Trojaner-Board - Neuer TeslaCrypt typ unter Win 7

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Neuer TeslaCrypt typ unter Win 7 (https://www.trojaner-board.de/173981-neuer-teslacrypt-typ-win-7-a.html)

So was soll ich tuen wenn sich ESET aufhängt?

Mach doch erstmal MBAM...

Hab ich schon, der Log ist hier:

Code:

Malwarebytes Anti-Malware

www.malwarebytes.org
 

Suchlaufdatum: 12.12.2015

Suchlaufzeit: 01:47

Protokolldatei: mbam.txt

Administrator: Ja
 

Version: 2.2.0.1024

Malware-Datenbank: v2015.09.22.05

Rootkit-Datenbank: v2015.09.18.01

Lizenz: Kostenlose Version

Malware-Schutz: Deaktiviert

Schutz vor bösartigen Websites: Deaktiviert

Selbstschutz: Deaktiviert
 

Betriebssystem: Windows 7 Service Pack 1

CPU: x64

Dateisystem: FAT32

Benutzer: Der andere
 

Suchlauftyp: Bedrohungssuchlauf

Ergebnis: Abgeschlossen

Durchsuchte Objekte: 587190

Abgelaufene Zeit: 20 Min., 3 Sek.
 

Speicher: Aktiviert

Start: Aktiviert

Dateisystem: Aktiviert

Archive: Aktiviert

Rootkits: Deaktiviert

Heuristik: Aktiviert

PUP: Aktiviert

PUM: Aktiviert
 

Prozesse: 0

(keine bösartigen Elemente erkannt)
 

Module: 0

(keine bösartigen Elemente erkannt)
 

Registrierungsschlüssel: 0

(keine bösartigen Elemente erkannt)
 

Registrierungswerte: 0

(keine bösartigen Elemente erkannt)
 

Registrierungsdaten: 0

(keine bösartigen Elemente erkannt)
 

Ordner: 0

(keine bösartigen Elemente erkannt)
 

Dateien: 0

(keine bösartigen Elemente erkannt)
 

Physische Sektoren: 0

(keine bösartigen Elemente erkannt)
 
 

(end)

ESET hängt sich bei 94% für ca. 9 Stunden auf.

Mach vor ESET bitte eine Datenträgerbereinigung...dann nochmal ESET probieren

Hier ist schonmal der SecurityCheck Log:

Code:

 Results of screen317's Security Check version 1.009  

 Windows 7 Service Pack 1 x64 (UAC is disabled!)  

 Internet Explorer 11  
 ``````````````Antivirus/Firewall Check:`````````````` 

Emsisoft Anti-Malware   

 Antivirus up to date!   
 `````````Anti-malware/Other Utilities Check:````````` 

 Secunia PSI (2.0.0.4003)   

 Java version 32-bit out of Date! 

 Adobe Flash Player 19.0.0.245  

 Adobe Reader XI  

 Mozilla Firefox (42.0) 

 Google Chrome (46.0.2490.86) 

 Google Chrome (47.0.2526.80) 
 ````````Process Check: objlist.exe by Laurent````````  

 Emsisoft Anti-Malware a2service.exe   
 `````````````````System Health check````````````````` 

 Total Fragmentation on Drive C:  
 ````````````````````End of Log``````````````````````

Und hier der ESET Log als 8MB .txt file.

8 MB????? :wtf:
Was wurde denn da alles gefunden...ich mach mal ne Ausnahme, weil wir Logs als Anhang icht gerne sehen.

FRST-Fix

Virenscanner jetzt bitte komplett deaktivieren, damit sichergestellt ist, dass der Fix sauber durchläuft!

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

C:\Users\Max\AppData\LocalLow\Sun\Java\Deployment\cache

C:\Users\Max\AppData\Roaming\uTorrent\updates\3.3.1_30017.exe

C:\Users\Max\Downloads\Babylon9_setup.exe

C:\Users\Max\Downloads\freeripmp3-setup(1).exe

C:\Users\Max\Downloads\nslauncher.exe

C:\Users\Max\Downloads\registrybooster.exe

EmptyTemp:

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

Starte nun FRST erneut und klicke den Entfernen Button.
Das Tool erstellt eine Fixlog.txt.
Poste mir deren Inhalt.

Hier ist der Log:

Code:

Entferungsergebnis von Farbar Recovery Scan Tool (x64) Version:12-12-2015 01

durchgeführt von Der andere (2015-12-13 19:21:30) Run:3

Gestartet von F:\Malewarekram

Geladene Profile: Der andere (Verfügbare Profile: Max & Der andere)

Start-Modus: Normal

==============================================
 

fixlist Inhalt:

*****************

C:\Users\Max\AppData\LocalLow\Sun\Java\Deployment\cache

C:\Users\Max\AppData\Roaming\uTorrent\updates\3.3.1_30017.exe

C:\Users\Max\Downloads\Babylon9_setup.exe

C:\Users\Max\Downloads\freeripmp3-setup(1).exe

C:\Users\Max\Downloads\nslauncher.exe

C:\Users\Max\Downloads\registrybooster.exe

EmptyTemp:

*****************
 

C:\Users\Max\AppData\LocalLow\Sun\Java\Deployment\cache => erfolgreich verschoben

C:\Users\Max\AppData\Roaming\uTorrent\updates\3.3.1_30017.exe => erfolgreich verschoben

C:\Users\Max\Downloads\Babylon9_setup.exe => erfolgreich verschoben

C:\Users\Max\Downloads\freeripmp3-setup(1).exe => erfolgreich verschoben

C:\Users\Max\Downloads\nslauncher.exe => erfolgreich verschoben

C:\Users\Max\Downloads\registrybooster.exe => erfolgreich verschoben

EmptyTemp: => 745 KB temporäre Dateien entfernt.
 
 

Das System musste neu gestartet werden.
 

==== Ende von Fixlog 19:21:37 ====

Die anderen Funde waren nur die Hinweise der Verschlüsselungstrojaners.

Sieht soweit ok aus :daumenhoc

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Nuja die Nachrichten kommen immer noch.

Geht das auch genauer? Was für Nachrichten kommen wann und wo?

Wenn ich mich einlogge kommen Benachrichtigungen in als .txt und .html, dass ich das Geld überwisen soll. Ungefähr so:

Code:

 111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111  
 

NOT YOUR LANGUAGE? USE https://translate.google.com 
 

What happened to your files ?

All of your files were protected by a strong encryption with RSA-4096.

More information about the encryption keys using RSA-4096 can be found here: hxxp://en.wikipedia.org/wiki/RSA_(cryptosystem)
 

What does this mean ?

This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them,

it is the same thing as losing them forever, but with our help, you can restore them.
 

111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111

How did this happen ?

---Specially for your PC was generated personal RSA-4096 KEY, both public and private.

---ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.

111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111

Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.
 

What do I do ?

So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BTC NOW, and restore your data easy way.

If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.
 

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:

...

mit 5 Links zum anwählen.

Das sind nur Startup Einträge...

FRST-Fix

Virenscanner jetzt bitte komplett deaktivieren, damit sichergestellt ist, dass der Fix sauber durchläuft!

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.html [2015-12-09] ()

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.txt [2015-12-09] ()

Startup: C:\Users\Der andere\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.html [2015-12-09] ()

Startup: C:\Users\Der andere\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.txt [2015-12-09] ()

Startup: C:\Users\Georg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.html [2015-12-09] ()

Startup: C:\Users\Georg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.txt [2015-12-09] ()

Startup: C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.html [2015-12-09] ()

Startup: C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.txt [2015-12-09] ()

EmptyTemp:

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

Starte nun FRST erneut und klicke den Entfernen Button.
Das Tool erstellt eine Fixlog.txt.
Poste mir deren Inhalt.

Alles in Ordnung, hier noch der Log:

Code:

Entferungsergebnis von Farbar Recovery Scan Tool (x64) Version:12-12-2015 01

durchgeführt von Der andere (2015-12-13 20:38:04) Run:4

Gestartet von F:\Malewarekram

Geladene Profile: Der andere (Verfügbare Profile: Max & Der andere)

Start-Modus: Normal

==============================================
 

fixlist Inhalt:

*****************

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.html [2015-12-09] ()

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.txt [2015-12-09] ()

Startup: C:\Users\Der andere\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.html [2015-12-09] ()

Startup: C:\Users\Der andere\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.txt [2015-12-09] ()

Startup: C:\Users\Georg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.html [2015-12-09] ()

Startup: C:\Users\Georg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.txt [2015-12-09] ()

Startup: C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.html [2015-12-09] ()

Startup: C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.txt [2015-12-09] ()

EmptyTemp:

        

*****************
 

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.html => erfolgreich verschoben

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.txt => erfolgreich verschoben

C:\Users\Der andere\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.html => erfolgreich verschoben

C:\Users\Der andere\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.txt => erfolgreich verschoben

C:\Users\Georg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.html => erfolgreich verschoben

C:\Users\Georg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.txt => erfolgreich verschoben

C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.html => erfolgreich verschoben

C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.txt => erfolgreich verschoben

EmptyTemp: => -10733816 byte temporäre Dateien entfernt.
 
 

Das System musste neu gestartet werden.
 

==== Ende von Fixlog 20:38:08 ====

Vielen dank für die Hilfe:dankeschoen: