EFS-Verschlüsselte Dateien mit Originalnamen ? neoz.exe (Ransom) & wpbt0.dll (TR/Agent.18944.104) & plugin-ap2.php EXP/Pidief.cxo)
 

Hi, all!

Auf einem meiner Rechner sind anscheinend durch einen Ransom-Trojaner-Befall speziell alle Open-Office-Dateien eines Benutzers EFS-verschlüsselt & nicht mehr zugreifbar (grün im Windows Explorer), Scandurchläufe ergaben folgendes Ergebnis:

1.) Spybot - kein Ergebnis

2.) Avira Free:

a.) erster Durchlauf ergab das Trojanische Pferd TR/Agent.18944.104 in "C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\wpbt0.dll"

b.) nächster Durchlauf ergab das Exploit EXP/Pidief.cxo in C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\plugtmp-117\plugin-ap2.php

Beide wurden in Quarantäne verschoben ...

3.) Anti-Malwarebytes-Durchlauf ergab Trojan.Ransom-Befall in C:\Dokumente und Einstellungen\user\Anwendungsdaten\Udyp\neoz.exe

Wurde in Quarantäne verschoben ...

Auch wenn der Rechner wohl noch lange nicht sauber ist, ist mein Hauptproblem aber die EFS-Verschlüsselung der benötigten Dateien, die alle noch ihren Originalnamen besitzen. Man sieht in den Datei-Eigenschaften im Windows Explorer die Verschlüsselung mit Zertifikat, aber man kann sie nicht wieder zurücknehmen. Ich hab' im Internet wenig über obengenannte Malware gefunden und schon gar nichts über eine mögliche Entschlüsselung der Dateien.

Vielleicht könnt' ihr mir sagen, welcher Befall für die Verschlüsselung verantwortlich zeichnet und ob und wie man sie wieder wegbekommt.

Die Logs der verschiedenen Programme habe ich als ZIP-Datei beigefügt ...

Hier das OTL-Log:

Mit bestem Dank im voraus für Eure Bemühungen,
twin

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Sorry ...

1.) hat etwas gedauert, musste noch gegen anderen Malwarebefall kämpfen ...

2.) ich hab' mich nur an die Anweisungen in Eurem Code of Conduct gehalten, deshalb die ZIP-Files.

Hier die Logs:

OTL:
Anti-Malware:
Avira Scan 1:
Avira Scan 2:
Danke für Eure Hilfe!!!

LG,
Twin.

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Nein, es gibt leider keine Logs vor dem Zeitpunkt meines Scans. Nur nachher tägliche Einträge von Aktualisierungen der Anti-Malware-Schutz-DB und das hier:

Anti-Malware Protection Log:
Die geblockte IP gehört lt. whois.org zu Trellian Pty Ltd., einer Firma, die Suchmaschinenoptimierung anbietet und wahrscheinlich das Surfverhalten gründlich mitloggt und dann nach Hause telefoniert.

LG
T.

Bitte routinemäßig einen neuen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Hier die Logs ...

Anti-Malware:
ESET:
Thx,
T.

adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Falls der adwCleaner schon mal in der runtergeladen wurde, bitte die alte adwcleaner.exe löschen und neu runterladen!!

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Suche.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Rx].txt. (x=fortlaufende Nummer)

Hier das Log vom AdwCleaner:

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[Sx].txt. (x=fortlaufende Nummer)

Hier das adwCleaner-Log zur Löschoperation:
Und hier von einem zusätzlichen Suchlauf nach dem Löschen:
Nicht so schlecht, oder ?

Thx,
T.

Hätte da mal zwei Fragen bevor es weiter geht (wir sind noch nicht fertig!)

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Ja, Windows läuft normal und soweit ist alles da, scheint keiner was zu vermissen.

LG,
T.

Mach bitte einen (neuen) CustomScan mit OTL - das Log davon nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:


Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hier das OTL-Log vom Custom Scan:
Danke,
T.