Hallo an Alle,
gestern ging gar nichts mehr, ich hatte mir einen cash-trojaner eingefangen.
Ein guter Geist hatte zufällig die CD aus der Zeitschrift ct. Damit konnten wir das Windows Betriebssystem wieder reaktivieren der viren killer hatte 10 trojaner gefunden und irgendwo eingesperrt.
Jetzt würde ich sie gerne wieder loswerden, aber kein Programm traut sich so richtig ran. Was sollich jetzt tun.
Hier die Log datei:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=5e8addf7cd70d84d931e8b1ce28cd341
# end=stopped
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-04-26 10:09:27
# local_time=2012-04-26 12:09:27 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777191 100 0 2507164 2507164 0 0
# compatibility_mode=8192 67108863 100 0 452 452 0 0
# scanned=36164
# found=7
# cleaned=7
# scan_time=894
C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\Realtec\Realtecdriver.exe.VIRUS Win32/Trustezeb.A trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Dokumente und Einstellungen\Internet\Lokale Einstellungen\Temp\vrpkcxigwq.pre.VIRUS Win32/Trustezeb.A trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Dokumente und Einstellungen\Steffi\Anwendungsdaten\Kqxhlforu\358104B7606162AF6700.exe.VIRUS Win32/Trustezeb.A trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Dokumente und Einstellungen\Steffi\Anwendungsdaten\Realtec\Realtecdriver.exe.VIRUS Win32/Trustezeb.A trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Dokumente und Einstellungen\Steffi\Lokale Einstellungen\Temp\aegwjrpffh.pre.VIRUS Win32/Trustezeb.A trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Dokumente und Einstellungen\Steffi\Lokale Einstellungen\Temp\avaptrrynb.pre.VIRUS Win32/Trustezeb.A trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Dokumente und Einstellungen\Steffi\Lokale Einstellungen\Temp\vrlnjyuztk.pre.VIRUS Win32/Trustezeb.A trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=5e8addf7cd70d84d931e8b1ce28cd341
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-04-26 11:01:36
# local_time=2012-04-26 01:01:36 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777191 100 0 2508273 2508273 0 0
# compatibility_mode=8192 67108863 100 0 1561 1561 0 0
# scanned=75969
# found=2
# cleaned=0
# scan_time=2915
C:\Dokumente und Einstellungen\Steffi\Lokale Einstellungen\Temp\pnW2M0hl.zip.part.VIRUS Win32/Trustezeb.A trojan (unable to clean) 00000000000000000000000000000000 I
C:\WINDOWS\system32\077ACC4E606162AF255E.exe.VIRUS Win32/Trustezeb.A trojan (unable to clean) 00000000000000000000000000000000 I

Danke für Eure Hilfe

also laut log sind sie in quarantäne, liegt dein problem jetzt bei den verschlüsselten dateien?
hast du dir das über ne mail eingefangen (rechnung) und hast du diese noch?

Hallo markusg,
danke für die fixe Antwort.

Kann ich die jetzt einfach so löschen und alles ist gut?

Ja ich habe die ganze Mail noch bei gmx liegen. Wenn Du mir sagst was ich gefahrlos damit tun soll, kannst Du sie gerne haben. Ich habe leider nur wenig Ahnung und will keinen Schaden machen.
Grus jopi

Hallo Marcus,
nachden ich mit dem tollen DecryptHelper von Matthias über 7 000 Dateien entlockethabe, ist zweimal der Malwarebyts drüber gelaufen. Bis auf die Profile und Lesezeichen von Firefox und Thunderbird schein alles gut zu sein.
Wie geht es jetzt weiter?
Anbei die beiden Logs (hoffe das geht so)
Danke an alle Helfer
Jopi

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.29.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.11
**************** [Administrator]

Schutz: Aktiviert

29.04.2012 20:13:12
mbam-log-2012-04-29 (20-13-12).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 336732
Laufzeit: 1 Stunde(n), 9 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Realtecdriver (Backdoor.Agent) -> Daten: C:\Dokumente und Einstellungen\****\Anwendungsdaten\Realtec\Realtecdriver.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Dokumente und Einstellungen\****\Eigene Dateien\Downloads\DecryptHelper.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.30.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.11
************** [Administrator]

Schutz: Aktiviert

30.04.2012 08:11:45
mbam-log-2012-04-30 (08-11-45).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 336243
Laufzeit: 1 Stunde(n), 6 Minute(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

hi,
du kannst ja noch mal den avira unlocker probieren:
mache ein backup deiner wichtigen dateien die verschlüsselt sind
auf ein externes laufwerk
dann entschlüsseln:
http://www.trojaner-board.de/114224-...-unlocker.html
teile mir mit obs geklappt hatt

Hallo Markus,
da habe ich mich wohl falsch ausgedrückt.
Es ist nichts mehr verschlüsselt.
FF und TB greifen nicht auf die Profiles zu, das wird sich wohl reparieren lassen. Oder sagen die Lonfils was anderes?

Ich wollte nur wissen, ob ich wieder online gehen kann (auch onlinbanking) oder ob ich noch irgendwelche Schutzmaßnahmen ausführen soll.
Alle Passwörter ändern ist vorgesehen.
Welchen Virenscanner empfiehlst du; er darf auch was kosten.
Gruß
Jopi

hmm, wenn du onlinebanking machst, würd ich drüber nachdenken das system einmal komplett neu aufzusetzen.
und dann das system abzusichern.
weist du wie man formatiert?
daten sichern ist natürlich möglich

Danke markusg,
Das werde ich dann alles finden, und wir können dieses Thema hier schließen. Euch allen noch mal besten Dank
jopi

hi, pc absichern:
als antimalware programm würde ich emsisoft empfehlen.
diese haben für mich den besten schutz kostet aber etwas.
http://www.trojaner-board.de/103809-...i-malware.html
testversion:
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware
insbesondere wenn du onlinebanking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches machst, also sensible daten zu schützen sind, solltest du in sicherheitssoftware investieren.
vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen.

kostenlos, aber eben nicht ganz so gut wäre avast zu empfehlen.
http://www.trojaner-board.de/110895-...antivirus.html

sag mir welches du nutzt, dann gebe ich konfigurationshinweise.
bitte dein bisheriges av deinstalieren
die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch!

http://www.trojaner-board.de/96344-a...-rechners.html
Starte bitte mit der Passage, Windows Vista und Windows 7
Bitte beginne damit, Windows Updates zu instalieren.
Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst.
Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist:
- Updates automatisch Instalieren,
- Täglich
- Uhrzeit wählen
- Bitte den gesammten rest anhaken, außer:
- detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist.
Klicke jetzt die Schaltfläche "OK"
Klicke jetzt "nach Updates suchen".
Bitte instaliere zunächst wichtige Updates.
Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren.
Mache das selbe bitte mit den optionalen Updates.
Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist.
aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen.
als browser rate ich dir zu chrome:
Installation von Google Chrome für mehrere Nutzerkonten - Google Chrome-Hilfe
anleitung lesen bitte
falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung


Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.
Download Link:
Sandboxie Download - Sandboxie 3.68

anleitung:
http://www.trojaner-board.de/71542-a...sandboxie.html
ausführliche anleitung als pdf, auch abarbeiten:
Sandbox Einstellungen |

bitte folgende zusatz konfiguration machen:
sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
chrome.exe
dann gehe auf anwendungen, webbrowser, chrome.
dort aktiviere alles außer gesammten profil ordner freigeben.
Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen.
Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate.
Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten.
Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten.
Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar.

Weiter mit:
Maßnahmen für ALLE Windows-Versionen
alles komplett durcharbeiten
anmerkung zu file hippo.
in den settings zusätzlich auswählen:
Run updateChecker
when Windows starts

Backup Programm:
in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an:
http://www.trojaner-board.de/82962-w...en-backup.html
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern
bitte auch lesen, wie mache ich programme für alle sichtbar:
Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe
surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox.
wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird Sandboxie immer gestartet wenn du nen browser aufrufst.
wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser

Hallo Markusg,
vorsichtshalber habe ich noch den Avast-Antivirus rüberlaufen lassen.
Der hat eine Fund bei C:\locked-Realtecdriver.exe.yfemp angezeigt.Muss ich mir jetzt Sorgen machen?

Eigendlich wollte ich die privaten Daten sichern und morgen mit der Neuinstallation anfangen. Soll ich das tun?
Danke
jopi