Hallo,

Ich habe Windows 7 Ultimate und bin als Administrator dort angemeldet.
ich habe scheinbar schon seit längeren mein System infiziert.
Angefangen hat es damit:

- Ich wurde manchmal automatisch ausgeloggt, im Benutzerkonto-Einwahlmenü erschien dann misteriöserweise ein anderes Konto mit dem Namen: "ASP.NET"
Ich habe dies jedoch ignoriert und mich wieder bei meinem Konto angemeldet.
Heute hat sich mein PC gleich mehrfach ausgeloggt, ich habe mich aber gleich immer wieder bei meinem Konto angemeldet. Das Wiederholte sich immer öfter bis ich schließlich folgende Meldung bekam (.txt file):

Code: Alles auswählenAufklappen

ATTFilter

YOUR FILES WERE ENCRYPTED.
TO DECRYPT FILES, PLEASE, CONTACT US WRITING ON THIS EMAIL: headlessbuild@india.com 
YOUR PERSONAL ID: b341f8dcc9de3ed4c10d0dc5ee35fa2b
         

Gleich daraufhin habe ich festgestellt, dass meine Festplatte "zu arbeiten" anfing und bereits einige Dokumente auf meinen Desktop umbenannt wurden mit der Endung: .braincrypt
Z.B. eine Date wurde von foto.jpg umgewandelt auf foto.jpg.braincrypt und ließ sich danach nicht mehr öffnen.

Ich hab danach sofort den Netzwerkstecker gezogen und den Computer heruntergefahren.
Ich habe Win7 Ultimate auch noch auf einer anderen Partition installiert und bin jetzt von da aus eingeloggt-diese Partition scheint nicht infiziert zu sein.

Hat jemand eine Idee was ich jetzt machen soll um den Virus loszuwerden? Ich vermute dass das System immer mehr und mehr verschlüsselt wird sobald ich mich auf der infizierten Partition einlogge.
Vielen Dank.

Hi,
schau mal hier:
https://id-ransomware.malwarehuntert...php?lang=de_DE

Hallo,

vielen Dank für deinen Tipp.

Ich habe probiert ein vom Virus verschlüsseltes File hochzuladen, leider ohne Erfolg:

Zitat:

Kann Ransomware nicht bestimmen.
Bitte versichere, dass du eine Lösegeldforderung und eine verschlüsselte Datei von der selben Infektion hochlädst.

Dies kann passieren, falls das eine neue Ransomware ist oder eine ist, die zurzeit nicht automatisch identifiziert werden kann.

Du kannst ein neues Thema in den Ransomware Tech Support and Help-Foren auf BleepingComputer für weiterführende Unterstützung und Analyse erstellen.

Bitte erwähne diese Fall-SHA1: 60fbcc52b7cc495cfdcf19b8cd8566953e7cb469

Ich habe außerdem die Suchmaschine angeworfen um mehr über meinen Virus herauszufinden und ich glaube dass mein Virus ziemlich neu ist, ich habe absolut nichts darüber gefunden.

Ich hatte Glück dass ich den PC gleich ausgeschalten habe, wodurch nur ein paar files von meinem Administratorkonto und vom Desktop verschlüsselt wurden.

Ansonsten ist mir noch etwas merkwürdiges aufgefallen:
Da ich ja jetzt über mein zweites nicht infiziertes System angemeldet bin, habe ich mal den Desktop des infizierten Systems durchsucht und merkwürdige Dateien gefunden welche kurz nach dem "Virenbefall" erstellt wurden (siehe Bild Anhang). Die Virus-Meldung dass meine Files jetzt verschlüsselt sind wurde ungefähr ‎am 19. ‎Dezember ‎2016, ‏‎18:42:24 ausgelöst. Man beachte aber die Files mit der Endung .brain bzw. .braincrypt. Was sind das für files? Haben die vielleicht etwas mit dem Virus zu tun?

Vielen Dank

Mein Name ist Jürgen und ich werde Dir bei Deinem Problem behilflich sein. Zusammen schaffen wir das...

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lies die Anleitungen sorgfältig durch bevor Du beginnst. Wenn es Probleme gibt oder Du etwas nicht verstehst, dann stoppe mit Deiner Ausführung und beschreibe mir das Problem.
• Führe bitte nur Scans durch, zu denen Du von mir aufgefordert wurdest.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software, außer Du wurdest dazu aufgefordert.
• Speichere alle unsere Tools auf dem Desktop ab. Link: So ladet Ihr unsere Tools richtig
• Poste die Logfiles direkt in Deinen Thread in Code-Tags.
• Bedenke, dass wir hier alle während unserer Freizeit tätig sind, wenn du innerhalb von 24 Stunden nichts von mir liest, dann schreibe mir bitte eine PM.

Hinweis:
Ich kann Dir niemals eine Garantie geben, dass wir alle schädlichen Dateien finden werden.
Eine Formatierung ist meist der schnellere und immer der sicherste Weg, aber auch nur bei wirklicher Malware empfehlenswert.
Adware & Co. können wir sehr gut entfernen.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis Du mein clean bekommst.

Los geht's:

Schritt 1


Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Lesestoff
Posten in CODE-Tags: So gehts...
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert uns massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu groß für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Hallo Jürgen!

Vielen Dank für deine Hilfsbereitschaft. Echt toll dass es solche Leute wie Dich gibt

Soll ich Farbar's Recovery Scan Tool im infizierten oder nicht-infizierten System ausführen?

Wie gesagt, ich habe auf meiner Festplatte mehrere Partitionen und 2xWin7 installiert (momentan bin ich in der "virenfreien" Partition angemeldet.)

Hier sind meine zwei Logfiles von der virenfreien Partition. (Das chinesische Zeugs ist kein Virus, ich hab beruflich mit China zu tun). Vielen Dank schonmal im vorraus

Auf dem PC ist sowieso gecrackte Software. Die muss vor jeder weiteren Hilfe runter.
Zudem brauche ich Logs von der infizierten Installation.