Hallo wie oben schon gesagt öffnen keine fotos und dateien mehr die in vergangener zeit gespeichert wurden bei datei typ steht PROTECTED-Datei (.protected).

Viren scanner von norton hatte trojaner gen festgestellt.

was nun??

Bitte um hilfe

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v5.116 - Bericht erstellt am 10/05/2016 um 11:48:05
# Aktualisiert am 09/05/2016 von Xplode
# Datenbank : 2016-05-09.1 [Server]
# Betriebssystem : Windows 10 Home  (X64)
# Benutzername : schnurzels - DESKTOP-DC38DO9
# Gestartet von : C:\Users\schnurzels\Downloads\AdwCleaner_5.116.exe
# Option : Löschen
# Unterstützung : hxxp://toolslib.net/forum

***** [ Dienste ] *****


***** [ Ordner ] *****

[-] Ordner gelöscht : C:\ProgramData\DriverSetupUtility
[-] Ordner gelöscht : C:\Users\schnurzels\AppData\Local\Host App Service
[-] Ordner gelöscht : C:\Program Files\Booking.com
[-] Ordner gelöscht : C:\Program Files\DriverSetupUtility

***** [ Dateien ] *****

[-] Datei gelöscht : C:\Users\Public\Desktop\eBay.lnk
[-] Datei gelöscht : C:\Users\Public\Desktop\Booking.com.lnk
[-] Datei gelöscht : C:\Users\schnurzels\AppData\Roaming\Mozilla\Firefox\Profiles\ivktw61m.default\extensions\abb@amazon.com.xpi

***** [ DLLs ] *****


***** [ WMI ] *****


***** [ Verknüpfungen ] *****


***** [ Aufgabenplanung ] *****

[-] Geplante Aufgabe gelöscht : App Explorer
[-] Geplante Aufgabe gelöscht : ACC

***** [ Registrierungsdatenbank ] *****

[-] Schlüssel gelöscht : HKCU\Software\Host App Service
[-] Schlüssel gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Host App Service
[-] Daten wiederhergestellt : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page Redirect Cache]
[-] Daten wiederhergestellt : HKU\S-1-5-21-684026560-3220049174-385925997-1001\Software\Microsoft\Internet Explorer\Main [Start Page Redirect Cache]
[-] Schlüssel gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AA9A4890-4262-4441-8977-E2FFCBFB706C}
[-] Schlüssel gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{AA9A4890-4262-4441-8977-E2FFCBFB706C}
[-] Schlüssel gelöscht : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{AA9A4890-4262-4441-8977-E2FFCBFB706C}

***** [ Internetbrowser ] *****

[-] [C:\Users\schnurzels\AppData\Roaming\Mozilla\Firefox\Profiles\ivktw61m.default\prefs.js] gelöscht : user_pref("browser.search.selectedEngine", "Web Search");
[-] [C:\Users\schnurzels\AppData\Roaming\Mozilla\Firefox\Profiles\ivktw61m.default\prefs.js] gelöscht : user_pref("browser.startup.homepage", "hxxp://homepage-web.com/?s=acer&m=start");
[-] [C:\Users\schnurzels\AppData\Local\Google\Chrome\User Data\Default\Web Data] [Search Provider] gelöscht : homepage-web.com
[-] [C:\Users\schnurzels\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] [Startup_URLs] gelöscht : hxxp://homepage-web.com/?s=acer&m=start
[-] [C:\Users\schnurzels\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] [Default_Search_Provider_Data] gelöscht : hxxps://secure.homepage-web.com/?src=omnibox&partner=acer&q={searchTerms}
[-] [C:\Users\schnurzels\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] [Homepage] gelöscht : hxxp://homepage-web.com/?s=acer&m=home

*************************

:: "Tracing" Schlüssel gelöscht
:: Proxy Einstellungen zurückgesetzt
:: Winsock Einstellungen zurückgesetzt
:: Internet Explorer Richtlinien gelöscht
:: Chrome Richtlinien gelöscht

*************************

C:\AdwCleaner\AdwCleaner[C1].txt - [3286 Bytes] - [10/05/2016 11:48:05]
C:\AdwCleaner\AdwCleaner[S1].txt - [3576 Bytes] - [10/05/2016 11:40:41]

########## EOF - C:\AdwCleaner\AdwCleaner[C1].txt - [3432 Bytes] ##########
         

Welche ransomware du hast kannst du vllt hiermit herausfinden => https://id-ransomware.malwarehunterteam.com/

Und nein, es gibt keine Garantie, die Daten wiederzubekommen. Nur wenn du Glück hast, können diese mit einem passenden decrypter entschlüsselt werden.

ok danke für die antwort. aber dort bin ich nicht weiter gekommen.
ich bin der hoffnung das alles gerettet werden kann. den es sind sonst alle bilder weg, von den letzten jahren, und auch baby und kinderfotos meiner tochter

kann das manchmal sowas sein? oder könnte dieses programm meine datein öffnen?


Protected Folder: So verriegelt ihr eure wichtigen Ordner
Daten mit Passwort schützen
von Mirco Stalla

Protected Folder ist eine Software vom Hersteller IObit, mit der ihr eure Ordner in einem virtuellen Container abriegeln könnt. In unserer Anleitung zeigen wir euch, wie ihr eure wichtigen Daten absichern könnt.

Zitat:

Zitat von cosinus

Welche ransomware du hast kannst du vllt hiermit herausfinden => https://id-ransomware.malwarehunterteam.com/

Und nein, es gibt keine Garantie, die Daten wiederzubekommen. Nur wenn du Glück hast, können diese mit einem passenden decrypter entschlüsselt werden.

wie geht es denn nun weiter was kann ich noch machen?

Was soll es denn da wieder weitergehen? Ich kann deine Daten auch nicht wieder zuürckzaubern

Warum hälst du dich nicht einfach an den von mir verlinkten Artikel

Zitat:

Zitat von cosinus

Was soll es denn da wieder weitergehen? Ich kann deine Daten auch nicht wieder zuürckzaubern

Warum hälst du dich nicht einfach an den von mir verlinkten Artikel

ich bin auf den Artikel gegangen.

habe gemacht was da steht. da kam nur das.:

Diese Ransomware wird noch analysiert.

Siehe das dazugehörige Thema für weitere Informationen. Verschlüsselte und verdächtige Dateien sind für eine weitere Untersuchung erforderlich.

Identifiziert von

sample_extension: .protected

Ja und ich hab auch geschrieben, dass du damit rechnen musst, nicht mehr an deine Daten herankommen zu können. Wenn es keine decrypter dafür gibt kannst du auch gerne 10x noch nachfragen wie es weitergehen soll, ändert nix.

Warum hast du deine ach so wichtigen Daten wie Fotos denn vorher nie auf DVD gebrannt, externe Platte oder Stick mal gesichert?

Hallo caro21.

Diese Ransomware ist neu. Wir können darum noch keine Aussage darüber treffen, ob sie entschlüsselt werden kann. Das können wir erst, wenn wir eine Datei von der Schadsoftware erhalten und sie untersuchen. In den meisten Fällen sind die Dateien allerdings nicht mehr zu entschlüsseln.

Bitte lade Dateien, die zur Erpresserschadsoftware gehören auf diesem channel hoch. Eine Epressernachricht und eine verschlüsselte Datei können schon helfen. Eine Anleitung ist hier:

• Gehe zu diesem channel
• Klick Browse und wähle die Datei zum Hochladen.
• Klick Submit Query.

Versuch Dich zu erinnern, ob Du E-Mails mit verdächtigen Anhängen geöffnet hast. Dies ist ein sehr häufiger Infektionsweg. Falls ja, lad den Anhang bitte hoch.

Hat sich Dein Antivirenprogram mal gemeldet und was Böses entdeckt?

Marie

Zitat:

Zitat von Curie

Hallo caro21.

Diese Ransomware ist neu. Wir können darum noch keine Aussage darüber treffen, ob sie entschlüsselt werden kann. Das können wir erst, wenn wir eine Datei von der Schadsoftware erhalten und sie untersuchen. In den meisten Fällen sind die Dateien allerdings nicht mehr zu entschlüsseln.

Bitte lade Dateien, die zur Erpresserschadsoftware gehören auf diesem channel hoch. Eine Epressernachricht und eine verschlüsselte Datei können schon helfen. Eine Anleitung ist hier:

• Gehe zu diesem channel
• Klick Browse und wähle die Datei zum Hochladen.
• Klick Submit Query.

Versuch Dich zu erinnern, ob Du E-Mails mit verdächtigen Anhängen geöffnet hast. Dies ist ein sehr häufiger Infektionsweg. Falls ja, lad den Anhang bitte hoch.

Hat sich Dein Antivirenprogram mal gemeldet und was Böses entdeckt?

Marie

Ok Danke.
Habe es dort hoch geladen aber da kommt dann nur irgendwie das es erfolgreich hochgeladen wurde und so. stand so im übersetzer. ist ja alles auf englich auf der seite.


Und nein habe nie irgendwelche mails geöffnet. Öffne nur die wo ich den Absender kenne, aber die sind fast immer ohne Anhang. Hatte wo ich das festgestellt habe gleich in mein Virenscanner reingeschaut, und da habe ich gesehen das er mehreres blockiert hatte.
Habe Northon 360

Habe da jetzt mal durchgeschaut. habe bemerkt das die trojaner bei runterladen mit gekommen sind. mein man hat von sein Kollegen so ein programm bekommen wo er filme und sowas downloaden kann. Usenext heist es.

Zitat:

Zitat von caro21

Habe da jetzt mal durchgeschaut. habe bemerkt das die trojaner bei runterladen mit gekommen sind. mein man hat von sein Kollegen so ein programm bekommen wo er filme und sowas downloaden kann. Usenext heist es.

Oje da haben die mit dem Feuer gespielt und sich die Finger verbrannt...

ich versteh einfach nicht warum manche Mitmenschen so leichtsinnig und naiv sind.
Fragwürdige Software aus underground Quellen, die zehn Kilometer gegen den Wind stinken, einfach so auf einem Rechner ausführen, der die ungesicherten wichtigen privaten Familienfotos enthält ist leider einfach ziemlich =>

Zitat:

Zitat von cosinus

Oje da haben die mit dem Feuer gespielt und sich die Finger verbrannt...

ich versteh einfach nicht warum manche Mitmenschen so leichtsinnig und naiv sind.
Fragwürdige Software aus underground Quellen, die zehn Kilometer gegen den Wind stinken, einfach so auf einem Rechner ausführen, der die ungesicherten wichtigen privaten Familienfotos enthält ist leider einfach ziemlich =>

Ja leider völlig blöd. zumal er null plan von datei anhängen und so hat. hat er trotzdem gemacht. mmm

und der PC ist erst ein ganz neuer, ferseucht ich könnt kot.......

naja wie alt oder neu der PC ist ist doch völlig wumpe. Man führt so einen Schrott einfach nicht aus. Und noch weniger wenn auf dem PC noch wichtige Daten liegen, die noch ungesichert sind....

Hi Caro. Ich habe Deine verschlüsselten Bilder bekommen.

Guck bitte mal im folgenden Ordner nach Scanreports von Deinem Virenscanner. Einer von beiden Ordnern muss es sein.

Für Symantec Endpoint Protection 12.1

C:\ProgramData\Symantec\Symantec Endpoint Protection\CurrentVersion\Data\Logs\AV

Für Symantec Endpoint Protection 11

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\Logs\AV

Du solltest dort Text-Dateien finden, die ein Datum als Name haben; nach dem Schema MMTTJJJJ.log. Z.B. 05102016.log stünde für den 10.Mai 2016. Dieses Datum gibt den Scanzeitpunkt an. Kannst Du den Scanreport finden, der den Trojaner beim Herunterladen erkannt hat?

Ich finde die Ordner leider nicht.

Zitat:

Zitat von caro21

Ich finde die Ordner leider nicht.

auch wenn ich das in der suchmaske eingebe kommt nicht.

nur bei norton im verlauf kann ich sehen wann es war und was es war.

Schritt 1
SystemLook

• Bitte lade Dir SystemLook (x64) runter und speichere das Programm auf Deinem Desktop.
• Mache einen Rechtsklick auf SystemLook_x64.exe und wähle Als Administrator ausführen
• Kopiere die zwei blauen Zeilen unten und füge sie in das Textfeld des Programms ein.
  
  :folderfind
  *Logs*
  
• Klick auf den Knopf , um den Scan zu starten
• Wenn das Programm fertig ist, wird sich eine Textdatei names SystemLook.txt öffnen. Bitte poste den Inhalt der Datei in Deiner nächsten Antwort.
• Klick abschließend den Knopf .

Code: Alles auswählenAufklappen

ATTFilter

SystemLook 30.07.11 by jpshortstuff
Log created at 19:39 on 18/05/2016 by schnurzels
Administrator - Elevation successful

========== folderfind ==========

Searching for "*Logs*"
C:\PerfLogs	d------	[07:24 30/10/2015]
C:\$Recycle.Bin\S-1-5-21-684026560-3220049174-385925997-1001\$RA5YBH6\Logs	d------	[19:17 16/02/2016]
C:\OEM\AcerLogs	d------	[16:41 07/09/2015]
C:\OEM\AcerLogs\AlaunchXLogs	d------	[15:56 07/09/2015]
C:\OEM\AcerLogs\ManagerXLogs	d------	[16:41 07/09/2015]
C:\OEM\AcerLogs\PreloadXLogs	d------	[16:41 07/09/2015]
C:\OEM\Preload\Logs	d------	[14:06 26/12/2015]
C:\Program Files (x86)\Acer\Acer Drive\Apache\logs	d------	[14:12 26/12/2015]
C:\Program Files (x86)\Mozilla Maintenance Service\logs	d------	[12:49 11/01/2016]
C:\Program Files (x86)\VideoLAN\VLC\lua\http\dialogs	d------	[12:53 10/02/2016]
C:\ProgramData\Acer\CCDMSrv\logs	d------	[16:11 07/09/2015]
C:\ProgramData\AVAST Software\Persistent Data\Avast\Logs	d------	[08:44 06/01/2016]
C:\ProgramData\BlueStacks\UserData\Logs	d------	[14:01 26/12/2015]
C:\ProgramData\McAfee\MCLOGS	d------	[16:05 07/09/2015]
C:\ProgramData\McAfee\AMCore\datreputation\Logs	d------	[14:23 11/01/2016]
C:\ProgramData\McAfee\msc\logs	d------	[16:05 07/09/2015]
C:\ProgramData\Microsoft\Diagnosis\ETLLogs	d---s--	[07:24 30/10/2015]
C:\ProgramData\Microsoft\Search\Data\Applications\Windows\GatherLogs	d------	[12:07 14/02/2016]
C:\ProgramData\Mozilla\logs	d------	[16:04 07/09/2015]
C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_22.5.2.15\Logs	d------	[13:48 12/01/2016]
C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_22.5.2.15\Lue\Logs	d------	[14:10 12/01/2016]
C:\ProgramData\NortonInstaller\Logs	d------	[11:24 12/01/2016]
C:\ProgramData\NVIDIA Corporation\GeForce Experience\Logs	d------	[14:57 20/11/2015]
C:\ProgramData\USOShared\Logs	d------	[12:22 10/07/2015]
C:\ProgramData\WildTangent\Logs	d------	[16:02 07/09/2015]
C:\Recovery\Logs	d--hs--	[11:47 14/02/2016]
C:\Users\All Users\Acer\CCDMSrv\logs	d------	[16:11 07/09/2015]
C:\Users\All Users\AVAST Software\Persistent Data\Avast\Logs	d------	[08:44 06/01/2016]
C:\Users\All Users\BlueStacks\UserData\Logs	d------	[14:01 26/12/2015]
C:\Users\All Users\McAfee\MCLOGS	d------	[16:05 07/09/2015]
C:\Users\All Users\McAfee\AMCore\datreputation\Logs	d------	[14:23 11/01/2016]
C:\Users\All Users\McAfee\msc\logs	d------	[16:05 07/09/2015]
C:\Users\All Users\Microsoft\Diagnosis\ETLLogs	d---s--	[07:24 30/10/2015]
C:\Users\All Users\Microsoft\Search\Data\Applications\Windows\GatherLogs	d------	[12:07 14/02/2016]
C:\Users\All Users\Mozilla\logs	d------	[16:04 07/09/2015]
C:\Users\All Users\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_22.5.2.15\Logs	d------	[13:48 12/01/2016]
C:\Users\All Users\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_22.5.2.15\Lue\Logs	d------	[14:10 12/01/2016]
C:\Users\All Users\NortonInstaller\Logs	d------	[11:24 12/01/2016]
C:\Users\All Users\NVIDIA Corporation\GeForce Experience\Logs	d------	[14:57 20/11/2015]
C:\Users\All Users\USOShared\Logs	d------	[12:22 10/07/2015]
C:\Users\All Users\WildTangent\Logs	d------	[16:02 07/09/2015]
C:\Users\defaultuser0\AppData\Local\AOP SDK\acer infra\acer\SyncAgent\logs	d------	[13:48 26/12/2015]
C:\Users\defaultuser0\AppData\Local\AOP SDK\acer infra\acer\SyncAgent\logs\ccd\special_logs	d------	[13:48 26/12/2015]
C:\Users\schnurzels\AppData\Local\AOP SDK\acer infra\acer\SyncAgent\logs	d------	[13:50 26/12/2015]
C:\Users\schnurzels\AppData\Local\AOP SDK\acer infra\acer\SyncAgent\logs\ccd\special_logs	d------	[13:50 26/12/2015]
C:\Users\schnurzels\AppData\Local\Microsoft\CLR_v2.0_32\UsageLogs	d------	[00:41 28/03/2016]
C:\Users\schnurzels\AppData\Local\Microsoft\CLR_v4.0\UsageLogs	d------	[13:50 26/12/2015]
C:\Users\schnurzels\AppData\Local\Microsoft\CLR_v4.0_32\UsageLogs	d------	[13:50 26/12/2015]
C:\Users\schnurzels\AppData\Local\Microsoft\OneDrive\logs	d------	[13:52 26/12/2015]
C:\Users\schnurzels\AppData\Local\Microsoft\OneDrive\setup\logs	d------	[13:52 26/12/2015]
C:\Users\schnurzels\AppData\Local\Packages\Microsoft.MicrosoftSolitaireCollection_8wekyb3d8bbwe\LocalState\Logs	d------	[11:39 06/01/2016]
C:\Users\schnurzels\AppData\Roaming\WildTangent\Logs	d------	[14:01 26/12/2015]
C:\Users\schnurzels\Desktop\thomas handy\Android\data\com.sec.android.app.shealth\file\logs	d------	[10:53 16/02/2016]
C:\Windows\Logs	d------	[06:31 30/10/2015]
C:\Windows\ModemLogs	d------	[07:24 30/10/2015]
C:\Windows\Panther\Rollback\MachineIndependent\Transformers\CBS\boot_volume\WinLH\WinSxS\Catalogs	d----c-	[12:02 14/02/2016]
C:\Windows\security\logs	d------	[07:24 30/10/2015]
C:\Windows\security\EDP\Logs	d--hs--	[07:24 30/10/2015]
C:\Windows\SoftwareDistribution\DataStore\Logs	d------	[12:06 14/02/2016]
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\CLR_v2.0\UsageLogs	d------	[16:09 01/04/2016]
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\CLR_v4.0\UsageLogs	d------	[12:16 14/02/2016]
C:\Windows\System32\Configuration\JobLogs	d---s--	[07:24 30/10/2015]
C:\Windows\System32\wbem\Logs	d------	[07:24 30/10/2015]
C:\Windows\System32\winevt\Logs	d----c-	[07:24 30/10/2015]
C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\CLR_v2.0_32\UsageLogs	d------	[16:09 01/04/2016]
C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\CLR_v4.0_32\UsageLogs	d------	[12:16 14/02/2016]
C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\WildTangent\Logs	d------	[12:01 14/02/2016]
C:\Windows\SysWOW64\Configuration\JobLogs	d---s--	[07:24 30/10/2015]
C:\Windows\SysWOW64\wbem\Logs	d------	[07:24 30/10/2015]
C:\Windows\WinSxS\amd64_microsoft-windows-commonlogservicesapi_31bf3856ad364e35_10.0.10586.0_none_fb3abeba2a2e624e	d------	[07:18 30/10/2015]
C:\Windows\WinSxS\amd64_microsoft-windows-p..dialogs3d.resources_31bf3856ad364e35_10.0.10586.0_de-de_328b65729d280029	d------	[18:34 30/10/2015]
C:\Windows\WinSxS\amd64_microsoft-windows-p..g-dialogs.resources_31bf3856ad364e35_10.0.10586.0_de-de_b2060e558225cab0	d------	[18:34 30/10/2015]
C:\Windows\WinSxS\amd64_microsoft-windows-printing-dialogs3d_31bf3856ad364e35_10.0.10586.0_none_7db9c83b6cd5ee5d	d------	[07:18 30/10/2015]
C:\Windows\WinSxS\amd64_microsoft-windows-printing-dialogs_31bf3856ad364e35_10.0.10586.0_none_958f4c9cfa0f9b2e	d------	[07:18 30/10/2015]
C:\Windows\WinSxS\amd64_microsoft-windows-w3logsvc_31bf3856ad364e35_10.0.10586.0_none_1133dbba885bd541	d------	[07:19 30/10/2015]
C:\Windows\WinSxS\Catalogs	d------	[06:28 30/10/2015]
C:\Windows\WinSxS\wow64_microsoft-windows-p..g-dialogs.resources_31bf3856ad364e35_10.0.10586.0_de-de_bc5ab8a7b6868cab	d------	[18:34 30/10/2015]
C:\Windows\WinSxS\wow64_microsoft-windows-printing-dialogs_31bf3856ad364e35_10.0.10586.0_none_9fe3f6ef2e705d29	d------	[07:18 30/10/2015]
C:\Windows\WinSxS\wow64_microsoft-windows-w3logsvc_31bf3856ad364e35_10.0.10586.0_none_1b88860cbcbc973c	d------	[07:20 30/10/2015]
C:\Windows\WinSxS\x86_microsoft-windows-commonlogservicesapi_31bf3856ad364e35_10.0.10586.0_none_9f1c233671d0f118	d------	[07:18 30/10/2015]

-= EOF =-