|
Verschlüsselungs-Trojaner Hallo, habe heute auch den neuen Verschlüsselungs-Trojaner "erhalten". System (Windows 7 Ultimate) hat sich nur noch im abgesicherten Modus starten lassen. Nach Systemwiederherstellung von gestrigem Datum kann ich zumindest wieder im normalen Modus arbeiten, allerdings sind sämtliche wichtigen (Firmen-)Dateien, Bilder, etc. jetzt verschlüsselt (ohne das locked vor dem Dateinamen) bzw. auch umbenannt. Habe verschiedene Entschlüsselungsprogramme probiert - funktioniert hat keines. Avira Ransom File Unlocker erkennt die verschlüsselten Daten nicht einmal als verschlüsselt, nur unter *.alle Dateien. Auch meine externe Speicherplatte ist davon betroffen. Malewarebytes hat dann folgendes geschrieben: Malwarebytes Anti-Malware (Test) 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.05.22.02 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 8.0.7601.17514 KESA :: KESASERVER [Administrator] Schutz: Aktiviert 22.05.2012 17:42:56 mbam-log-2012-05-22 (17-42-56).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 245484 Laufzeit: 18 Minute(n), 21 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{21C0A98F-F001-9FE8-03B4-DECA30038F61} (Trojan.ZbotR.Gen) -> Daten: C:\Users\KESA\AppData\Roaming\Coryu\kikaha.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Ich lasse Malwarebytes gerade nochmal drüberlaufen, sowie den ESET Online-Scan, der is jetzt folgendes gefunden hat: Bedrohungen erkannt! Win32/Toolbar.WidgiAnwendung Variante von Win32/Injector.RRS Trojaner Kann mir jemand helfen? Danke schon vorab |
Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt? Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind. |
Nein das war das 1. Mal, allerdings hat der ESET Online-Scan einen 2. Win32/Toolbar.WidgiAnwendung gefunden. Ich pack jetzt mal alle Dateien (auch die von meiner EXT Platte - auch befallen) auf mein C-Laufwerk, packe eine neue FP rein, installiere Windows neu und versuch mal mit dem Backup von der EXT Platte (sollte ja angeblich schreibgeschützt sein) drüberzugehen. |
Ok, wenn du neu installieren willst, dann mach das das :) |
Guten Abend, ich gebs auf, kann zwar auf der neuen FP arbeiten, aber gewisse Dateien und Rogramme lassen sich eben mit dem neu aufgesetzten Teil nicht öffnen. Daher ... zurück zum Ursprung, habe eine Backup-Datei vom 18.05. eingespielt, ca. 40% der Dateien laufen jetzt wieder. Allerdings habe ich da noch meine Probleme mit den restlichen 60%. Habe gerade die Kaspersky Rescue Disk mal laufen. Gebe Bescheid wenn der fertig ist, also morgen ... Gute Nacht an alle ebenso Trostlosen, die reingefallen sind !! |
Du musst schon etwas Geduld haben....für die neuen Verschlüsselungsvarianten werden noch Lösungen erarbeitet, siehe Hinweise oben |
Es ist schon wieder was gekommen, aber ESET hats gleich rausgeholt: Vielen Dank für Ihren Auftrag, Sie haben gerade bei der Datingwebseite www.Partner-Suche.com die Premiummitgliedschaft erworben. Der Betrag in Höhe von 454,79 EUR wird in den kommenden Tagen von Ihrem Konto abgetragen. Die Abrechnung erfolgt durch Zegyment Ltd. Sie sind jetzt für die kommenden 6 Monate Premiumklient und können in vollen Umfang die Premiumleistungen nutzen. Entziehen Sie die Vertragsdetails bitte dem Zusatzordner in der E-Mail, dort finden Sie auch die Zahlungsaufforderungen und Premiumdienstvorteile. Falls Sie die Elitemitgliedschaft nicht mehr wollen, mailen Sie die Kündigung, mit der in dem zugefügtem Zip Ordner, beigelegten Stornierungserklärung. Das Team wünscht dir viel Spaß! Mit freundlichen Grüßen Jürgen Peters Serviceteam Hannover 62304 Deutschland TEL: +49-885-38586473 Geschäftsleiter: Brigitte Lang Inhaltlich Verantwortlicher gemäss § 6 MDStV: Elisabeth Winkler Datenschutzbeauftragter: Karin Vogel UST-Nr.: DE4588703846 Amtsgericht Keiserslauter __________ Warnung von ESET NOD32 Antivirus, Signaturdatenbank-Version 7162 (20120523) __________ Warnung! ESET NOD32 Antivirus hat in dieser E-Mail folgende Bedrohungen gefunden: 2012.zip - Win32/Trustezeb.B Trojaner - geloscht 2012.zip = ZIP = 2012.pif - Win32/Trustezeb.B Trojaner - war Teil des geloschten Objekts hxxp://www.eset.com |
Hallo, hatte heute endlich mal auch Zeit dafür: GMER Logfile: Code: GMER 1.0.15.15641 - hxxp://www.gmer.net |
Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen! Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden. Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! ESET Online Scanner
Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das Log |
Hab ich ja alles vorher schon gemacht (siehe oben) fehlt was??? ESETSmartInstaller@High as downloader log: all ok ESETSmartInstaller@High as downloader log: all ok # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6583 # api_version=3.0.2 # EOSSerial=b2f8d737656d654780f316eb5dd86235 # end=finished # remove_checked=true # archives_checked=false # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2012-05-22 06:34:03 # local_time=2012-05-22 08:34:03 (+0100, Mitteleuropäische Sommerzeit) # country="Germany" # lang=1031 # osver=6.1.7601 NT Service Pack 1 # compatibility_mode=1024 16777215 100 0 46308085 46308085 0 0 # compatibility_mode=1792 16777215 100 0 10937 10937 0 0 # compatibility_mode=5893 16776573 100 94 5750 89337445 0 0 # compatibility_mode=8204 39157117 100 90 2929 6582246 0 0 # scanned=184245 # found=3 # cleaned=3 # scan_time=5389 # nod_component=V3 Build:0x30000000 C:\Program Files\PDFCreator\Toolbar\pdfforge Toolbar_setup.exe Win32/Toolbar.Widgi Anwendung (gelöscht - in Quarantäne kopiert) 00000000000000000000000000000000 C C:\Users\***\AppData\Local\Temp\pzpnfrngtl.pre Variante von Win32/Injector.RRS Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert) 00000000000000000000000000000000 C C:\Users\***\Downloads\PDFCreator-1_2_3_setup.exe Win32/Toolbar.Widgi Anwendung (gelöscht - in Quarantäne kopiert) 00000000000000000000000000000000 C Sorry, wusste nicht wie ich das Ding in so ein "CODE-Tag" packe !! |
Code: ESETSmartInstaller@High as downloader log: |
Liste der Anhänge anzeigen (Anzahl: 1) Ah so funktioniert das, klasse. Also ich habe jetzt alle Tools zum Entschlüsseln versucht, aber es hilft nix, auch das Ändern der Dateiendung hilft rein gar nichts. Meine Dateien schauen zurzeit alle in etwa so aus: siehe Anhang |
Vollscan mit Malwarebytes fehlt immer noch |
Code: Malwarebytes Anti-Malware (Test) 1.61.0.1400 |
Immer noch kein Vollscan :balla: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:35 Uhr. |
Copyright ©2000-2025, Trojaner-Board
