Der ESET Scan hat ziemlich lange gedauert. Es entstand eine riesige Textdatei. Beim Versuch zu posten, erscheint der Hinweis, dass es über 1,5 Mio Zeichen sind. Soll ich die Datei gezippt anhängen? Hier sind schonmal die anderen beiden

mbam.txt

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware 
www.malwarebytes.org

Suchlaufdatum: 26.05.2016
Suchlaufzeit: 16:33
Protokolldatei: mbam.txt
Administrator: Ja

Version: 2.2.1.1043
Malware-Datenbank: v2016.05.26.04
Rootkit-Datenbank: v2016.05.20.01
Lizenz: Testversion
Malware-Schutz: Aktiviert
Schutz vor bösartigen Websites: Aktiviert
Selbstschutz: Deaktiviert

Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer: turhan

Suchlauftyp: Bedrohungssuchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 317551
Abgelaufene Zeit: 20 Min., 24 Sek.

Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

Prozesse: 0
(keine bösartigen Elemente erkannt)

Module: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswerte: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Dateien: 0
(keine bösartigen Elemente erkannt)

Physische Sektoren: 0
(keine bösartigen Elemente erkannt)


(end)
         

checkup.txt

Code: Alles auswählenAufklappen

ATTFilter

 Results of screen317's Security Check version 1.009  
 Windows 7 Service Pack 1 x64 (UAC is disabled!)  
 Internet Explorer 11  
``````````````Antivirus/Firewall Check:`````````````` 
 WMI entry may not exist for antivirus; attempting automatic update. 
`````````Anti-malware/Other Utilities Check:````````` 
 Adobe Reader XI  
 Google Chrome (50.0.2661.102) 
 Google Chrome (51.0.2704.63) 
 Google Chrome (SetupMetrics.pma..) 
````````Process Check: objlist.exe by Laurent````````  
 Malwarebytes Anti-Malware mbamservice.exe  
 Malwarebytes Anti-Malware mbam.exe  
 Malwarebytes Anti-Malware mbamscheduler.exe   
 Internet Explorer OnlineCmdLineScanner.exe -?-   
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C:  
````````````````````End of Log``````````````````````
         

Verwende bitte für das ESET Log das hier => Pastebin.com - #1 paste tool since 2002!

Log da einfügen und hier verlinken

Klappt leider nicht. Es erscheint der Hinweis, dass ich die erlaubte Größe von 0.5 Megabytes überschreite

Dann probier bitte https://nopaste.me/

https://nopaste.me/view/cc7acad4

ESET hat da tausende Male nur diese Recovery-Hinweise vom Erpresser gefunden => !Recovery_C7141F53D056.txt

okay, was bedeutet das jetzt konkret? Kann ich diesen Erpresser loswerden und dabei Daten retten oder einfach nur ?

Die Schädlinge sind weg. Es gibt aber noch eine theroretische Chance die Daten wiederbekommen, musst du ausprobieren ob das auch wirklich klappt: (Baustein geklaut von Curie )

Vorgängerversionen

• Rechtsklicke eine verschlüsselte Datei und klicke auf Einstellungen
• Klicke Vorgängerversionen.
• Dieser Tab listet alle Kopien der gewählten Datei und wann sie gesichert wurde.
• Um eine bestimmte Version der Datei wiederherzustellen, klick Kopiere und wähle einen Ordner, in dem die Datei gespeichert werden soll.
• Falls Du die existierende Datei mit der Version ersetzen willst, klicke Wiederherstellen
• Falls Du den Inhalt der Datei vorher prüfen möchtest, klicke Öffnen

ShadowExplorer

• Bitte lade die Datei ShadowExplorer runter und speichere sie auf Deinem Desktop.
• Rechtsklicke ShadowExplorer-0.9-portable.zip und klicke Alle Extrahieren. Wähle den Desktop und klicke Extrahieren
• Rechtsklicke ShadowExplorer.exe und wähle Als Administrator ausführen.
• Du wirst ein Drop-Down-Menü sehen, das Dir die Schattenkopien aller Partitionen und Laufwerke zeigt.
• Klicke C:\ im Menü.
• Wähle rechts ein Datum vor der Infektion aus.
• Um einen ganzen Ordner wiederherzustellen, klicke mit der rechten Maustaste auf den Ordner und klicke Export. Du wirst dann danach gefragt, wohin die wiederhergestellten Dateien gespeichert werden sollen.
  

Datenwiederherstellungssoftware
Datenwiederherstellungssoftware kann in der Lage sein die Originaldateien wiederherzustellen, welche von der Ransomware gelöscht wurden. Ich empfehle eines der folgenden Programme zu verwenden.

• R-Studio
• Photorec
• Recuva

Hi. Super, dass die Schädlinge weg sind. Danke nochmals. Aber ob es mit der Rettung der Dateien klappen wird, weiß ich nicht.

Es erscheint die Meldung, dass es keine Vorgängerversionen gibt

ShadowExplorer funktioniert irgendwie nicht. Das Drop-Down-Menü ist komplett leer

Die Demo-Version von R-Studio habe ich ausprobiert. Ich bekam den Hinweis, dass es sich um eine CRYPT-Datei handelt und nicht geöffnet werden kann

Recuva hat 15 Stunden lang gescannt und nichts gefunden

Nun bin ich bei Photorec. Der scannt auch schon ne ganze Weile und lässt den PC ziemlich viele Laute von sich geben. Mal schauen, ob es klappen wird

Zitat:

Zitat von turhan

ShadowExplorer funktioniert irgendwie nicht. Das Drop-Down-Menü ist komplett leer

Das ist eine falsche Schlussfolgerung. Der Shadow Explorer funktioniert einwandfrei, aber wenn keine Schattenkopien da sind, kann er auch nix auflisten. Der Schädling hat deine Schattenkopien gelöscht.