hallo ihr lieben!

leider hat mich vor zwei tagen jetzt auch dieser bka-verschlüsselungstrojaner erwischt und sämtliche dateien wurden a la PTulnaovihbPA verschlüsselt. nachdem ich über die google-suche auf euer forum gestossen bin und hier einige ähnliche hilfe-beiträge gelesen habe, bin ich eure 8 regeln und die weiteren schritte durchgegangen

ich habe im abgesicherten modus mit netzwerkfreigabe die von euch empfohlenen programme runterladen können und dann scans von Malwarebytes anti-malware (aktualisiert am 1.9.), defogger, otl und gmer (hab ein 32 bit system) durchgeführt. dies hat alles ohne probleme oder fehlermeldungen geklappt.

ich wäre euch wahnsinnig dankbar wenn ihr mir helfen könntet, meinen laptop von diesem trojaner zu befreien und hoffentlich auch infolge meine verschlüsselten dateien (massenhaft jpg-bilder, word/excel-dateien etc) wieder "lebendig" werden zu lassen

vielen dank!
schönen sonntag noch und lg
bengelchen

Zitat:

auch infolge meine verschlüsselten dateien (massenhaft jpg-bilder, word/excel-dateien etc) wieder "lebendig" werden zu lassen

Hinweise oben nicht gelesen?

Verzeih, was genau meinst du jetzt?!

Lg

Du wärst auf Malwarebytes gestoßen!
Und die Fragen zur Enschlüsselung hätten sich auch nicht gestellt!

Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

vielen vielen dank für deine erste hilfestellung

hier nun der Malwarebytes scan von heute:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.09.04.08

Windows 7 Service Pack 1 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
volvobirgit :: VOLVOBIRGIT-PC [Administrator]

04.09.2012 18:16:08
mbam-log-2012-09-04 (18-16-08).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 339048
Laufzeit: 49 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKLM\SOFTWARE\QueryBrowser (Adware.QueryBrowser) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\QueryBrowser (Adware.QueryBrowser) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 3
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{851552F5-B878-4B03-904F-2AD6A4CC8994} (PUP.Zwangi) -> Daten:  -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{851552F5-B878-4B03-904F-2AD6A4CC8994} (PUP.Zwangi) -> Daten: õR…x¸K�O*֤̉” -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|24B4028D (Trojan.Inject) -> Daten: C:\Users\VOLVOB~1\AppData\Local\Temp\Pstvhwpunk\nwpdjlnt.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 7
C:\ProgramData\QueryBrowser (Adware.QueryBrowser) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files\Mozilla Firefox\extensions\{2B52746B-CDBB-49A6-A80D-912BC6636A6C} (Adware.QueryBrowser) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files\Mozilla Firefox\extensions\{2B52746B-CDBB-49A6-A80D-912BC6636A6C}\chrome (Adware.QueryBrowser) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files\Mozilla Firefox\extensions\{2B52746B-CDBB-49A6-A80D-912BC6636A6C}\defaults (Adware.QueryBrowser) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files\Mozilla Firefox\extensions\{2B52746B-CDBB-49A6-A80D-912BC6636A6C}\defaults\preferences (Adware.QueryBrowser) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files\QueryBrowser (Adware.QueryBrowser) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\volvobirgit\AppData\Roaming\svchost (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 10
C:\Program Files\Mozilla Firefox\searchplugins\flvtube.xml (PUP.Zwangi) -> Keine Aktion durchgeführt.
C:\Users\volvobirgit\AppData\Local\Temp\Pstvhwpunk\nwpdjlnt.exe (Trojan.Inject) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files\QueryBrowser\querybrowser.exe (Adware.Agent.ZGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\QueryBrowser\querybrowser111.exe (Adware.Agent.ZGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\volvobirgit\AppData\Local\Temp\logonvt.exe (Spyware.Zeus) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Office 2010 Activation and Conversion Kit 1.6.exe (Trojan.Agent.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\volvobirgit\AppData\Roaming\cglogs.dat (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\volvobirgit\AppData\Roaming\svchost\svchost.exe (Backdoor.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files\Mozilla Firefox\extensions\{2B52746B-CDBB-49A6-A80D-912BC6636A6C}\chrome.manifest (Adware.QueryBrowser) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files\Mozilla Firefox\extensions\{2B52746B-CDBB-49A6-A80D-912BC6636A6C}\install.rdf (Adware.QueryBrowser) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

von meinen scans am 30.8., 31.8. und 1.9. hab ich leider nur protection logs und keine ausführlichen wie diesen hier

der log.txt vom ESET-scan folgt in kürze.

danke & lg

und hier nun der ESET log.txt:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=d2fe8d33dfe1204dbadf6adb5420ea17
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-09-04 06:57:20
# local_time=2012-09-04 08:57:20 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=5893 16776574 100 94 209113 98412508 0 0
# compatibility_mode=8192 67108863 100 0 221 221 0 0
# scanned=162042
# found=6
# cleaned=0
# scan_time=3723
C:\Program Files\FLV Pro Player\player.swf	Win32/Adware.FlvDirect application (unable to clean)	00000000000000000000000000000000	I
C:\Users\volvobirgit\AppData\Local\Temp\Rar$DI01.496\Mahnung - Rechnung vom 12.08.2012.zip	Win32/Trustezeb.C trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\volvobirgit\AppData\Local\Temp\Vwfnunr\tywoajlnt.exe	Win32/Trustezeb.C trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\volvobirgit\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7\143b51c7-39f8480b	a variant of Java/TrojanDownloader.OpenStream.NCC trojan (unable to clean)	00000000000000000000000000000000	I
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TY6KG0OF\upgrade[1].cab	multiple threats (unable to clean)	00000000000000000000000000000000	I
D:\WOLFI ORDNER\programme für meinen lapi\msn\MsgPlusLive-483.exe	a variant of Win32/Adware.CiDHelp application (unable to clean)	00000000000000000000000000000000	I
         

hallllo?!?!?! noch jemand da??!?!?!

wie soll ich weiter vorgehen?

danke!
lg und schönen abend noch

Ja ich bin noch da!

Code: Alles auswählenAufklappen

ATTFilter

C:\Windows\Office 2010 Activation and Conversion Kit 1.6.exe
         

Das disqualifiziert dich für eine Bereinigung!

Siehe auch => http://www.trojaner-board.de/95393-c...-software.html

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden.

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!


In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials

Ok, danke, gut zu wissen, das war mir nämlich nicht bekannt. Hat mir nämlich ein bekannter installiert. Wie auch immer - werde neu aufsetzen. Danke!

Ok, danke für dein Verständnis. Wir haben da nämlich schon einige im Forum gehabt, die dann die tollsten Ausreden erfinden, sinnlose Diskussionen führen oder unsere Aussagen an sich in Frage stellen wollen wie zB in der Art "das ist schon ewig drauf, kann gar nicht die Ursache sein bla bla bla" - das führt deswegen zu nichts, weil wir grundsätzlich sowas nicht unterstützen unabhängig davon was die Ursache für die Infektion ist.

Pass in Zukunft auf, was Bekannte so installieren. Das passiert immer wieder, dass die sich einfach an einem fremden Rechner austoben und irgendwelche gecrackte K**** installieren
Lass Bekannte da nicht mehr ran oder warne die ausdrücklich davor!