Okay, ich muss nochmal abklären, warum FRST bei dir ständig das hier ausgibt, auch als Admin: konnte nicht auf den Prozess zugreifen -> ...

Cosinus ...DANKE erstmal für Deine Hilfe

Also...es scheint an FRST zu liegen. Hab es auch nochmal auf einem Windows 2003 gestartet und bekomm da die gleiche Ausgabe im Log, dass es nicht auf die Prozesse zu greifen kann.

Okay, dann Kontrollscans mit MBAM und ESET bitte:

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hi Cosinus,
Malwarebyte hat nichts gefunden.
Für ESET muss ich den Hoster fragen ob er die FW temporär deaktiviert für mich.
Ich melde mich
Viele Grüsse
Lodda

Vergiss das mit der Firewall, lass die an und probier ESET.
Unsere Bausteine sind nur für Clients ausgelegt die eine nervige Personal Firewall installiert haben... :kaffee:

EST hat was gefunden:

Da hat wohl irgendjmd Sicherheitslücken in den Webanwendungen ausgenutzt. Aber das OS scheint nicht betroffen zu sein.

Wenn du magst kannst noch nen Gegencheck mit EEK machen:

Lade Dir bitte von hier Emsisoft Emergency Kit herunter.

• Bitte installiere das Programm in den vorgegebenen Pfad.
• Starte das Programm durch Doppelklick der Desktopverknüpfung.
• Das EEK ist nach dem Laden der Malwaresignaturen für den Scan bereit.
• Folge nun bitte der bebilderten Bildanleitung zu Emergency Kit, entferne alle Funde und poste am Ende des Scans bzw. der Bereinigung das Log.
  

hab ich gemacht ....nix gefunden :-)

Dann ist das System okay...nur deine Files sind halt verschlüsselt.

Dann wären wir durch! :daumenhoc

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:und/oder das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Abschließend müssen wir noch ein paar Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.

http://deeprybka.trojaner-board.de/b...cleanupneu.png
Cleanup:
(Die Reihenfolge ist hier entscheidend)

Falls Defogger verwendet wurde: Erneut starten und auf Re-enable klicken.

Falls Combofix verwendet wurde:
http://deeprybka.trojaner-board.de/b.../combofix2.pngCombofix deinstallieren

• Wichtig: Bitte Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.
  
• Drücke bitte die http://deeprybka.trojaner-board.de/b...ne/revo/w7.png + R Taste und schreibe Combofix /Uninstall in das Ausführen-Fenster.
• Klicke auf OK.
  Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert.
• Nun die eben deaktivierten Programme wieder aktivieren.

Alle Logs gepostet? Dann lade Dir bitte http://filepony.de/icon/tiny/delfix.pngDelFix herunter.

• Schließe alle offenen Programme.
• Starte die delfix.exe mit einem Doppelklick.
• Setze vor jede Funktion ein Häkchen.
• Klicke auf Start.

Hinweis: DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte Deinen Rechner abschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen.

http://deeprybka.trojaner-board.de/b...ast/schild.png
Absicherung:
Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen:

Browser
Java
Flash-Player
PDF-Reader

Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren.
Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen.

Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.

Verwende ein einziges der folgenden Antivirusprogramme mit Echtzeitscanner und stets aktueller Signaturendatenbank:

	Emsisoft	MSE
	http://filepony.de/icon/emsisoft_anti_malware.png	http://filepony.de/icon/microsoft_se...essentials.png

Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware und ESET scannen.

Optional:
http://filepony.de/icon/ghostery_chrome.pngGhostery Erkennt und blockiert Tracker, Web Bugs, Pixel und Beacons und weitere Scripte, die das Surfverhalten ausspähen/beobachten.
http://filepony.de/icon/malwarebytes_anti_exploit.pngMalwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen.


Lade Software von einem sauberen Portal wie http://filepony.de/images/microbanner.gif.
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner .


Abschließend noch ein paar grundsätzliche Bemerkungen:
Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems.
Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Hi Cosinus,
habe ich gemacht nur bitte zur Warnung für Alle anderen die u.U. einen 2003 Server im Netz haben: Nach dem Restart war der Server nichtmehr erreichbar und der Firewall Dienst wollte nichtmehr starten.
Erst ein Einschalten des Windows eigenen Port-Filtering und ein darauffolgender Neustart bewegte die Firewall wieder dazu zu starten.
Zum Glück habe ich bei meinem Provider einen Konsolenzugang für Notfälle sonst hätte ich wirklich ein Problem gehabt.
Cosinus: Vielen Vielen Dank an Dich für Deine Arbeit und deine Tipps.
Ein klasse Board und ne Spende gibts auch !!
Eine Frage Cosinus, nach was muss ich suchen um mich zu informieren wie der Stand einer Entschlüsselungsmöglichkeit ist?? ...oder kann man das absolut vergessen??
Viele Grüss vom Lodda

Kapier ich nicht ganz, was hast du gemacht dass der nicht mehr erreichbar war? :confused:

Und wie gesagt halte ich das für ne ganz schlechte Idee, Windows-Server direkt im Internet aufzustellen. Ich administriere auch per Fernwartung unsere Windows-Server, die sind aber nur im internen Netz erreichbar (Remotedesktop), aber über SSL-VPN.

Das sieht schlecht aus. Letzes Backup einspielen oder Lösegeld abdrücken. Ohne den Private Key der Erpresser gibt es da nix zu entschlüsseln. :heulen:

...einfach nach Anleitung delfix angewandt. ;-)
Ich vermute: Rücksetzen auf Standards ?!?

Jetzt wird erstma ein vernünftiges Backup gebastelt. Soetwas passiert mir nicht nochmal.

Betreff entschlüsselung: Ich dachte wenn orginal Datei vorhanden ist, gäbe es eine Chance??
Viele Grüsse
Lothar

Bevor ich rumrate: was musste dein Hoster denn machen, damit du wieder Zugriff hattest?

...hab ich doch geschrieben.... mein Hoster musste nichts machen.
Ich habe für Notfälle einen KVM-Konsolenzugang (Display,Maus,Tastatur wird remote direkt weiter geleitet.) So konnte ich mich direkt auf die Konsole einloggen, und den Port Filter aktivieren ...das bewirkt eine neu-initialisierung der Firewall.
Dann den Portfilter wieder deaktiviert ...und Firewall war wieder up and running

Ok, sry nicht geschnallt :blabla:

Weiß nicht. Auf diese Idee sind ja auch schon viele gekommen, aber die letzten Jahre kam da nichts Brauchbares rüber.