Hallo liebes Trojaner-Board Team,

auf dem Rechner einer Kollegin hat sich am Freitag ein Verschlüsselungs-Trojaner breit gemacht - UKash. Ein booten im abgesicherten Modus ist nicht mehr möglich, jedesmal erscheint ein Bluescreen. Im normalen Modus wird der Rechner nach dem hochfahren durch die Virencodeabfrage gesperrt. Der Rechner ist vom Netz, da auch schon Files auf unserem Server gelocked wurden. Hatten am Freitag erst nor versucht mit der Kaspersky Version 10 Rescue Disc den Virus zu entfernen, leider ohne erfolg.

Das Betriebssystem ist XP Professional Ver. 5.1 Service Pack 3

Mit Eurer Boot CD hab ich jetzt hochgefahren und OTL ausgeführt.

Anbei die OTL.TXT

Hoffe Ihr könnt uns helfen.

Vielen dank schonmal

PJIke

hi
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKU\PR-2_ON_C..\Run: [FCB58747] C:\WINDOWS\system32\47E789AFFCB5874743DF.exe (Tastiera penna)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\PR-2_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\PR-2_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
:Files
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

Hallo Markus,

vielen Dank für Deine Hilfe.

Wir konnten den Rechner nach durchlaufen des OTL Scans wieder normal starten ?? , haben danach mal Antimalware eingespielt und gescannt, dieser hatte einiges gefunden, haben allerdings nichts davon entfernen lassen, nur eine Log erstellt. Hoffe das hat nicht geschadet, wollte es Dir noch schreiben, habs leider in der Hektik vergessen.

Heute morgen hab ich dann den FIX eingespielt, hat funktioniert.
Den Rechner musste ich dann allerdings manuel starten und er erzeugte auch keine OTL.txt, habe jetzt OTL manuel scannen lassen. Ich stell Dir mal den LOG von OTL und den Antimalware log ein.

Die Daten auf dem Server konnten wir Dank dem Avira Unlocker wieder entschlüsseln. Grosses Kompliment an Euer Forum - Ihr seit wirklich Spitze !


Viele Grüsse
Ike

hi, lass die funde entfernen, vorher Malwarebytes updaten
die malware kommt meist per mailanhang, meist rar oder zip.
als rechnung, lieferschein manung, etc.
solche mails sind zur analyse wichtig, wenn ihr mal wieder so was rein bekommt:

wenn du ein mail programm nutzt, öffne diese mail mal, datei speichern unter, und bei typ zb
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.

Hallo,

Danke für die schnelle Antwort.

Kann ich den Rechner bevor ich die Viren entferne wieder an unser Netz anschliessen zwecks Malwarebytes Update oder soll ich erst die Viren mit der veralteten Version entfernen ?

Brauchst Du danach noch irgenwelche Logs, oder ist die Sache danach bereinigt.

Leider haben wir die Mail nicht mehr, war im web.de Mailaccount einer Kollegin und wurde dort gelöscht.

Viele Grüsse
Ike

hi,
bitte freunde und bekannte warnen, damit sie so was nicht öffnen, wer solche mails bekommt, kann sie an die oben genannte adresse senden.
rechner ans netz, updaten, funde löschen, log posten :-)

Hallo,

habe Malwarebytes ein Update verpasst, danach hatte es 3 Funde ausgespuckt, anbei die Log File.

Viele Grüsse
Ike

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo,

habe jetzt Combofix ausgeführt, anbei die Combofix-Logfile.

Viele Grüsse
Ike

hi,
kannst du mal die windows suche nutzen und gucken ob noch
*.locked
files da sind?
2 hat combofix gefunden oder hattest du die einfach nur noch nicht gelöscht?

Hallo,

hab nachgeschaut, hatte vergessen einige zu löschen, die Windows Suche findet jetzt nichts mehr.

Viele Grüsse
Ike

Hi,

ist der Rechner soweit wieder clean, oder benötigt es noch andere Scans ?

Viele Grüsse
Ike

gibts noch probleme?
lade den CCleaner standard:
CCleaner Download - CCleaner 3.18.1707
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Hi,
also der Rechner funktioniert wieder bestens, bis jetzt ist uns kein Fehler aufgefallen. Hab den CCCleaner laufen lassen, schaut glaub auch gut aus.

Ich stell mal das Log ein, die mir unbekannten sind wahrscheinlich auch Treiber oder von Windows benötigte Programme.

Viele Grüsse
PJIke

deinstaliere:
Tweak UI

öffne ccleaner, analysieren CCleaner starten pc neustarten.
testen wie der pc läuft.
bitte drann denken:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.

wenn der pc zufriedenstellend läuft, können wir das gerät dann absichern.

Hi,

habe jetzt alles ausgeführt wie vorher beschrieben. Der Rechner läuft stabil, sieht gut aus.

Gruss
PJIke