Russischer Verschlüsselungstrojaner

kupferdach · 12.04.2017, 01:00

Danke üfr den Tip mit avira, das werde ich gleich runterschmeissen.
Ist es von Deiner Seite ok, wenn wir morgen weitermachen, ich habe Bereitschaft und vorher keine Zeit mehr die Datensicherung durch zu führen

So die Daten der Benutzer sind gesichert und Avira ist deinstalliert.

cosinus · 12.04.2017, 07:18

[B]FRST-Fix

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

ATTFilter

GroupPolicyUsers\S-1-5-21-2778323970-3418293088-4074538823-1006\User: Beschränkung <======= ACHTUNG
GroupPolicyUsers\S-1-5-21-2778323970-3418293088-4074538823-1005\User: Beschränkung <======= ACHTUNG
GroupPolicyUsers\S-1-5-21-2778323970-3418293088-4074538823-1004\User: Beschränkung <======= ACHTUNG
GroupPolicyUsers\S-1-5-21-2778323970-3418293088-4074538823-1001\User: Beschränkung <======= ACHTUNG
HKU\S-1-5-21-2778323970-3418293088-4074538823-1001\...\Run: [bcdsRCNV] => C:\Users\Wolfgang\AppData\Roaming\Microsoft\Certoml2\AppxrAPI.exe [508416 2017-04-04] (iMobie Inc.)
HKU\S-1-5-21-2778323970-3418293088-4074538823-1001\...\Run: [Client Server Runtime Subsystem] => C:\ProgramData\Windows\csrss.exe [1021500 2017-04-04] ()
C:\ProgramData\Windows\csrss.exe
C:\Users\Wolfgang\AppData\Roaming\Microsoft\Certoml2
C:\Users\Wolfgang\AppData\Roaming\ZF9lYlJZXFxfXgxx
cmd: dir /oge-d "C:\Users\Wolfgang\AppData\Roaming"
cmd: dir /oge-d "C:\Users\Wolfgang\AppData\Roaming\Microsoft"
cmd: dir /oge-d "%PROGRAMDATA%"
cmd: dir /oge-d "%PROGRAMDATA%\Windows"
emptytemp:

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

Starte nun FRST erneut und klicke den Entfernen Button.
Das Tool erstellt eine Fixlog.txt.
Poste mir deren Inhalt.

kupferdach · 13.04.2017, 08:50

Code:

ATTFilter

Entferungsergebnis von Farbar Recovery Scan Tool (x64) Version: 15-03-2017
durchgeführt von Admin (13-04-2017 09:41:39) Run:1
Gestartet von C:\Users\Admin\Desktop
Geladene Profile: Wolfgang & Anika & Annette & Admin & Eggartskirch & Gast (Verfügbare Profile: Wolfgang & Anika & Annette & Admin & Eggartskirch & Gast)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
GroupPolicyUsers\S-1-5-21-2778323970-3418293088-4074538823-1006\User: Beschränkung <======= ACHTUNG
GroupPolicyUsers\S-1-5-21-2778323970-3418293088-4074538823-1005\User: Beschränkung <======= ACHTUNG
GroupPolicyUsers\S-1-5-21-2778323970-3418293088-4074538823-1004\User: Beschränkung <======= ACHTUNG
GroupPolicyUsers\S-1-5-21-2778323970-3418293088-4074538823-1001\User: Beschränkung <======= ACHTUNG
HKU\S-1-5-21-2778323970-3418293088-4074538823-1001\...\Run: [bcdsRCNV] => C:\Users\Wolfgang\AppData\Roaming\Microsoft\Certoml2\AppxrAPI.exe [508416 2017-04-04] (iMobie Inc.)
HKU\S-1-5-21-2778323970-3418293088-4074538823-1001\...\Run: [Client Server Runtime Subsystem] => C:\ProgramData\Windows\csrss.exe [1021500 2017-04-04] ()
C:\ProgramData\Windows\csrss.exe
C:\Users\Wolfgang\AppData\Roaming\Microsoft\Certoml2
C:\Users\Wolfgang\AppData\Roaming\ZF9lYlJZXFxfXgxx
cmd: dir /oge-d "C:\Users\Wolfgang\AppData\Roaming"
cmd: dir /oge-d "C:\Users\Wolfgang\AppData\Roaming\Microsoft"
cmd: dir /oge-d "%PROGRAMDATA%"
cmd: dir /oge-d "%PROGRAMDATA%\Windows"
emptytemp:
         
*****************

C:\WINDOWS\system32\GroupPolicyUsers\S-1-5-21-2778323970-3418293088-4074538823-1006\User => erfolgreich verschoben
C:\WINDOWS\system32\GroupPolicyUsers\S-1-5-21-2778323970-3418293088-4074538823-1005\User => erfolgreich verschoben
C:\WINDOWS\system32\GroupPolicyUsers\S-1-5-21-2778323970-3418293088-4074538823-1004\User => erfolgreich verschoben
C:\WINDOWS\system32\GroupPolicyUsers\S-1-5-21-2778323970-3418293088-4074538823-1001\User => erfolgreich verschoben
HKU\S-1-5-21-2778323970-3418293088-4074538823-1001\Software\Microsoft\Windows\CurrentVersion\Run\\bcdsRCNV => Wert nicht gefunden.
HKU\S-1-5-21-2778323970-3418293088-4074538823-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Client Server Runtime Subsystem => Wert nicht gefunden.
"C:\ProgramData\Windows\csrss.exe" => nicht gefunden.
C:\Users\Wolfgang\AppData\Roaming\Microsoft\Certoml2 => erfolgreich verschoben
C:\Users\Wolfgang\AppData\Roaming\ZF9lYlJZXFxfXgxx => erfolgreich verschoben

========= dir /oge-d "C:\Users\Wolfgang\AppData\Roaming" =========

 Datentr„ger in Laufwerk C: ist Windows
 Volumeseriennummer: B2DE-2B48

 Verzeichnis von C:\Users\Wolfgang\AppData\Roaming

13.04.2017  09:41    <DIR>          ..
13.04.2017  09:41    <DIR>          .
04.04.2017  18:39    <DIR>          Skype
23.08.2016  18:34    <DIR>          Apple Computer
03.07.2016  23:34    <DIR>          ArcSoft
19.01.2016  06:45    <DIR>          ATI
17.01.2016  17:32    <DIR>          Mozilla
04.10.2015  16:35    <DIR>          Adobe
29.09.2015  16:27    <DIR>          Epson
01.04.2015  10:41    <DIR>          Avira
20.03.2015  12:17    <DIR>          Identities
15.11.2014  17:41    <DIR>          Klett
24.10.2014  16:29    <DIR>          Phase6
13.09.2014  16:00    <DIR>          Macromedia
10.04.2017  21:36         3.781.321 cached-microdescs
               1 Datei(en),      3.781.321 Bytes
              14 Verzeichnis(se), 304.682.803.200 Bytes frei

========= Ende von CMD: =========


========= dir /oge-d "C:\Users\Wolfgang\AppData\Roaming\Microsoft" =========

 Datentr„ger in Laufwerk C: ist Windows
 Volumeseriennummer: B2DE-2B48

 Verzeichnis von C:\Users\Wolfgang\AppData\Roaming\Microsoft

10.04.2017  15:00    <DIR>          {00AE4259-5FC9-3207-E934-03862DA8E71A}
09.04.2017  18:16    <DIR>          Templates
06.04.2017  12:43    <DIR>          UProof
04.04.2017  20:07    <DIR>          Word
04.04.2017  18:39    <DIR>          Excel
22.01.2017  23:12    <DIR>          Office
09.10.2016  11:55    <DIR>          Windows
09.10.2016  11:24    <DIR>          Internet Explorer
09.10.2016  11:24    <DIR>          Crypto
09.10.2016  11:24    <DIR>          SystemCertificates
09.10.2016  11:24    <DIR>          Network
09.10.2016  10:59    <DIR>          Protect
31.08.2015  14:00    <DIR>          MMC
18.02.2015  17:34    <DIR>          Speech
09.01.2015  11:53    <DIR>          QuickStyles
15.11.2014  11:50    <DIR>          Spelling
16.10.2014  09:46    <DIR>          Proof
16.10.2014  09:46    <DIR>          Document Building Blocks
16.10.2014  09:46    <DIR>          AddIns
16.10.2014  09:46    <DIR>          Bibliography
12.09.2014  11:36    <DIR>          Vault
12.09.2014  11:36    <DIR>          InputMethod
               0 Datei(en),              0 Bytes
              22 Verzeichnis(se), 304.682.803.200 Bytes frei

========= Ende von CMD: =========


========= dir /oge-d "%PROGRAMDATA%" =========

 Datentr„ger in Laufwerk C: ist Windows
 Volumeseriennummer: B2DE-2B48

 Verzeichnis von C:\ProgramData

13.04.2017  09:36    <DIR>          Package Cache
13.04.2017  09:36    <DIR>          Avira
10.04.2017  16:04    <DIR>          AMD
10.04.2017  15:31    <DIR>          Adobe
04.04.2017  20:00    <DIR>          hps
04.04.2017  19:59    <DIR>          Ulead Systems
04.04.2017  18:56    <DIR>          Phase6
19.03.2017  21:41    <DIR>          tmp
17.12.2016  10:03    <DIR>          Microsoft Help
09.10.2016  11:57    <DIR>          Microsoft OneDrive
09.10.2016  11:54    <DIR>          USOPrivate
09.10.2016  11:54    <DIR>          USOShared
16.07.2016  13:47    <DIR>          SoftwareDistribution
16.07.2016  13:47    <DIR>          Comms
04.06.2016  10:09    <DIR>          Apple Computer
04.06.2016  09:59    <DIR>          Apple
19.01.2016  20:38    <DIR>          EPSON
02.11.2015  19:48    <DIR>          Skype
30.09.2014  09:31    <DIR>          Ashampoo
13.09.2014  18:42    <DIR>          UDL
12.09.2014  11:36    <DIR>          Norton
20.05.2014  12:10    <DIR>          Microsoft SkyDrive
20.05.2014  12:06    <DIR>          NortonInstaller
09.10.2016  11:14    <DIR>          regid.1991-06.com.microsoft
               0 Datei(en),              0 Bytes
              24 Verzeichnis(se), 304.682.795.008 Bytes frei

========= Ende von CMD: =========


========= dir /oge-d "%PROGRAMDATA%\Windows" =========

 Datentr„ger in Laufwerk C: ist Windows
 Volumeseriennummer: B2DE-2B48

 Verzeichnis von C:\ProgramData\Windows

Datei nicht gefunden

========= Ende von CMD: =========


=========== EmptyTemp: ==========

BITS transfer queue => 1933348 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 14133698 B
Java, Flash, Steam htmlcache => 1177 B
Windows/system/drivers => 127371453 B
Edge => 25241549 B
Chrome => 13929190 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 6656 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 128 B
LocalService => 28795068 B
NetworkService => 15096 B
Wolfgang => 157938307 B
Anika => 149532083 B
Annette => 61077121 B
Admin => 363509072 B
Eggartskirch => 368901545 B
Gast => 33122 B

RecycleBin => 65599762 B
EmptyTemp: => 1.3 GB temporäre Dateien entfernt.

================================


Das System musste neu gestartet werden.

==== Ende von Fixlog 09:44:19 ====

cosinus · 13.04.2017, 14:30

Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte

Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Starte bitte die mbar.exe.
Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
Klicke auf den CleanUp Button und erlaube den Neustart.
Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut.
Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

kupferdach · 13.04.2017, 18:49

Code:

ATTFilter

Malwarebytes Anti-Rootkit BETA 1.9.3.1001
www.malwarebytes.org

Database version:
  main:    v2017.04.13.05
  rootkit: v2017.04.02.01

Windows 10 x64 NTFS
Internet Explorer 11.953.14393.0
Admin :: BÜRO-LINKS [administrator]

13.04.2017 17:43:11
mbar-log-2017-04-13 (17-43-11).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled: 
Objects scanned: 474256
Time elapsed: 57 minute(s), 38 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 1
C:\$Recycle.Bin\S-1-5-21-2778323970-3418293088-4074538823-1001\$RUK3JJ9.exe (Trojan.Injector) -> Delete on reboot. [b0e9e709c5e3c076141020601de4ef11]

Physical Sectors Detected: 0
(No malicious items detected)

(end)

cosinus · 13.04.2017, 20:53

Adware/Junkware/Toolbars entfernen

Alte Versionen von adwCleaner und falls vorhanden JRT vorher löschen, danach neu runterladen auf den Desktop!
Virenscanner jetzt vor dem Einsatz dieser Tools bitte komplett deaktivieren!

1. Schritt: adwCleaner

Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Wir haben leider noch ne ältere Anleitung vom adwCleaner, bitte nochmal ausführen und so einstellen:

2. Schritt: JRT - Junkware Removal Tool

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
Drücke eine beliebige Taste, um das Tool zu starten.
Je nach System kann der Scan eine Weile dauern.
Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

kupferdach · 14.04.2017, 03:01

[CODEAdwCleaner Logfile:

Code:

ATTFilter

# AdwCleaner v6.045 - Bericht erstellt am 14/04/2017 um 03:50:58
# Aktualisiert am 28/03/2017 von Malwarebytes
# Datenbank : 2017-04-13.1 [Lokal]
# Betriebssystem : Windows 10 Home  (X64)
# Benutzername : Admin - BÜRO-LINKS
# Gestartet von : C:\Users\Admin\Desktop\AdwCleaner_6.045.exe
# Modus: Suchlauf
# Unterstützung : https://www.malwarebytes.com/support



***** [ Dienste ] *****

Keine schädlichen Dienste gefunden.


***** [ Ordner ] *****

Keine schädlichen Ordner gefunden.


***** [ Dateien ] *****

Keine schädlichen Dateien gefunden.


***** [ DLL ] *****

Keine infizierten DLLs gefunden.


***** [ WMI ] *****

Keine schädlichen Schlüssel gefunden.


***** [ Verknüpfungen ] *****

Keine infizierten Verknüpfungen gefunden.


***** [ Aufgabenplanung ] *****

Keine schädlichen Aufgaben gefunden.


***** [ Registrierungsdatenbank ] *****

Keine schädlichen Elemente in der Registrierungsdatenbank gefunden.


***** [ Internetbrowser ] *****

Keine schädlichen Elemente in Firefox basierten Browsern gefunden.
Keine schädlichen Elemente in Chrome basierten Browsern gefunden.

*************************

C:\AdwCleaner\AdwCleaner[C0].txt - [6275 Bytes] - [14/04/2017 00:08:58]
C:\AdwCleaner\AdwCleaner[S0].txt - [5881 Bytes] - [14/04/2017 00:06:27]
C:\AdwCleaner\AdwCleaner[S1].txt - [1335 Bytes] - [14/04/2017 03:50:58]

########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [1408 Bytes] ##########

--- --- ---
][/CODE]

Code:

ATTFilter

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 8.1.3 (04.10.2017)
Operating System: Windows 10 Home x64 
Ran by Admin (Administrator) on 14.04.2017 at  3:54:18,28
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




File System: 0 




Registry: 7 

Successfully deleted: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{fe6f06fb-0fc0-4499-828f-ee48088f504f} (Registry Value) 
Successfully deleted: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9FB76076-0B46-4329-9C1D-42A4945D8128} (Registry Key)
Successfully deleted: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0214754e-4e7d-4589-829d-e2523e6a3085} (Registry Key)
Successfully deleted: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{65f159fb-5f5e-46f4-b45d-ccfa236d2073} (Registry Key)
Successfully deleted: HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0214754e-4e7d-4589-829d-e2523e6a3085} (Registry Key)
Successfully deleted: HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{65f159fb-5f5e-46f4-b45d-ccfa236d2073} (Registry Key)
Successfully deleted: HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Toolbar\\{fe6f06fb-0fc0-4499-828f-ee48088f504f} (Registry Value) 




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 14.04.2017 at  4:00:37,17
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

cosinus · 14.04.2017, 13:20

Gut, du solltest wieder ins betroffene Userkonto kommen - ohne Krypto-Trojaner. Die Dateien bleiben natürlich verschlüsselt.

kupferdach · 14.04.2017, 13:30

Viiiiiiiiiiiiiiiiiiiiielebn Dank, es klappt!

Nur noch das Hintergrundbild musste geändert werden.

Sollte es Dich mal in die Gegend Bodensee/ Allgäu verschlagen, dann betrachte Dich zum grillen eingeladen.

Herzlichen Dank auch von meinem Kumpel der jetzt wieder an seinen PC kann.

kupferdach

cosinus · 14.04.2017, 14:28

Gut, ich würde noch Nachkontrollen gerne machen. Dazu bitte jetzt dem User, der betroffenen war, kurz mal zum Admin machen. Jetzt ist das ja gefahrlos möglich. Und ein Backup haste ja auch noch.

Bodensee/Allgäu ist leider fürchterlich weit weg

wohne im hohen Norden...

kupferdach · 15.04.2017, 22:23

Oha ich sehe jetzt erst dass da noch eine Anweisung kam.
Der PC ist schon weg aber morgen bin ich da bei Besuch und mache das.

cosinus · 15.04.2017, 23:54

Gut, dann gib diesem User Wolgfang Adminrechte und mach neue FRST-Logs. Dann seh ich auch Einträge aus diesem Userprofil richtig.

14.04.2017, 13:20	#23
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Russischer Verschlüsselungstrojaner Gut, du solltest wieder ins betroffene Userkonto kommen - ohne Krypto-Trojaner. Die Dateien bleiben natürlich verschlüsselt. __________________ Logfiles bitte immer in CODE-Tags posten

14.04.2017, 14:28	#25
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Russischer Verschlüsselungstrojaner Gut, ich würde noch Nachkontrollen gerne machen. Dazu bitte jetzt dem User, der betroffenen war, kurz mal zum Admin machen. Jetzt ist das ja gefahrlos möglich. Und ein Backup haste ja auch noch. Bodensee/Allgäu ist leider fürchterlich weit weg wohne im hohen Norden... __________________ Logfiles bitte immer in CODE-Tags posten

15.04.2017, 23:54	#27
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Russischer Verschlüsselungstrojaner Gut, dann gib diesem User Wolgfang Adminrechte und mach neue FRST-Logs. Dann seh ich auch Einträge aus diesem Userprofil richtig. __________________ Logfiles bitte immer in CODE-Tags posten

Russischer Verschlüsselungstrojaner

Log-Analyse und Auswertung: Russischer Verschlüsselungstrojaner