Windows Verschlüsselungstrojaner
 

Hallo, ich bin zum ersten Mal hier.Habt bitte Nachsicht mit mir, wenn ich etwas falsch mache oder irgendwas nicht so schnell begreife.:stirn:
Ich sitze jetzt am Laptop eines Bekannten, der in einer Mail drauf Aufmerksam gemacht wurde, dass er ein Laptop, ich glaube bei Mediastore o.ä., gekauft hätte und das Geld dafür von seinem Konto abgebucht werden würde. Laut seinen Aussagen hat er keinen Link angeklickt sondern nur die Website von mediastore angeschaut. Dann ging der Rechner aus und beim nächsten Hochfahren kam die Meldung dass er den Windows Verschlüsselungstrojaner hat. ... Paysafe, ... Ukash... usw. Es war alles "gelockt". Beide Partitionen sämtliche Dateien auch die Beispielbilder u.Beispielmusik usw. Über einen anderen Rechner habe ich die Beispielbilder genommen u. zusammen mit dem verschlüsselten Beispielbild mit Decrypthelper einen decrypt.key erstellt, mit dem ich alle Dateien u. Ordner wieder entschlüsseln konnte. Vielen Dank dafür:bussi: Der Rechner war nicht gesichert, das Antivirenprogramm war nicht aktuell, sämtliche Updates wurden nicht gemacht, nicht aktueller Browser, keine Firewall u.u.u.
Mit Hilfe vom genialen Trojaner Board habe ich die Malware wieder wegbekommen und kann den Rechner wieder normal starten. Toll, dass es solche Leute wie euch gibt, die ihre Freizeit dazu nutzen die Fehler anderer wieder auszubügeln.
Nach dem Virenscan mit Avira wurden 13 Viren gefunden. Bericht:
Beginne mit der Suche in 'C:\'
C:\Users\user\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23\59c87217-7f31a0c1
[0] Archivtyp: ZIP
--> a/b.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/11-3544.CG.2
--> a/a.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/11-3544.ET.1
--> a/J.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/11-3544.ER.1
--> a/p.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Ternub.Gen
C:\Users\user\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3\2eace7c3-2b48118f
[0] Archivtyp: ZIP
--> a6a7a760c0e
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Mesdeh.D
--> a.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0094.F.8
--> aa79d1019d8.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/C-2008-5353.VN
--> a4cb9b1a8a5.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Mesdeh.F
--> a66d578f084.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.EZ
--> ab16db71cdc.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.FH
--> ab5601d4848.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/C-2008-5353.VW
--> ae28546890f.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.FJ
--> af439f03798.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.FK
Danach habe ich die Anleitung befolgt und kopiere jetzt die Logfiles in dieses Thema:

hi,
kommst du noch an die mail(s)?
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.

Hi, das ging ja schnell. Die Mail wurde über den Browser bei Freenet abgerufen.
Die Mail ist auch noch vorhanden.
VG

hi, danke.
welche probleme bestehen aktuell noch?
bitte, wie gesagt weitere solche mails, an mich, ebenfalls freunde und bekannte warnen, und ebenfalls dazu anhalten solche mails weiter zu leiten

Hi, aktuell bestehen keine Probleme mehr. Kann ich jetzt die gelockten Dateien vom Rechner löschen?
Freunde u. Bekannte wurden u.a. über Facebook gewarnt.

Vielen Dank nochmal für die schnelle Hilfe!!!

ja.
windows suche
*.locked müsste alles finden. die kannst du dann löschen