Okay, ich muss nochmal abklären, warum FRST bei dir ständig das hier ausgibt, auch als Admin: konnte nicht auf den Prozess zugreifen -> ...

Cosinus ...DANKE erstmal für Deine Hilfe

Also...es scheint an FRST zu liegen. Hab es auch nochmal auf einem Windows 2003 gestartet und bekomm da die gleiche Ausgabe im Log, dass es nicht auf die Prozesse zu greifen kann.

Okay, dann Kontrollscans mit MBAM und ESET bitte:

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hi Cosinus,
Malwarebyte hat nichts gefunden.
Für ESET muss ich den Hoster fragen ob er die FW temporär deaktiviert für mich.
Ich melde mich
Viele Grüsse
Lodda

Vergiss das mit der Firewall, lass die an und probier ESET.
Unsere Bausteine sind nur für Clients ausgelegt die eine nervige Personal Firewall installiert haben...

EST hat was gefunden:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=9394f21f3dd80b41acc02248007a944e
# end=init
# utc_time=2015-07-29 09:10:45
# local_time=2015-07-29 11:10:45 (+0100, Mitteleuropäische Sommerzeit   )
# country="Germany"
# osver=5.2.3790 NT Service Pack 2
Update Init
Update Download
Update Finalize
Updated modules version: 25025
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=9394f21f3dd80b41acc02248007a944e
# end=updated
# utc_time=2015-07-29 09:15:39
# local_time=2015-07-29 11:15:39 (+0100, Mitteleuropäische Sommerzeit   )
# country="Germany"
# osver=5.2.3790 NT Service Pack 2
ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=9394f21f3dd80b41acc02248007a944e
# end=init
# utc_time=2015-07-29 09:25:33
# local_time=2015-07-29 11:25:33 (+0100, Mitteleuropäische Sommerzeit   )
# country="Germany"
# osver=5.2.3790 NT Service Pack 2
Update Init
Update Download
esets_scanner_update returned -1 esets_gle=53251
Update Finalize
Updated modules version: 25025
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=9394f21f3dd80b41acc02248007a944e
# end=updated
# utc_time=2015-07-29 09:25:42
# local_time=2015-07-29 11:25:42 (+0100, Mitteleuropäische Sommerzeit   )
# country="Germany"
# osver=5.2.3790 NT Service Pack 2
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7777
# api_version=3.1.1
# EOSSerial=9394f21f3dd80b41acc02248007a944e
# engine=25025
# end=stopped
# remove_checked=false
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2015-07-29 09:26:37
# local_time=2015-07-29 11:26:37 (+0100, Mitteleuropäische Sommerzeit   )
# country="Germany"
# lang=1031
# osver=5.2.3790 NT Service Pack 2
# scanned=2818
# found=0
# cleaned=0
# scan_time=54
ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=9394f21f3dd80b41acc02248007a944e
# end=init
# utc_time=2015-07-29 09:26:53
# local_time=2015-07-29 11:26:53 (+0100, Mitteleuropäische Sommerzeit   )
# country="Germany"
# osver=5.2.3790 NT Service Pack 2
Update Init
Update Download
esets_scanner_update returned -1 esets_gle=53251
Update Finalize
Updated modules version: 25025
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=9394f21f3dd80b41acc02248007a944e
# end=updated
# utc_time=2015-07-29 09:27:18
# local_time=2015-07-29 11:27:18 (+0100, Mitteleuropäische Sommerzeit   )
# country="Germany"
# osver=5.2.3790 NT Service Pack 2
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7777
# api_version=3.1.1
# EOSSerial=9394f21f3dd80b41acc02248007a944e
# engine=25025
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2015-07-29 10:08:34
# local_time=2015-07-29 12:08:34 (+0100, Mitteleuropäische Sommerzeit   )
# country="Germany"
# lang=1031
# osver=5.2.3790 NT Service Pack 2
# scanned=142155
# found=13
# cleaned=13
# scan_time=2475
sh=96219DDF85C3683C3F71E7C8A3E5BB3E1ACA24C3 ft=1 fh=eeb7ecf48e62665c vn="Variante von Win32/Packed.Themida verdächtige Datei (Gesäubert durch Löschen - in Quarantäne kopiert)" ac=C fn="C:\Dokumente und Einstellungen\Administrator.NOVAMED2\Eigene Dateien\Downloads\Cryptor.exe"
sh=5840BFCADDAEF48D7B81EC4A3662763112BEF8F0 ft=0 fh=0000000000000000 vn="JS/Kryptik.AKT Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)" ac=C fn="D:\inetpub\ftproot\Inetpub\verdenturnier\jwplayer.js"
sh=5842FFCC948E28A990A0939C7C0427F461E86A47 ft=0 fh=0000000000000000 vn="JS/Kryptik.AJR Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)" ac=C fn="D:\inetpub\ftproot\Inetpub\verdenturnier\swfobject.js"
sh=870B772D47D7CD94488DC149970F9828BE9F3FB5 ft=0 fh=0000000000000000 vn="JS/Kryptik.AJR Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)" ac=C fn="D:\inetpub\ftproot\Inetpub\verdenturnier\lib\popup.js"
sh=C46F0FE9362AE0DD7E6DA01735CDF5A50D99BFB7 ft=0 fh=0000000000000000 vn="JS/Kryptik.AJR Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)" ac=C fn="D:\inetpub\ftproot\Inetpub\verdenturnier\player\Page.xaml.js"
sh=22E5234B176FAEB43917EE169B16103416F030C0 ft=0 fh=0000000000000000 vn="JS/Kryptik.AJR Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)" ac=C fn="D:\inetpub\ftproot\Inetpub\verdenturnier\player\Silverlight.js"
sh=DF24F7102E484C8267D881C0D87F4849715D8FCD ft=0 fh=0000000000000000 vn="JS/Kryptik.AKT Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)" ac=C fn="D:\inetpub\ftproot\Inetpub\verdenturnier\player\Silverlight_old.js"
sh=5840BFCADDAEF48D7B81EC4A3662763112BEF8F0 ft=0 fh=0000000000000000 vn="JS/Kryptik.AKT Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)" ac=C fn="D:\inetpub\ftproot\Inetpub\verdenturnier\playersicher\jwplayer.js"
sh=5842FFCC948E28A990A0939C7C0427F461E86A47 ft=0 fh=0000000000000000 vn="JS/Kryptik.AJR Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)" ac=C fn="D:\inetpub\ftproot\Inetpub\verdenturnier\playersicher\swfobject.js"
sh=DAD8C723DD5697918B80B3594B9E0090519FBA35 ft=0 fh=0000000000000000 vn="JS/Kryptik.AKT Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)" ac=C fn="D:\inetpub\ftproot\Inetpub\verdenturnier\script\newprototype.js"
sh=A35A3FF1AD8AFF8BE18D482BE4441D4CFFD9232A ft=0 fh=0000000000000000 vn="JS/Kryptik.AKT Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)" ac=C fn="D:\inetpub\ftproot\Inetpub\verdenturnier\script\oldprototype.js"
sh=A392EEC3838F95C92F1DBEE7E45A8E9D0F15FFF3 ft=0 fh=0000000000000000 vn="JS/Kryptik.AKT Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)" ac=C fn="D:\inetpub\ftproot\Inetpub\wwwroot\aspnet_client\system_web\1_1_4322\SmartNav.js"
sh=9F087BE8918D16AF690D82CC4FE2D73D42E776C3 ft=0 fh=0000000000000000 vn="JS/Kryptik.AKT Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)" ac=C fn="D:\inetpub\ftproot\Inetpub\wwwroot\aspnet_client\system_web\1_1_4322\WebUIValidation.js"
         

Da hat wohl irgendjmd Sicherheitslücken in den Webanwendungen ausgenutzt. Aber das OS scheint nicht betroffen zu sein.

Wenn du magst kannst noch nen Gegencheck mit EEK machen:

Lade Dir bitte von hier Emsisoft Emergency Kit herunter.

• Bitte installiere das Programm in den vorgegebenen Pfad.
• Starte das Programm durch Doppelklick der Desktopverknüpfung.
• Das EEK ist nach dem Laden der Malwaresignaturen für den Scan bereit.
• Folge nun bitte der bebilderten Bildanleitung zu Emergency Kit, entferne alle Funde und poste am Ende des Scans bzw. der Bereinigung das Log.
  

hab ich gemacht ....nix gefunden :-)

Dann ist das System okay...nur deine Files sind halt verschlüsselt.

Dann wären wir durch!

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...und/oder das Forum mit einer kleinen Spende unterstützen.

Abschließend müssen wir noch ein paar Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.


Cleanup:
(Die Reihenfolge ist hier entscheidend)

Falls Defogger verwendet wurde: Erneut starten und auf Re-enable klicken.

Falls Combofix verwendet wurde:
Combofix deinstallieren

• Wichtig: Bitte Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.
  
• Drücke bitte die + R Taste und schreibe Combofix /Uninstall in das Ausführen-Fenster.
• Klicke auf OK.
  Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert.
• Nun die eben deaktivierten Programme wieder aktivieren.

Alle Logs gepostet? Dann lade Dir bitte DelFix herunter.

• Schließe alle offenen Programme.
• Starte die delfix.exe mit einem Doppelklick.
• Setze vor jede Funktion ein Häkchen.
• Klicke auf Start.

Hinweis: DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte Deinen Rechner abschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen.


Absicherung:
Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen:

Browser
Java
Flash-Player
PDF-Reader

Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren.
Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen.

Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.

Verwende ein einziges der folgenden Antivirusprogramme mit Echtzeitscanner und stets aktueller Signaturendatenbank:

	Emsisoft	MSE

Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware und ESET scannen.

Optional:
Ghostery Erkennt und blockiert Tracker, Web Bugs, Pixel und Beacons und weitere Scripte, die das Surfverhalten ausspähen/beobachten.
Malwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen.


Lade Software von einem sauberen Portal wie .
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner .


Abschließend noch ein paar grundsätzliche Bemerkungen:
Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems.
Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Hi Cosinus,
habe ich gemacht nur bitte zur Warnung für Alle anderen die u.U. einen 2003 Server im Netz haben: Nach dem Restart war der Server nichtmehr erreichbar und der Firewall Dienst wollte nichtmehr starten.
Erst ein Einschalten des Windows eigenen Port-Filtering und ein darauffolgender Neustart bewegte die Firewall wieder dazu zu starten.
Zum Glück habe ich bei meinem Provider einen Konsolenzugang für Notfälle sonst hätte ich wirklich ein Problem gehabt.
Cosinus: Vielen Vielen Dank an Dich für Deine Arbeit und deine Tipps.
Ein klasse Board und ne Spende gibts auch !!
Eine Frage Cosinus, nach was muss ich suchen um mich zu informieren wie der Stand einer Entschlüsselungsmöglichkeit ist?? ...oder kann man das absolut vergessen??
Viele Grüss vom Lodda

Zitat:

Zitat von lodda815

Hi Cosinus,
habe ich gemacht nur bitte zur Warnung für Alle anderen die u.U. einen 2003 Server im Netz haben: Nach dem Restart war der Server nichtmehr erreichbar und der Firewall Dienst wollte nichtmehr starten.

Kapier ich nicht ganz, was hast du gemacht dass der nicht mehr erreichbar war?

Und wie gesagt halte ich das für ne ganz schlechte Idee, Windows-Server direkt im Internet aufzustellen. Ich administriere auch per Fernwartung unsere Windows-Server, die sind aber nur im internen Netz erreichbar (Remotedesktop), aber über SSL-VPN.

Zitat:

Zitat von lodda815

Eine Frage Cosinus, nach was muss ich suchen um mich zu informieren wie der Stand einer Entschlüsselungsmöglichkeit ist?? ...oder kann man das absolut vergessen??
Viele Grüss vom Lodda

Das sieht schlecht aus. Letzes Backup einspielen oder Lösegeld abdrücken. Ohne den Private Key der Erpresser gibt es da nix zu entschlüsseln.

Zitat:

Zitat von cosinus

Kapier ich nicht ganz, was hast du gemacht dass der nicht mehr erreichbar war?

...einfach nach Anleitung delfix angewandt. ;-)
Ich vermute: Rücksetzen auf Standards ?!?

Jetzt wird erstma ein vernünftiges Backup gebastelt. Soetwas passiert mir nicht nochmal.

Betreff entschlüsselung: Ich dachte wenn orginal Datei vorhanden ist, gäbe es eine Chance??
Viele Grüsse
Lothar

Bevor ich rumrate: was musste dein Hoster denn machen, damit du wieder Zugriff hattest?

...hab ich doch geschrieben.... mein Hoster musste nichts machen.
Ich habe für Notfälle einen KVM-Konsolenzugang (Display,Maus,Tastatur wird remote direkt weiter geleitet.) So konnte ich mich direkt auf die Konsole einloggen, und den Port Filter aktivieren ...das bewirkt eine neu-initialisierung der Firewall.
Dann den Portfilter wieder deaktiviert ...und Firewall war wieder up and running

Ok, sry nicht geschnallt

Zitat:

Betreff entschlüsselung: Ich dachte wenn orginal Datei vorhanden ist, gäbe es eine Chance??

Weiß nicht. Auf diese Idee sind ja auch schon viele gekommen, aber die letzten Jahre kam da nichts Brauchbares rüber.