.bmp (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Lang\Français.ini (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Lang\German.bmp (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Lang\German.ini (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Lang\Italiano.bmp (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Lang\Italiano.ini (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Lang\Italiano1.bmp (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Lang\Italiano1.ini (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Lang\português.bmp (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Lang\português.ini (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Lang\Slovenian.bmp (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Lang\Slovenian.ini (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Lang\Spanish.bmp (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Lang\Spanish.ini (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Lang\Swedish.bmp (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Lang\Swedish.ini (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Lang\Turkish.bmp (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Lang\Turkish.ini (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Sounds\Sound1.wav (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Sounds\Sound10.WAV (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Sounds\Sound11.WAV (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Sounds\Sound12.WAV (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Sounds\Sound13.WAV (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Sounds\Sound14.WAV (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Sounds\Sound15.WAV (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Sounds\Sound16.wav (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Sounds\Sound17.wav (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Sounds\Sound18.wav (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Sounds\Sound19.WAV (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Sounds\Sound2.wav (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Sounds\Sound20.WAV (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Sounds\Sound21.WAV (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Sounds\Sound22.wav (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Sounds\Sound23.WAV (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Sounds\Sound24.wav (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Sounds\Sound25.WAV (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Sounds\Sound26.wav (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Sounds\Sound27.WAV (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Sounds\Sound28.wav (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Sounds\Sound3.wav (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Sounds\Sound4.WAV (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Sounds\Sound5.WAV (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.
C:\Programme\BulletProofSoft.com\SpywareRemover\popup-watch\Sounds\Sound6.WAV (Rogue.BulletProofSpyware) -> Keine Aktion durchgeführt.

(Ende)

Wie Du schon gesehen hast ist, ist dieses WinXP in einem katastrophalen Zustand, weil jahrelang nicht anständig gewartet.
Es wird von mir neu aufgesetzt.

Wie soll ich die verschlüsselten Dateien speichern? Was empfiehlt sich da? Ein Spiegeln der FP verbietet sich höchstwahrscheinlich!?

Gruß und Dank
hatiora

Lieber göttlicher Arne
(ich habe hier schon eine Weile vor Eintritt des Ereignisses mitgelesen...),

die Antwort auf obige Frage brauchst Du evtl. nicht erst tippen.

Ich bin in Bezug auf den Umgang mit verschlüsselten Dateien von dem Typ wie er hier bei mir vorliegt gerade fündig geworden >
http://www.trojaner-board.de/117255-...ner-ukash.html

Den obigen Malwarebytes-Scan habe ich möglichst nahe am Absturzpunkt immer wieder wiederholt und die gefundenen Bedrohungen inzwischen gelöscht/in Quarantäne geschickt bis 'Ausführen' wieder verfügbar war.
Dadurch sind sozusagen Staffel-Logs entstanden.

Nach angeklicktem Anhang hat es bei der Freundin trotz mehrmaliger Neustarts noch etwa 2-3 Wochen gedauert, bis der Trojaner 'aktiv' geworden ist ,
darum poste ich die Logs ohne Aufforderung jetzt mal nicht, weil hier andere Forumsmitglieder Vorrang haben, bei denen noch Hoffnung besteht, bevor es bei ihnen losgeht.

Leider kann ich der Freundin nicht zumuten, die Festplatte beiseite zu legen.
(zu teuer für einen Trojaner, der mit ziemlicher Sicherheit niemals entschlüsselt werden kann)
Ein Backup von C:\ paßt aber evtl. auf einen größeren USB-Stick.
__________________

Eine angeschlossene USB-FP ist mit der Hälfte der gespeicherten Dateien betroffen.
Für immer drauflassen oder anderswo abspeichern?
_________________

Die hier empfohlenen Entschlüsselungstools habe ich mit Kopien der betroffenen Dateien ausprobiert.
Funktionieren, wie erwartet, alle nicht.
_________________

Wie würdest Du unter Abwägung der Umstände vorgehen?

(Gerne auch als kurze PM, zum Schutz der mitlesenden User, die in Wirklichkeit irgendwas Hoffnungsvolleres haben.)

Gruß und vielen Dank.



P.S.: Für das, was ihr hier tut, kam man ja früher in den Himmel.

Heute heißt das Atmosphäre - und weiß auch keiner mehr, was das jetz nochma war.... > kollektive Amnesie

Zitat:

Wie soll ich die verschlüsselten Dateien speichern? Was empfiehlt sich da? Ein Spiegeln der FP verbietet sich höchstwahrscheinlich!?

...
Wie würdest Du unter Abwägung der Umstände vorgehen?

Da du ein WindowsXP hast, steht der Rettungsanker ShadowExplorer nicht als Option zur Verfügung.
Eine Entschlüsselung ist unwahrscheinlich bis unmöglich wenn keins der acht uns bekannten Tools funktioniert. Beachte dazu mal den obigen Kasten mit den vielen Hinweisen und v.a. das hier => http://bit.ly/MBDcwm

Ist die Frage was ihr jetzt überhaupt noch wollt.
Ihr könnt alle Daten auch verschlüsselte zB über ein Live-Xubuntu auf eine externe Festplatte sichern und dann das System komplett sauber neu aufsetzen