Hallo,

ich habe das gleiche Problem wie einige User vor mir schon geschrieben haben.
Ich habe eine e-mail bekommen mit einer Rechnung und einem Anhang mit zip-Datei. In dieser war ein Windows Verschlüsselungs Trojaner versteckt.
Der Laptop ist nun nicht mehr startbar.
Nach den Hinweisen hier im board habe ich eine CD erstellt und den Laptop von dieser gestartet (OTL PE). Ich habe den scan durchlaufen lassen und die Datei auf einem Stick gespeichert, nur die erste Datei habe ich nicht erstellen können, damit bin ich nicht klar gekommen. Die OTL Textdatei versuche ich mal hier anzuhängen.
Ich bin nicht so firm in diesen Dingen. Für jeden Tip währe ich dankbar.

Gruß Jan

hi
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKU\Eileen_ON_C..\Run: [C8B32D7C] C:\WINDOWS\system32\3556479EC8B32D7CF5A6.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\Eileen_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Eileen_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
[2012/05/02 12:48:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Eileen\Anwendungsdaten\Mzchk
:Files
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

Zitat:

Zitat von markusg

...
• Klicke nun bitte auf den Fix Button.

Ist damit der >Run Fix< gemeint?

Zitat:

...es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.

Die Daten von deinem Post erscheinen nun unten in dem Kasten >Custom Scans/Fixes< richtig?

Zitat:

...dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

Dieses passiert nicht, nach nochmaligem betätigen von >Run Fix< ist nichts passiert.

Gruß Jan

dann den fix per hand eintragen.

Mit manuell hat es geklappt, >Processing complete< zeigt er mir jetzt unterm Textfeld. Vorher stand etwas mit reboot, habe yes gedrückt. Nun geht´s aber nicht weiter, er fährt nicht runter?
Soll ich manuell runterfahren und neu starten?

Achja, Danke für die schnelle Hilfe

Gruß Jan

PS manuell runtergefahren, otl gesucht, hier angehängt, muß jetzt loß zur Arbeit, sorry.

startet er normal? falls ja:
mache ein backup deiner wichtigen dateien die verschlüsselt sind
auf ein externes laufwerk
dann entschlüsseln:
http://www.trojaner-board.de/114224-...-unlocker.html
klicke: gesammtes verzeichniss entschlüsseln
teile mir mit obs geklappt hatt

Hallo Markus,

also schon mal für deine Hilfe.
Ja er startet normal und ich erkenne auf die schnelle nur eine gesperrte Datei. (an dem Symbol auf dem Desktop ist ein locked)

Woran erkenne ich die gesperrten Dateien?

Ich habe kein Externes Laufwerk?

Gruß Jan
der schon sehr erleichtert ist

hi,
windows suche, tippe:
*.locked
enter und gucke mal was raus kommt.
wegen externem laufwerk.
wie machst du denn backups? denk drann festplatten können kaputt gehen.

Zitat:

Zitat von markusg

...wie machst du denn backups? denk drann festplatten können kaputt gehen.

Ich weis, böser Fehler. Ich hab mal etliche CD´s verbraucht für ein backup. Da bin ich noch zu schluderig.

So wieder zum Thema:
Suche hat nix gefunden? Muß ich mir jetzt Sorgen machen?

PS
Soll ich dir die mails mit den "Trojanisierten" Anhängen irgendwie zukommen lassen? Es sind 2 verschiedene.

PPS
Die Suche mit *.locked hat nix ergeben aber die Blider die auf´m Laptop waren sind alle "locked", warum hat das die Suchfunktion nicht gefunden? Ich hab nach allen Dateien, Bildern usw suchen lassen.

kannst du mir mal das chema der verschlüsselten dateien nennen?
mails:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.

auch in zukunft, mails, von unbekannten absendern, mit anhang, gern weiter leiten.

was meinst du mit chema?
Alles ex-Bilder jetzt FSPI, MBCZ, EQRF, UTEQ usw lustige Dateibezeichnungen.

Mail laufen über yahoo.

dann mal in yahoo die mail weiterleiten an mich.
außerdem brauche ich den header der mail. aus yahoo hilfe:
Um den vollständigen Header einer Mail anzuzeigen, klicken Sie auf den Link "Voll-Header" unten rechts unterhalb Ihrer Mail.

Hi,

habe beide mail´s an deine Adresse geschickt und den Header (hab Hader geschrieben) unten rann gehangen.

Vielen Dank nochmal für die Hilfe, leider werd ich die Bilder nicht retten können, da keine Sicherung. Konnte aber meine Frau überzeugen, das wir eine Externe Festplatte benötigen.

Ich werde euch auch einen Spendenbeitrag zukommen lassen, Danke für die tolle Arbeit die ihr leistet.

gerne, bei weiteren mails, ungefragt an mich :-)

also sind jetzt bei dir keine dateien mehr zu entschlüsseln bzw hast du sie gelöscht?