| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vistaWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
30.04.2012, 11:24
| #1 |
| |  Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista Liebe Helfer auf dem Trojaner-Board, nachdem ich dummerweise den Anhang einer Mail mit dem Betreff Telekomrechnung Nr 569837998 von der Adresse dsap@arcor.de und dem Anhang zip Telekom-Rechnung (37,5 KB) geöffnet habe zeigt mein Laptop (Lenovo G550, Windows Vista) sofort nach dem Start einen Bildschirm mit dem Hinweis, dass der Rechner mit einem Windows-Verschlüsselungstrojaner infiziert ist und ich einen 50 Euro U-Cash Code eingeben soll. Der Rechner startet im Moment nur im abgesicherten Modus, dort ist er aber stabil. Kann mir bitte jemand weiterhelfen? Wie soll ich nun am besten weitermachen? Wie bekomme ich z.B. die oben aufgelisteten Programme Malwarebyte und Decrypthelper auf den infizierten Laptop ohne das Ersatzgerät (leider ohne Brenner) ebenfalls zu infizieren? Danke für jede Hilfe! salu_salu |
|
30.04.2012, 11:41
| #2 |
  | Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista Hi,
__________________per USB-Stick! OTL bzw. MAM und den Decrypter auf den USB-Stick kopieren, dann an den verseuchten Rechner anschließen (kommst Du dort nicht in den abgesicherten Modus mit Netzwerkunterstützung?). Logs zurück auf den USB-Stick kopieren, beim Anschließen des Sticks an den nicht verseuchten Rechner die SHIFT-Taste solange drücken, bis alles erkannt wurde (USB-Stick/Laufwerke) [das unterdrückt den autorun!]... Alternativ kannst Du auch vorher den Flashdesinfector loslassen, der hinterlässt eine nicht so einfach überschreibbare autorun-Datei auf dem Stick... Lade Dir den Flash_disinfector auf den Desktop, starte ihn und folge den Anweisungen... http://www.techsupportforum.com/sect...isinfector.exe oder http://download.bleepingcomputer.com...isinfector.exe Trenne den Rechner physikalisch vom Netz. Deaktiviere den Hintergrundwächter deines AVP und (falls vorhanden) den TeaTimer. Schließe jetzt alle externe Datenträger mit gedrückter Shift-Taste an Deinen Rechner (Autoplay wird unterbunden). Die Shift-Taste solange gedrückt halten, bis die Laufwerke erkannt sind! Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen. Wenn der Scan zuende ist, kannst du das Programm schließen. Starte Deinen Rechner neu. chris
__________________ |
|
30.04.2012, 12:32
| #3 | ||||
| | Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista Hi Chris,
__________________Danke für die guten Infos. Zitat:
Gerade läuft MAM. Sobald ich alle LOGs habe würde ich mich wieder melden. Danke für die Unterstützung und die Infos mit dem USB-Stick hab ich mir schon gespeichert. Das ist auch sonst nützlich. Viele Grüße salu_salu Hallo Chris, hier bin ich wieder, leicht verwirrt. Anbei das Logfile von Malwarbytes Quickscan und Vollscan. Zitat:
Zitat:
Kann das sein? Danke für deine weitere Unterstützung! salu_salu Hallo Chris, hier bin ich wieder, leicht verwirrt. Anbei das Logfile von Malwarbytes Quickscan und Vollscan. Zitat: Malwarebytes Anti-Malware (Test) 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.04.30.03 Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig) Internet Explorer 9.0.8112.16421 SL :: SL-PC [Administrator] Schutz: Deaktiviert 30.04.2012 22:39:08 mbam-log-2012-04-30 (22-39-08).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 193600 Laufzeit: 2 Minute(n), 15 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) und vollscan Zitat: Malwarebytes Anti-Malware (Test) 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.04.30.03 Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig) Internet Explorer 9.0.8112.16421 SL :: SL-PC [Administrator] Schutz: Deaktiviert 30.04.2012 18:25:39 mbam-log-2012-04-30 (18-25-39).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 411529 Laufzeit: 54 Minute(n), 18 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Soweit ich das verstehe gab es beides mal kein Ergebnis. Kann das sein? Danke für deine weitere Unterstützung! salu_salu Hallo, es tut mir leid, dass das so ein Posting Chaos ist. Die Logfiles sind in der alten Antwort. Viele Grüße salu_salu Hallo Chris, hier bin ich wieder, leicht verwirrt. Anbei das Logfile von Malwarbytes Quickscan und Vollscan. Zitat: Malwarebytes Anti-Malware (Test) 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.04.30.03 Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig) Internet Explorer 9.0.8112.16421 SL :: SL-PC [Administrator] Schutz: Deaktiviert 30.04.2012 22:39:08 mbam-log-2012-04-30 (22-39-08).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 193600 Laufzeit: 2 Minute(n), 15 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) und vollscan Zitat: Malwarebytes Anti-Malware (Test) 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.04.30.03 Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig) Internet Explorer 9.0.8112.16421 SL :: SL-PC [Administrator] Schutz: Deaktiviert 30.04.2012 18:25:39 mbam-log-2012-04-30 (18-25-39).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 411529 Laufzeit: 54 Minute(n), 18 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Soweit ich das verstehe gab es beides mal kein Ergebnis. Kann das sein? Danke für deine weitere Unterstützung! salu_salu Guten Morgen, jetzt bin ich hoffentlich schon einen Schritt weiter. Nachdem gestern die Scans nichts erbracht haben, habe ich heute morgen den Computer neu gestartet (Normalmodus) und dort den MAM laufen lassen. Diesmal mit dem Häckchen bei den P2P Programmen und der aktuellen Version von heute morgen. Jetzt wurden zwei infizierte Dateien gefunden, die ich entfernt habe. Soll ich sie auch aus der Quarantäne löschen? Beim Neustart war nur der abgesicherte Modus mit Netzwerkgriff möglich, im Normalmodus hängte sich sofort alles auf auch das MAM und das Entschlüsselungsprogramm. Das Logfile für MAM sieht so aus Zitat:
Ist das Vorgehen soweit o.k.? Kann ich so weiter machen oder gibt es einen besseren Weg? Viele Grüße und Danke für jede weitere Hilfe. salu_salu |
|
01.05.2012, 13:07
| #4 |
| | Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista Hi, soweit ok... Wie bist Du zu dem Teil gekommen, einen Anhang geöffnet (z.B Rechnung.exe oder plötzlich beim Surfen)? Ich frage, weil das wie ein Konstrukt aus Downloader (der Sicherheitslücken ausnutzt) und dem eigentlichen Trojaner (der nachgeladen wird) aussieht. Welche Probleme hast du bei JAVA-Programmen? Poste bitte noch ein OTL-Log... OTL Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
Mit welchen Tool/Einstellung entschlüsselst Du? So, bin dann wieder off, habe mir eine Grippe eingefangen und Schwanke so zwischen Schüttelfrost und Fieber hin- und her... chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
01.05.2012, 14:01
| #5 |
| | Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista Hallo Chris, Danke für die Hilfe trotz Grippe. Ich wünsche dir gute Besserung. Das OTM LOG kommt. Im Momenet bin ich noch mit Entschlüsseln beschäftigt. Dazu nutze ich das von Euch empfohlene Programm von Mathias, DecryptHelper 0.5.2. Bei manchen Java-Dateien meldet das Programm das der Name des Files zu kurz ist. Wenn so eine Meldung wieder auftaucht, notiere ich mir den genauen Wortlaut. Und bei den Windows Dateien kommt es nicht wirklich weiter... mal sehen. Aber die mir wichtigen Thunderbird Dateien und ein paar persönliche Dokumente sind wieder frei und wenn alles einigermaßen sauber ist, kann man die sicher retten. Die wirklich wichtigen Dateien: Projekte, Diss, etc. liegen sicher auf dem Uni-Server.... puh.... Den Trojaner habe ich mir über einen Mailanhang eingefangen. Thunderbird hat noch geladen und ich wollte eigentlich den Anhang der vorhergehenden Mail aufmachen und habe mich verklickt. Bevor ich noch irgendwas stoppen konnte, war es schon zu spät. Die Mail kam von einer Arkoradresse und behauptete eine Telekomtelefonrechnung zu sein. Der Anhang war eine Zip-Datei die mit WinRar geöffnet wurde. Ich habe nichts extrahiert. Das Vorschaufenster hat schon gereicht.... Nochmal gute Besserung. Viele Grüße Salu_salu |
|
03.05.2012, 21:30
| #6 | |
| | Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista Hallo Chris, hier bin ich wieder. Ich hoffe, Du bist wieder fit und hast dich gut erholt. Ich musste die letzten beiden Tage arbeiten und konnte die Scans nicht so schnell abarbeiten, wie ich das gerne gemacht hätte. Hier die Ergebnisse: 1) MAM hast Du schon gesehen. 2) Decrypt Helper hat funktioniert. alles scheint stabil zu laufen. Die Fehlermeldung für die JAVA Dateien war: Zitat:
3) defogger hat keine Fehlermeldung ergeben 4) DSS (dss und attach) Die Ergebnisse finden sich im Anhang 5) gmer Ergebnisse finden sich im Anhang 6) OTL (OTL und Extras) Ergebnisse finden sich im Anhang So, das wars. Im Moment wirkt alles normal aber ich trau dem Frieden nicht. Alle Daten die ich wollte, sind sicher auf einer externen Festplatte : Fotos, Mailarchiv, Itunes, Bookmarks, Seriennummer der Forschungssoftware, etc. Datenverlust ist also nicht zu befürchten. Soll ich das System komplett neu aufsetzen? Was wären die nächsten Schritte? Danke für deine Unterstützung. Viele Grüße salu_salu |
|
04.05.2012, 13:22
| #7 |
| | Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista Hi, hattest Du schon früher mal einen Trojaner auf dem Rechner? Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter C:\Windows\System32\drivers\Wdkbdmou.sys
C:\Users\SL\AppData\Roaming\plac7600.exe
C:\Users\SL\Desktop\vo64u0ef.exe
Fix für OTL:
Code:
ATTFilter
:OTL
O1 - Hosts: ::1 localhost
O33 - MountPoints2\{4f8075af-2e30-11e1-ad8d-002622dc8f04}\Shell - "" = AutoRun
O33 - MountPoints2\{4f8075af-2e30-11e1-ad8d-002622dc8f04}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{4f8075d3-2e30-11e1-ad8d-001e101f1f81}\Shell - "" = AutoRun
O33 - MountPoints2\{4f8075d3-2e30-11e1-ad8d-001e101f1f81}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{562a78e7-0592-11df-b18c-002622c8fc1a}\Shell - "" = AutoRun
O33 - MountPoints2\{562a78e7-0592-11df-b18c-002622c8fc1a}\Shell\AutoRun\command - "" = F:\setup.exe AUTORUN=1
O33 - MountPoints2\{631516c2-3ce7-11db-acfe-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{631516c2-3ce7-11db-acfe-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{631516c2-3ce7-11db-acfe-806d6172696f}\Shell\AutoRun\command - "" = D:\AUTORUN\AUTORUN.EXE
O33 - MountPoints2\{73501085-33b7-11e1-8892-001e101f4e71}\Shell - "" = AutoRun
O33 - MountPoints2\{73501085-33b7-11e1-8892-001e101f4e71}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{dd27fe77-c22b-11df-bb02-002622dc8f04}\Shell - "" = AutoRun
O33 - MountPoints2\{dd27fe77-c22b-11df-bb02-002622dc8f04}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\Start.hta
@Alternate Data Stream - 99 bytes -> C:\ProgramData\Temp:71FA8B7F
@Alternate Data Stream - 97 bytes -> C:\ProgramData\Temp:73CF0D7D
@Alternate Data Stream - 95 bytes -> C:\ProgramData\Temp:89C2A42C
@Alternate Data Stream - 249 bytes -> C:\ProgramData\Temp:258D2F8B
@Alternate Data Stream - 234 bytes -> C:\ProgramData\Temp:5C4A588B
@Alternate Data Stream - 232 bytes -> C:\ProgramData\Temp:E99D1D3C
@Alternate Data Stream - 231 bytes -> C:\ProgramData\Temp:178093AE
@Alternate Data Stream - 231 bytes -> C:\ProgramData\Temp:014BC3B4
@Alternate Data Stream - 225 bytes -> C:\ProgramData\Temp:2216A431
@Alternate Data Stream - 224 bytes -> C:\ProgramData\Temp:05F547A9
@Alternate Data Stream - 223 bytes -> C:\ProgramData\Temp:D8F9D810
@Alternate Data Stream - 223 bytes -> C:\ProgramData\Temp:4149A170
@Alternate Data Stream - 218 bytes -> C:\ProgramData\Temp:76466F4C
@Alternate Data Stream - 218 bytes -> C:\ProgramData\Temp:2AE74FF9
@Alternate Data Stream - 216 bytes -> C:\ProgramData\Temp:124B94C0
@Alternate Data Stream - 215 bytes -> C:\ProgramData\Temp:7A032A04
@Alternate Data Stream - 215 bytes -> C:\ProgramData\Temp:073139EC
@Alternate Data Stream - 209 bytes -> C:\ProgramData\Temp:CA99FD89
@Alternate Data Stream - 209 bytes -> C:\ProgramData\Temp:6C049F97
@Alternate Data Stream - 208 bytes -> C:\ProgramData\Temp:490BCC52
@Alternate Data Stream - 205 bytes -> C:\ProgramData\Temp:CFF6B3FF
@Alternate Data Stream - 205 bytes -> C:\ProgramData\Temp:AC0528D9
@Alternate Data Stream - 205 bytes -> C:\ProgramData\Temp:8684F6F0
@Alternate Data Stream - 204 bytes -> C:\ProgramData\Temp:61AF2B29
@Alternate Data Stream - 202 bytes -> C:\ProgramData\Temp:CB0FEE2B
@Alternate Data Stream - 200 bytes -> C:\ProgramData\Temp:BACB6B6C
@Alternate Data Stream - 200 bytes -> C:\ProgramData\Temp:AFB24B00
@Alternate Data Stream - 199 bytes -> C:\ProgramData\Temp:EA701346
@Alternate Data Stream - 199 bytes -> C:\ProgramData\Temp:C86B29EB
@Alternate Data Stream - 193 bytes -> C:\ProgramData\Temp:4F96D8E6
@Alternate Data Stream - 185 bytes -> C:\ProgramData\Temp:453190EC
@Alternate Data Stream - 149 bytes -> C:\ProgramData\Temp:0B352B60
@Alternate Data Stream - 148 bytes -> C:\ProgramData\Temp:938EB9FC
@Alternate Data Stream - 147 bytes -> C:\ProgramData\Temp:AF24D911
@Alternate Data Stream - 147 bytes -> C:\ProgramData\Temp:908A1B53
@Alternate Data Stream - 147 bytes -> C:\ProgramData\Temp:2DF93164
@Alternate Data Stream - 146 bytes -> C:\ProgramData\Temp:88C0A705
@Alternate Data Stream - 146 bytes -> C:\ProgramData\Temp:71112705
@Alternate Data Stream - 145 bytes -> C:\ProgramData\Temp:CAF8DAC8
@Alternate Data Stream - 145 bytes -> C:\ProgramData\Temp:AD020DC3
@Alternate Data Stream - 145 bytes -> C:\ProgramData\Temp:93F3E4C9
@Alternate Data Stream - 143 bytes -> C:\ProgramData\Temp:79875988
@Alternate Data Stream - 143 bytes -> C:\ProgramData\Temp:3651A580
@Alternate Data Stream - 142 bytes -> C:\ProgramData\Temp:F1F936DF
@Alternate Data Stream - 142 bytes -> C:\ProgramData\Temp:91DEEE71
@Alternate Data Stream - 141 bytes -> C:\ProgramData\Temp:898D0B77
@Alternate Data Stream - 141 bytes -> C:\ProgramData\Temp:66871744
@Alternate Data Stream - 141 bytes -> C:\ProgramData\Temp:56F368C9
@Alternate Data Stream - 141 bytes -> C:\ProgramData\Temp:0785072C
@Alternate Data Stream - 140 bytes -> C:\ProgramData\Temp:FD38E906
@Alternate Data Stream - 140 bytes -> C:\ProgramData\Temp:EBCF5924
@Alternate Data Stream - 140 bytes -> C:\ProgramData\Temp:D93AABC7
@Alternate Data Stream - 140 bytes -> C:\ProgramData\Temp:AC733A73
@Alternate Data Stream - 140 bytes -> C:\ProgramData\Temp:A02025CE
@Alternate Data Stream - 140 bytes -> C:\ProgramData\Temp:2775F9E2
@Alternate Data Stream - 139 bytes -> C:\ProgramData\Temp:C76CFF82
@Alternate Data Stream - 139 bytes -> C:\ProgramData\Temp:C48A983C
@Alternate Data Stream - 139 bytes -> C:\ProgramData\Temp:ADFAD95A
@Alternate Data Stream - 139 bytes -> C:\ProgramData\Temp:9A8F071F
@Alternate Data Stream - 139 bytes -> C:\ProgramData\Temp:5F7DD688
@Alternate Data Stream - 139 bytes -> C:\ProgramData\Temp:583FE1DA
@Alternate Data Stream - 139 bytes -> C:\ProgramData\Temp:46A2F27B
@Alternate Data Stream - 139 bytes -> C:\ProgramData\Temp:149327FE
@Alternate Data Stream - 138 bytes -> C:\ProgramData\Temp:F19A4790
@Alternate Data Stream - 138 bytes -> C:\ProgramData\Temp:B4F0E275
@Alternate Data Stream - 138 bytes -> C:\ProgramData\Temp:6EE8565A
@Alternate Data Stream - 138 bytes -> C:\ProgramData\Temp:6423D635
@Alternate Data Stream - 138 bytes -> C:\ProgramData\Temp:0A74923C
@Alternate Data Stream - 137 bytes -> C:\ProgramData\Temp:CEE4A457
@Alternate Data Stream - 137 bytes -> C:\ProgramData\Temp:B722BCE5
@Alternate Data Stream - 136 bytes -> C:\ProgramData\Temp:EA1919C7
@Alternate Data Stream - 136 bytes -> C:\ProgramData\Temp:9D6EAEC3
@Alternate Data Stream - 136 bytes -> C:\ProgramData\Temp:217A2A36
@Alternate Data Stream - 135 bytes -> C:\ProgramData\Temp:B3196E8D
@Alternate Data Stream - 135 bytes -> C:\ProgramData\Temp:2EB79F01
@Alternate Data Stream - 135 bytes -> C:\ProgramData\Temp:2C399CCA
@Alternate Data Stream - 134 bytes -> C:\ProgramData\Temp:0E22C5DB
@Alternate Data Stream - 134 bytes -> C:\ProgramData\Temp:0915A718
@Alternate Data Stream - 133 bytes -> C:\ProgramData\Temp:EC0279DC
@Alternate Data Stream - 132 bytes -> C:\ProgramData\Temp:D3A89E47
@Alternate Data Stream - 132 bytes -> C:\ProgramData\Temp:88AE8AB0
@Alternate Data Stream - 132 bytes -> C:\ProgramData\Temp:4A966CC2
@Alternate Data Stream - 132 bytes -> C:\ProgramData\Temp:00811B66
@Alternate Data Stream - 131 bytes -> C:\ProgramData\Temp:96646EC1
@Alternate Data Stream - 131 bytes -> C:\ProgramData\Temp:3C0887BF
@Alternate Data Stream - 130 bytes -> C:\ProgramData\Temp:DA18D4E3
@Alternate Data Stream - 130 bytes -> C:\ProgramData\Temp:56C66609
@Alternate Data Stream - 130 bytes -> C:\ProgramData\Temp:4A448DB2
@Alternate Data Stream - 129 bytes -> C:\ProgramData\Temp:1B3549F2
@Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:CE8A42A3
@Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:3790BACD
@Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:35629AE6
@Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:29861223
@Alternate Data Stream - 127 bytes -> C:\ProgramData\Temp:32A82570
@Alternate Data Stream - 127 bytes -> C:\ProgramData\Temp:10CFA7D4
@Alternate Data Stream - 127 bytes -> C:\ProgramData\Temp:0588E665
@Alternate Data Stream - 125 bytes -> C:\ProgramData\Temp:E2B84483
@Alternate Data Stream - 125 bytes -> C:\ProgramData\Temp:ADAD2FFE
@Alternate Data Stream - 125 bytes -> C:\ProgramData\Temp:A774141A
@Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:8DD20B4A
@Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:864881BF
@Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:378824DE
@Alternate Data Stream - 123 bytes -> C:\ProgramData\Temp:EC20549D
@Alternate Data Stream - 123 bytes -> C:\ProgramData\Temp:A0CB43B2
@Alternate Data Stream - 123 bytes -> C:\ProgramData\Temp:29C0641D
@Alternate Data Stream - 121 bytes -> C:\ProgramData\Temp:F43B7E8F
@Alternate Data Stream - 121 bytes -> C:\ProgramData\Temp:8DD36B71
@Alternate Data Stream - 121 bytes -> C:\ProgramData\Temp:3B07E6F4
@Alternate Data Stream - 120 bytes -> C:\ProgramData\Temp:ED9B661E
@Alternate Data Stream - 120 bytes -> C:\ProgramData\Temp:AE9351E0
@Alternate Data Stream - 120 bytes -> C:\ProgramData\Temp:7B2BB690
@Alternate Data Stream - 120 bytes -> C:\ProgramData\Temp:4111E573
@Alternate Data Stream - 120 bytes -> C:\ProgramData\Temp:2ADF9928
@Alternate Data Stream - 119 bytes -> C:\ProgramData\Temp:89F44603
@Alternate Data Stream - 119 bytes -> C:\ProgramData\Temp:3086B95F
@Alternate Data Stream - 119 bytes -> C:\ProgramData\Temp:041C0562
@Alternate Data Stream - 119 bytes -> C:\ProgramData\Temp:03D08225
@Alternate Data Stream - 118 bytes -> C:\ProgramData\Temp:9D03192E
@Alternate Data Stream - 118 bytes -> C:\ProgramData\Temp:063969F8
@Alternate Data Stream - 117 bytes -> C:\ProgramData\Temp:B1381B34
@Alternate Data Stream - 116 bytes -> C:\ProgramData\Temp:DD95E6D9
@Alternate Data Stream - 116 bytes -> C:\ProgramData\Temp:40EE25BB
@Alternate Data Stream - 116 bytes -> C:\ProgramData\Temp:25BB767E
@Alternate Data Stream - 116 bytes -> C:\ProgramData\Temp:132714FA
@Alternate Data Stream - 115 bytes -> C:\ProgramData\Temp:1CE87230
@Alternate Data Stream - 115 bytes -> C:\ProgramData\Temp:109734F6
@Alternate Data Stream - 114 bytes -> C:\ProgramData\Temp:F760FD47
@Alternate Data Stream - 114 bytes -> C:\ProgramData\Temp:CF61CE5A
@Alternate Data Stream - 114 bytes -> C:\ProgramData\Temp:8BFA0030
@Alternate Data Stream - 114 bytes -> C:\ProgramData\Temp:169E7AC5
@Alternate Data Stream - 113 bytes -> C:\ProgramData\Temp:AACD5156
@Alternate Data Stream - 113 bytes -> C:\ProgramData\Temp:2CED8825
@Alternate Data Stream - 113 bytes -> C:\ProgramData\Temp:00AA4B31
@Alternate Data Stream - 107 bytes -> C:\ProgramData\Temp:966CEAE7
@Alternate Data Stream - 106 bytes -> C:\ProgramData\Temp:723E56EC
@Alternate Data Stream - 104 bytes -> C:\ProgramData\Temp:7CEDF9F3
@Alternate Data Stream - 104 bytes -> C:\ProgramData\Temp:3A6BC948
@Alternate Data Stream - 103 bytes -> C:\ProgramData\Temp:95198126
@Alternate Data Stream - 102 bytes -> C:\ProgramData\Temp:47408F84
@Alternate Data Stream - 101 bytes -> C:\ProgramData\Temp:9124CA95
@Alternate Data Stream - 101 bytes -> C:\ProgramData\Temp:4F7D133D
@Alternate Data Stream - 100 bytes -> C:\ProgramData\Temp:5E9B629B
@Alternate Data Stream - 100 bytes -> C:\ProgramData\Temp:3DB6F365
:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
"DisableMonitoring" = dword:0x00
:Commands
[emptytemp]
[Reboot]
chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
04.05.2012, 14:00
| #8 |
| | Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista Hallo Chris, hier der erste Teil. Ich hab die drei Dateien durch Virus Total laufen lassen. Die Ergebnisse findest Du im Anhang. C:\Windows\System32\drivers\Wdkbdmou.sys Da hat es was gefunden C:\Users\SL\AppData\Roaming\plac7600.exe Das scheint zu Windows zu gehören C:\Users\SL\Desktop\vo64u0ef.exe Das ist das GMER Programm. Ich hab es trotzdem mal gescannt. Ich probier mich jetzt an dem OTL-Fix. Danke für deine Unterstützung. Salu_salu |
|
04.05.2012, 14:11
| #9 | |
| | Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista Hi, ich bins nochmal. Hier das OTL Log Zitat:
Du hattest noch gefragt, ob da schonmal ein Trojaner war. Ja, ziemlich bald nachdem ich den Rechner neu bekommen hatte, über eine Website. Damals ging gar nichts mehr aber Lenovo hat ein System Recovery. Also hab ich unter Anleitung von Lenovo den Trojaner "beseitigt" und die System Recovery benutzt. Seit dem funktioniert die automatische Sicherung nicht mehr, da konnten die mir auch nicht weiterhelfen und seitdem sichere ich eben auf meinen Serverspace oder auf die externe Festplatt. Manchmal lädt der Desktop nicht auf Anhieb. Und im Moment verschwinden gerne Dateien vom Desktop (Logfiles, eben das ganze OTL Programm). Ich vermute mal, dass das auch an anderer Stelle geschieht, ohne das ich es gleich mitbekomme. Wie gesagt, alle wichtigen Daten sind gesichert. Viel passieren kann eigentlich nicht, ich würde nur gerne wieder von zu Hause aus arbeiten können..... Danke für die sorgfältige Unterstützung! salu_salu |
|
05.05.2012, 14:17
| #10 |
| | Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista Hi, in dem Fall lassen wir mal eines der schwereren Geschütze vond er Line: Hitman Lade Dir die passende Version von Hitman runter (32/64Bit), laufen lassen und Log posten. ACHTUNG: Firewall muss für Hitman geöffnet sein (Zugriff unbedingt erlauben!) Downloads - SurfRight Falls Hitman was findet, Du kannst über den Reiter "Lizenz" eine 30-Tage Lizenze kostenlos zum ausprobieren bekommen... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
05.05.2012, 23:11
| #11 |
| | Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista Hi Chris, hier die Ergebnisse von Hitman. Er hat 2 Sachen gefunden, und ein paar tracking cookies. Ich hab ihn das bereinigen lassen und beim nächsten Scan war dann alles ok. Die Ergebnisse findest Du im Anhang. Soll ich die Dateien in Quarantäne entfernen lassen? Dann hab ich noch eine Frage. Was ist mit dem Wdkbdmou.sys? da hatte gestern VirusTotal etwas gefunden. Was mach ich jetzt am besten damit? In den anderen Programmen taucht es ja nicht als bedenklich auf. Ist jetzt alles in Ordnung? Oder soll ich den Laptop neu aufsetzten oder gibt es noch weitere Tools? Du siehst, weiterhin jede Menge Fragen. Danke für deine Antworten und viele Grüße salu_salu |
|
06.05.2012, 20:24
| #12 |
| | Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista Hi, halte das bezüglich (Wdkbdmou.sys) für einen Fehlalarm... . Wenn Du den Rechner ohne Probleme Neuaufsetzen kannst, dann tue es... Er sollte jetzt aber auch wieder gaaaanz normal laufen... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
06.05.2012, 21:38
| #13 |
| | Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista Hi Chris, herzlichen Dank für die klasse Begleitung. Den Spendenlink hab ich genutzt, ich hoffe, ich kann Eure tolle Arbeit ein bisschen unterstützen. Alles Gute! salu_salu |
|
| Themen zu Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista |
| abgesicherten, adresse, anhang, besten, bildschirm, brenner, code, decrypthelper, ebenfalls, euro, helper, infiziert, infizierte, laptop, lenovo, mail, modus, programme, rechner, rechnung, start, startet, telekom-rechnung, telekomrechnung, trojaner, trojaner-board, vista, windows, windows vista, windows-verschlüsselungs trojaner |
8F9D810 deleted successfully.
Linear-Darstellung
