Hallo,
es sind alle internen Festplatten und 1 externe betroffen.
Es ist aber anscheinend meist nur die oberste Ordner-Ebene der Festplatte betroffen, also der erste Ordner und die darin enthaltenen Ordner und Dateien.
Dort befndet sich auch dann ein txt-file mit dem Hinweis Tor zu installieren und dort zu zahlen.

3 dieser txt-Hinweise habe ich gelöscht um auszuprobieren ob man die löschen kann.
Wiederherstellen wäre über den Papierkorb möglich.

Der betroffene Rechner ist aktuell vom Netz getrennt.
OS Win8.1

Ein Wiederhestellungspunkt von gestern, dem 15.2. für die Systemplatte C ist vorhanden.
Für die anderen Platten nicht.

Gruß Ralf

Der Virenscanner hatte verdächtige Dateien angezeigt, die dann gelöscht wurden

Wir können hier Schadsoftware entfernen. Verschlüsselte Dateien/Ordner wiederherstellen ist nicht möglich.

Was genau für eine Hilfe möchtest/erwartest du?
Ich frage das, weil du etwas von einem Wiederherstellungspunkt geschrieben hast.

Zitat:

Der Virenscanner hatte verdächtige Dateien angezeigt, die dann gelöscht wurden

Genauere Informationen hierzu (Unter welchem Pfad wurde welche Schadsoftware wann genau gefunden?) wären hilfreich.

Was wird wahrscheinlich passieren wenn ich den Wiederherstellungspunkt ausführen lasse?
Ist dann meine Systemplatte eventuell wieder ok? Bis auf ein paar gesperrte Files in den Eigenen Dateien?
Aktuell sind auch alle Firefox und Thunderbird Einstellungen weg.

Was Defender gefunden und gelöscht hat kann ich nicht mehr feststellen.
Direkt danach tauchten die txt-Files und die verschlüsselten Dateien auf.

Was ist mit den Decryptern af Emsisoft?
Da sind ja verschiedene. Ich wüsste nur nicht welchen ich auswählen sollte.
https://decrypter.emsisoft.com/

Ist bei diesem Schädling auch so was wie ein Virus auf dem PC?
Oder werden die Dateien aus dem Netz verschlüsselt?
Aber anscheinend sind da schon irgendwelche exe-Dateien platziert.

Kann ich nicht infizierte/verschlüsselte Dateien sichern? Es sind ja nicht alle verschlüsselt.
Oder arbeitet das Virus weiter und verschlüsselt weitere Dateien?

Zitat:

Zitat von paulmueck

Was wird wahrscheinlich passieren wenn ich den Wiederherstellungspunkt ausführen lasse?
Ist dann meine Systemplatte eventuell wieder ok? Bis auf ein paar gesperrte Files in den Eigenen Dateien?

Kann ich dir nicht sagen. Die Malware könnte weg sein, aber auch nicht.

Zitat:

Zitat von paulmueck

Was ist mit den Decryptern af Emsisoft?
Da sind ja verschiedene. Ich wüsste nur nicht welchen ich auswählen sollte.
https://decrypter.emsisoft.com/

Hilft nichts... laut diesem Artikel gibt es keinen Decrypter.

Zitat:

Zitat von paulmueck

Ist bei diesem Schädling auch so was wie ein Virus auf dem PC?
Oder werden die Dateien aus dem Netz verschlüsselt?
Aber anscheinend sind da schon irgendwelche exe-Dateien platziert.

Ich habe keine weitere Malware in dem FRST Logfile gesehen.
Sie werden nicht vom Netz verschlüsselt, sonern von Malware, die lokal auf deinem PC läuft.

Zitat:

Zitat von paulmueck

Kann ich nicht infizierte/verschlüsselte Dateien sichern? Es sind ja nicht alle verschlüsselt.
Oder arbeitet das Virus weiter und verschlüsselt weitere Dateien?

Klar kannst du Dateien sichern... Die Malware könnte sich erneut starten...

Du solltest sagen, was du tun möchtest... Systemwiederhstellung laufen lassen oder Rechner bereinigen....

Ok. Danke für Deine Antworten.

Zitat:

Hilft nichts... laut diesem Artikel gibt es keinen Decrypter.

Dann wird es wohl auch nichts nützen im Emsisoft Forum anzufragen ...

Ich schildere nochmal kurz die Situation mit der bitte um Deinen Rat:
SSD:C mit Windows und meine Partion :I (Bootpartion 350MB) sind betroffen.
Die Ordner mit betroffenen/verschlüsselten Dateien erkennt man im ersten Moment an dem Textfile GDCB-DECRYPT.txt.
Auf C: sind hauptsächlich die Ordner Benutzer>Benutzername>Appdata>Roaming und Local betroffen. Eben da wo Email und Browser Daten sind.
Im eigentlichen Windows-Ordner auf C: ist nichts zu erkennen.

Bei den restlichen 5 Platten/Partionen und der externen Festplatte sind ebenfalls nur die ersten Ordner betroffen.
Das sind alles Daten. Von einigen habe ich Sicherungen.
Mit Dateien von Native Instruments (nki, ncw, ...) konnte der Schädling anscheinend nichts anfangen. Da ist nichts von GDCB zu sehen.
Einiges ist verloren, aber insgesamt anscheinend nur ein kleiner Teil.

Zitat:

Ich habe keine weitere Malware in dem FRST Logfile gesehen.
Sie werden nicht vom Netz verschlüsselt, sonern von Malware, die lokal auf deinem PC läuft.

Das heißt Du würdest/könntest weiter nach der Malware suchen?
Daß das die Dateien nicht entschlüsselt ist mir klar.

Mindestens eine verdächtige Datei ist in der FRST.txt ja vorhanden:

Zitat:

HKU\S-1-5-21-1841176941-2286993146-1741802375-1001\...\RunOnce: [gnajytzgwfz] => C:\Users\Paul\AppData\Local\Temp\Low\b4.exe [313344 2018-02-16] () <==== ACHTUNG
Startup: C:\Users\Paul\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DefenderUpdate.lnk.GDCB [2018-02-16]
Startup: C:\Users\Paul\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\GDCB-DECRYPT.txt [2018-02-16] ()

Zitat:

Dateien, die verschoben oder gelöscht werden sollten:
====================
C:\Users\Paul\AppData\Local\Temp\Low\b4.exe

Einmal hatte ich den PC neu gestartet und da hat sich auch diese b4.exe gemeldet, wurde aber von Windows geblockt: wollen Sie zulassen, daß .... Ja - Nein.

Kann man davon ausgehen, daß sich die Malware auf den Partionen C: bzw I: befindet?
Dann könnte ich ja die Platten mit Daten erst mal abhängen.

Man weiß nicht, ob die Systemwiederherstellung funktionieren würde.
Wenn was zum Retten interessant wäre, dann sind das die Daten von Thunderbird und Firefox.

Was würdest Du tun?
Erstmal Malware suchen?
Das wird aber zuerst mal die Profile-Files in Appdata/Roaming von Firefox und Email nicht freigeben/retten.

Bitte schrebe was Du denkst.
Ich mache gerne weitere Angaben, wenn nötig.

Gruß Ralf

Servus,

Zitat:

Das heißt Du würdest/könntest weiter nach der Malware suchen?

Ich kann den Verschlüsselungstrojaner für dich entfernen; zudem können wir auf weitere Malware hin den Rechner überprüfen. Das ist mein Angebot.

Zitat:

Kann man davon ausgehen, daß sich die Malware auf den Partionen C: bzw I: befindet?

Die Malware befindet sich auf C:.

Zitat:

Dann könnte ich ja die Platten mit Daten erst mal abhängen.

Klar. Grundsätzlich gilt: Man sollte externe Platten oder andere Laufwerke nie ständig angesteckt lassen (so wie du es anscheinend leider gemacht hast).

Zitat:

Man weiß nicht, ob die Systemwiederherstellung funktionieren würde.
Wenn was zum Retten interessant wäre, dann sind das die Daten von Thunderbird und Firefox.

Was würdest Du tun?
Erstmal Malware suchen?
Das wird aber zuerst mal die Profile-Files in Appdata/Roaming von Firefox und Email nicht freigeben/retten.

Ich würde alle Laufwerke mit privaten Daten nicht länger am PC belassen.
Des Weiteren würde ich eine Systemwiederherstellung vor der Infektion durchführen. Evtl. hilft es ja und die privaten Daten von FF & Co sind wieder da.

Danach können wir mit FRST nochmal einen Suchlauf starten, ob die Malware noch da ist.