Hallo,

erst einmal vielen Dank für dieses Board und allen Helfern.

Den Rechner eines Bekannten hat der Verschlüsselungstrojaner erwischt. Bekannter bat mich (schon öfters Viren von Hand gesäubert, sehr erfahren) um Hilfe. Auf dem Rechner läuft die bezahlte Version von Avira im neuesten Update. Infektion war am 23 Juni. Rechner bootet, auf Windows Desktop kommt Meldung, 100 Dollar für Entschlüsselung. Im Abgesicherten Modus gestartet nach Virus gesucht nichts gefunden, erste verschlüsselte Dateien gefunden. Aber die Dateien haben noch den originalen Dateinamen (also nicht locked*.????) und als Created Datum das Jahr 1601. Nach dem der Rechner beim Arbeiten (ich habe dort auch eine parallele leere Win-Installation) immer wieder einfach bootete, baute ich die Platte aus und nahm sie mit zu mir.

Auf meinem Rechner habe ich die Platte zunächst via USB angeschlossen. Avira gestartet, fand TR.Matsnu.EB.31 immer dann wenn er den Virus gefunden hat, konnte auf die Platte nicht mehr geschrieben/gelesen werden. Virus ist aber in der Quarantäne gelandet. Virus ist als Quarantäne-Datei vorhanden, kann übermittelt werden.

Auf meinem Rechner intern an ATA-Board angeschlossen, nun läuft Platte den ganzen Scan durch, kein Virus mehr gefunden. Kein Reboot oder Schreibfehler seit dem. Auf Google wegen Verschlüsselung gesucht und dieses Board gefunden. Malwarebytes Anti-Malware und GMER laufen lassen, keine weiteren Funde.

Avira Entschlüsselung runter geladen, ich habe von einigen PDF-, CSV-Dateien Original-Versionen, aber da die Dateien nicht locked-*.???? heißen, funktioniert die Entschlüsselung nicht. Kann jemand helfen ?

Hier Germ-Log: C:\ ist meine Partition, D:\ ist die befallene Partition, K:\ ist die Partition mit meinem Programme-Verzeichnis.

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-07-08 23:19:39
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 ST3500630A rev.3.AAE
Running: hzecrlif.exe; Driver: H:\Temp_XP\agldikow.sys


---- System - GMER 1.0.15 ----

SSDT            B87E8904                                                                         ZwClose
SSDT            B87E890E                                                                         ZwCreateSection
SSDT            B87E88B4                                                                         ZwCreateThread
SSDT            B87E88FF                                                                         ZwDuplicateObject
SSDT            B87E88A0                                                                         ZwOpenProcess
SSDT            B87E88A5                                                                         ZwOpenThread
SSDT            B87E8927                                                                         ZwQueryValueKey
SSDT            B87E8918                                                                         ZwRequestWaitReplyPort
SSDT            B87E8913                                                                         ZwSetContextThread
SSDT            B87E891D                                                                         ZwSetSecurityObject
SSDT            B87E8922                                                                         ZwSystemDebugControl
SSDT            B87E88AF                                                                         ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

?               rqadvlg.sys                                                                      The system cannot find the file specified. !
.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                         section is writeable [0xB5C803C0, 0x95AECA, 0xE8000020]
init            C:\WINDOWS\system32\drivers\monfilt.sys                                          entry point in "init" section [0xB3233280]
init            C:\WINDOWS\System32\Drivers\dgcodec.sys                                          entry point in "init" section [0xA9502194]
init            C:\WINDOWS\System32\Drivers\dgvideo.sys                                          entry point in "init" section [0xA8B9019F]

---- User code sections - GMER 1.0.15 ----

.text           K:\PrgXP\Internet Explorer\iexplore.exe[116] USER32.dll!DialogBoxParamW          7E4247AB 5 Bytes  JMP 3E215505 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[116] USER32.dll!CreateWindowExW          7E42D0A3 5 Bytes  JMP 3E2EDAD4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[116] USER32.dll!DialogBoxIndirectParamW  7E432072 5 Bytes  JMP 3E3E7207 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[116] USER32.dll!MessageBoxIndirectA      7E43A082 5 Bytes  JMP 3E3E7139 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[116] USER32.dll!DialogBoxParamA          7E43B144 5 Bytes  JMP 3E3E71A4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[116] USER32.dll!MessageBoxExW            7E450838 5 Bytes  JMP 3E3E700A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[116] USER32.dll!MessageBoxExA            7E45085C 5 Bytes  JMP 3E3E706C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[116] USER32.dll!DialogBoxIndirectParamA  7E456D7D 5 Bytes  JMP 3E3E726A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[116] USER32.dll!MessageBoxIndirectW      7E4664D5 5 Bytes  JMP 3E3E70CE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[860] USER32.dll!DialogBoxParamW          7E4247AB 5 Bytes  JMP 3E215505 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[860] USER32.dll!SetWindowsHookExW        7E42820F 5 Bytes  JMP 3E2E9A65 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[860] USER32.dll!CallNextHookEx           7E42B3C6 5 Bytes  JMP 3E2DD0DD C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[860] USER32.dll!CreateWindowExW          7E42D0A3 5 Bytes  JMP 3E2EDAD4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[860] USER32.dll!UnhookWindowsHookEx      7E42D5F3 5 Bytes  JMP 3E25466C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[860] USER32.dll!DialogBoxIndirectParamW  7E432072 5 Bytes  JMP 3E3E7207 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[860] USER32.dll!MessageBoxIndirectA      7E43A082 5 Bytes  JMP 3E3E7139 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[860] USER32.dll!DialogBoxParamA          7E43B144 5 Bytes  JMP 3E3E71A4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[860] USER32.dll!MessageBoxExW            7E450838 5 Bytes  JMP 3E3E700A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[860] USER32.dll!MessageBoxExA            7E45085C 5 Bytes  JMP 3E3E706C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[860] USER32.dll!DialogBoxIndirectParamA  7E456D7D 5 Bytes  JMP 3E3E726A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[860] USER32.dll!MessageBoxIndirectW      7E4664D5 5 Bytes  JMP 3E3E70CE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[860] ole32.dll!CoCreateInstance          774FF1BC 5 Bytes  JMP 3E2EDB30 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           K:\PrgXP\Internet Explorer\iexplore.exe[860] ole32.dll!OleLoadFromStream         7752983B 5 Bytes  JMP 3E3E756F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat                                                         fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
         

Digital_Data

Wo sind die Logs von Malwarebyts, AntiVir? Bitte alles posten!