|
Log-Analyse und Auswertung: Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKashWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
01.05.2012, 11:47 | #1 |
| Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash Hallo Leute! Frisch aus dem Urlaub zurück brachte mir meine Mutter als Willkommensgeschenk ihr Notebook mit einem Trojaner verseucht vorbei... . Es handelt sich hierbei um die Windows-Update - Meldung: "Sie haben sich mit einen Windows-Verschlüsselungs Trojaner infiziert." Da ich außer den "Windows-Update" - Bildschirm nichts mehr sehe oder anklicken kann (TaskMgr ist ebenfalls gesperrt), habe ich mich an folgender Anleitung gehalten: Sie haben sich mit einen Windows-Verschlüsselungs Trojaner infiziert. Zumindest bin ich soweit gekommen, dass die LOG-Datei vom Scan nach Änderungsdatum (OLT.txt) vorliegt. Allerdings benötige ich schon hier eure Hilfe: Ich weiß nicht, welche Dateien als fix.txt eingetragen werden müssen. Der Trojaner kam als eMail via Outlook herein. Der Anhang wurde am 25.04. zwischen 17:40 und 18:20 Uhr geöffnet. Die LOG-Datei OLT.txt schicke ich im Anhang mit. Es scheinen alle persönlichen Dateien verschlüsselt zu sein. Dies gilt leider auch für die BackupDateien, da das Medium angeschlossen war. Wären dort nicht unwiederbringliche Dateien und Bilder, würde ich euch damit nicht belästigen wollen. So bleibt mir nur auf eure Hilfe zu hoffen. Vielen Dank schon mal im Voraus! |
02.05.2012, 19:23 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?
__________________Abgesicherter Modus zur Bereinigung
__________________ |
02.05.2012, 20:09 | #3 |
| Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash Hi Arne,
__________________leider erscheint im Abgesicherten Modus (auch ohne Netzwerktreiber) ein Bluesreen, gefolgt vom automatischen Reboot. Das Notebook lässt sich nur noch "Normal" starten... Gruß Sid |
02.05.2012, 20:22 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL O4 - HKU\Gast_ON_C..\Run: [D48ACA77] C:\WINDOWS\system32\2BE82C09D48ACA774D0E.exe (THHiq) O4 - HKU\Mama_ON_C..\Run: [Bomgar Support Reconnect []] File not found O4 - HKU\Mama_ON_C..\Run: [D48ACA77] C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\Lzwuxcpopbf\2585819DD48ACA77B2EB.exe (THHiq) O4 - HKU\Mama_ON_C..\Run: [Realtecdriver] File not found O4 - HKU\Mama_ON_C..\Run: [TomTomHOME.exe] File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1 O7 - HKU\Mama_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O7 - HKU\Mama_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1 O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\2BE82C09D48ACA774D0E.exe) - C:\WINDOWS\system32\2BE82C09D48ACA774D0E.exe (THHiq) O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2007/12/01 08:25:04 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{852dc9a4-e4e3-11dd-9366-0019d2cfd30f}\Shell - "" = AutoRun O33 - MountPoints2\{852dc9a4-e4e3-11dd-9366-0019d2cfd30f}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{852dc9a4-e4e3-11dd-9366-0019d2cfd30f}\Shell\AutoRun\command - "" = F:\VTP_Manager.exe @Alternate Data Stream - 109 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:C46995DA :Files C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\Lzwuxcpopbf C:\WINDOWS\System32\2BE82C09D48ACA774D0E.exe C:\WINDOWS\System32\winsh323 C:\WINDOWS\System32\winsh322 C:\WINDOWS\System32\winsh321 C:\WINDOWS\System32\winsh320 C:\WINDOWS\System32\winsh325 C:\WINDOWS\System32\winsh324 :Commands [purity] [resethosts] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen: 1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen! 2.) Ordner movedfiles in C:\_OTL in eine Datei zippen 3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html 4.) Wenns erfolgreich war Bescheid sagen 5.) Erst dann wieder den Virenscanner einschalten
__________________ Logfiles bitte immer in CODE-Tags posten |
02.05.2012, 21:49 | #5 |
| Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash Hallo, sorry das es so lange dauert. Also, der Reihe nach: Nach dem Fix lässt sich das Notebook wieder starten! (Erster wichtiger Teilerfolg!!) Klar, die Dateien sind noch verschlüsselt.... . Leider wurde anscheint zuletzt der "Gast" - User angemeldet. (Ein Versuch meiner verzweifelten Ma) Dieser kann sich jetzt auch wieder anmelden. Alle anderen Konten, darunter die Admin-Konten, können nicht angemeldet werden. Die Konten sind noch vorhanden und nicht gesperrt, das PW kann (falls es vom Trojaner verändert wurde) nicht über das Gastkonto verändert werden. Um die movedfiles zu zippen, soll n. M. der Virenscanner deaktiviert werden. Dies kann der Gast-Account nicht. Ich suche nun fieberhaft eine lauffähige ERD, um das Adminkonto mit einem neuen PW zu überschreiben. Hier schon einemal das LOGfile vom Fix: HTML-Code: ========== OTL ========== Registry value HKEY_USERS\Gast_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\D48ACA77 deleted successfully. C:\WINDOWS\system32\2BE82C09D48ACA774D0E.exe moved successfully. Registry value HKEY_USERS\Mama_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\Bomgar Support Reconnect [ not found. Registry value HKEY_USERS\Mama_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\D48ACA77 deleted successfully. C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\Lzwuxcpopbf\2585819DD48ACA77B2EB.exe moved successfully. Registry value HKEY_USERS\Mama_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\Realtecdriver deleted successfully. Registry value HKEY_USERS\Mama_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\TomTomHOME.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully. Registry value HKEY_USERS\Mama_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully. Registry value HKEY_USERS\Mama_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\2BE82C09D48ACA774D0E.exe deleted successfully. File C:\WINDOWS\system32\2BE82C09D48ACA774D0E.exe not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\ deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully! C:\AUTOEXEC.BAT moved successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{852dc9a4-e4e3-11dd-9366-0019d2cfd30f}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{852dc9a4-e4e3-11dd-9366-0019d2cfd30f}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{852dc9a4-e4e3-11dd-9366-0019d2cfd30f}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{852dc9a4-e4e3-11dd-9366-0019d2cfd30f}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{852dc9a4-e4e3-11dd-9366-0019d2cfd30f}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{852dc9a4-e4e3-11dd-9366-0019d2cfd30f}\ not found. File F:\VTP_Manager.exe not found. ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:C46995DA deleted successfully. ========== FILES ========== C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\Lzwuxcpopbf folder moved successfully. File\Folder C:\WINDOWS\System32\2BE82C09D48ACA774D0E.exe not found. C:\WINDOWS\System32\winsh323 moved successfully. C:\WINDOWS\System32\winsh322 moved successfully. C:\WINDOWS\System32\winsh321 moved successfully. C:\WINDOWS\System32\winsh320 moved successfully. C:\WINDOWS\System32\winsh325 moved successfully. C:\WINDOWS\System32\winsh324 moved successfully. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully OTLPE by OldTimer - Version 3.1.48.0 log created on 05022012_234038 Vielen Dank schon einmal für deine Hilfe!! Sooooooooo!!!!! Nach einer gefühlten Ewigkeit konnte ich das PW vom Administrator wieder zurücksetzten. Nun besteht auch wieder uneingeschränkter Zugriff auf Dateien und Programme. Die Dateien im Ordner MovedFiles habe ich via Upload-Channel entsprechend hochgeladen. Bevor ich mit irgendwelchen wilden entschlüsselungsversuche anfange, warte ich lieber auf dein GO.... Zumal es immer mal wieder andere Programme sind, die von euch eingesetzt bzw. empfohlen werden. So long, und vielen Dank!! |
03.05.2012, 13:41 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen! Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden. Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! ESET Online Scanner
Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code:
ATTFilter hier steht das Log
__________________ --> Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash |
03.05.2012, 18:30 | #7 |
| Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash Halöle, hier nun die LOG-Dateien: LOG von Malwarebytes: Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.05.03.04 Windows XP Service Pack 3 x86 FAT32 Internet Explorer 7.0.5730.13 Administrator :: MAMA-MOBILE [Administrator] Schutz: Aktiviert 03.05.2012 16:29:01 mbam-log-2012-05-03 (16-29-01).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 340934 Laufzeit: 46 Minute(n), 47 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 1 HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 18 C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\Mdpflgw\307D3DBED48ACA772A23.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\Realtec\Realtecdriver.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen\Temp\bzvtiansgf.pre (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen\Temp\ndysnpbtcr.pre (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen\Temp\nrmsaybvkr.pre (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen\Temp\shanlvtiej.pre (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen\Temp\giexzgqnpd.pre (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\Mama\Lokale Einstellungen\Temp\humipflgwh.pre (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Programme\Nero\Nero 7\keymaker.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Programme\Nero\Nero 7\CD\keymaker.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\System Volume Information\_restore{BBF408FF-13E2-45D1-BE80-699D2ADBA5C0}\RP1\A0000004.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\System Volume Information\_restore{BBF408FF-13E2-45D1-BE80-699D2ADBA5C0}\RP1\A0001007.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\System Volume Information\_restore{BBF408FF-13E2-45D1-BE80-699D2ADBA5C0}\RP1\A0001012.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\System Volume Information\_restore{BBF408FF-13E2-45D1-BE80-699D2ADBA5C0}\RP1\A0001021.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\System Volume Information\_restore{BBF408FF-13E2-45D1-BE80-699D2ADBA5C0}\RP1\A0001026.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\_OTL\MovedFiles\05022012_234038\C_Dokumente und Einstellungen\Mama\Anwendungsdaten\Lzwuxcpopbf\2585819DD48ACA77B2EB.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\_OTL\MovedFiles\05022012_234038\C_WINDOWS\system32\2BE82C09D48ACA774D0E.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. F:\DecryptHelper-0.5.2.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Code:
ATTFilter ESETSmartInstaller@High as CAB hook log: OnlineScanner.ocx - registred OK # version=7 # IEXPLORE.EXE=7.00.6000.17109 (vista_gdr.120227-1644) # OnlineScanner.ocx=1.0.0.6583 # api_version=3.0.2 # EOSSerial=06f63a875080e64db6f00c1500aa90ac # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2012-05-03 04:51:51 # local_time=2012-05-03 06:51:51 (+0100, Westeuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=8192 67108863 100 0 680 680 0 0 # scanned=77496 # found=1 # cleaned=0 # scan_time=3175 C:\_OTL\MovedFiles.zip Win32/Trustezeb.A trojan (unable to clean) 00000000000000000000000000000000 I Danke!!!! |
03.05.2012, 18:39 | #8 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKashZitat:
Siehe auch => http://www.trojaner-board.de/95393-c...-software.html Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden. Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!! Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein! In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials
__________________ Logfiles bitte immer in CODE-Tags posten |
03.05.2012, 19:13 | #9 |
| Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash Hallo, klar, ist auch I.O. Natürlich war auch mir der Eintrag aufgefallen, dennoch hielt ich es für völlig daneben diesen zu "verschleiern".... . Leider hatte ich kein Einfluss darauf, was meine Geschwister so mit dem Notebook anstellen. LG Sid |
04.05.2012, 09:00 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash Tja, das ist natürlich nicht schön, da müsstest du evtl auch mal den Mitbenutzern mitteilen was man darf und was nicht - nicht nur deswegen, sondern weil illegale Cracks/Keygens brandgefährlich für das Windows-System sind Falls noch Dateien entschlüsselt werden müssen, findesu dazu Hinweise genug hier im Board, anschließend sollst du alles sichern und dem Artikel zur Neuinstallation von Windows folgen.
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash |
anhang, anleitung, benötige, bilder, bildschirm, dateien, dateien verschlüsselt, ebenfalls, email, folge, geschlossen, gesperrt, infiziert, infiziert., klicke, klicken, leute, log-datei, meldung, nichts, notebook, outlook, scan, trojaner, trojaner - gesperrte dateien, urlaub, verschlüsselung trojaner ukash 50, verseucht, windows-update |