Trojaner-Board - Verschlüsselungstrojaner Vista 64 bit

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Verschlüsselungstrojaner Vista 64 bit (https://www.trojaner-board.de/119178-verschluesselungstrojaner-vista-64-bit.html)

Verschlüsselungstrojaner Vista 64 bit

Hallo.
Bin neu und habe ebenfalls einen verschlüsselungstrojaner. Das Problem ist, das ich nur im abgesicherten Modus an mein System komme und die ganzen Tools sich nicht installieren lassen.

Hier meine MBAM Log:

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.07.11.05

Windows Vista Service Pack 2 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Administrator :: B3AM3R-PC [Administrator]

11.07.2012 12:55:26
mbam-log-2012-07-11 (13-45-50).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 374742
Laufzeit: 44 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\Administrator\AppData\Roaming\Lgccpjntj\klulfbubnv.exe (Trojan.Phex.THAGen1) -> Keine Aktion durchgeführt.
C:\Users\Administrator\AppData\Roaming\Ljdplaewmkp\kpwvxubnv.exe (Spyware.Zeus) -> Keine Aktion durchgeführt.

(Ende)

Ich habe soeben auch die Mail mit dem Anhang an virus@trojaner-board.de gesendet.
Alle meine HDD´s sind verschlüsselt! Auch meine Backup-Platte -.-
Quarantäne ging bei MWBAM nicht. Hatte probleme die logdatei überhaupt zu kopieren.

hi
kommst du wieder in den normalen modus? falls ja:
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die
OTL.exe
.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg
Textbox.

Code:

activex

netsvcs

msconfig

%SYSTEMDRIVE%\*.

%PROGRAMFILES%\*.exe

%LOCALAPPDATA%\*.exe

%systemroot%\*. /mp /s

/md5start

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

explorer.exe

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\system32\*.dll /lockedfiles

%USERPROFILE%\*.*

%USERPROFILE%\Local Settings\Temp\*.exe

%USERPROFILE%\Local Settings\Temp\*.dll

%USERPROFILE%\Application Data\*.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere
nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hi Markus.

Leider komme ich nur im abgesicherten Modus rein. Kann auch nichts downloaden und kaum etwas anderes machen. Downloade über Laptop und denn übertrag ich das mit stick auf den infizierten PC.
Hab auch bestimmt noch 10-20 unseriöse mails mit anhang in meinem Postfach. Kann die gerne auch nochmal weiterleiten. ????
Logfiles und so speichert er zwar, aber kann den Pfad denn auf dem System nicht mehr finden.

Kann das System jetzt schonmal normal starten. Führe jetzt den OTL scan durch.

Konnte unter Quick scan keine Extra.txt erstellen. Oder ich war zu doof. -.- Hab nen normalen scan gemacht.

hi

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code:

:OTL

O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found

[2012.07.11 11:07:57 | 000,000,000 | ---D | C] -- C:\Users\Administrator\AppData\Roaming\Ljdplaewmkp

 :Files

:Commands

[purity]

[EMPTYFLASH] 

[emptytemp]

[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

Hiere die Log von OTL nach dem Fix:

hast du verschlüsselte daten? dann versuchs mal mit shadow explorer:
http://www.trojaner-board.de/115496-...erstellen.html

Habe schon alle tools versucht. Keine Chance. Die meisten finden schon gar nicht die verschlüsselten Ordner oder Datein. Hab auch schon mit recuva nach gelöschten Dateien ohne Erfolg gesucht. Avira Ransom, jpgsnoop, decrypter, scare decrypter etc. Alles nicht gefunzt.

also wenn von:
http://www.trojaner-board.de/116851-...tml#post851585
nichts klappt, dann sind deine daten warscheinlich wutsch