Hallo,

ich sitze hier auch vor einem PC, der mit dieser Malware infiziert wurde.

Stand der Dinge ist:

Der Benutzer hat eine E-Mail bekommen, die Bestellung.zip geöffnet und die Bestellung.exe gestartet.

Jetzt kommt der PC beim normalen Starten von Windows XP Professional bis zum Willkommensbildschirm und dem Anmeldesound, dann kommt das Erpresserfenster.

Ein Starten in die drei abgesicherten Modi ist nicht möglich, jedesmal erfolgt ein Neustart.

Habe die OTLPENet runtergeladen, die CD gebrannt und den PC (einen HP Compaq 6005 Pro Microtower) damit gestartet, aber der Bootvorgang des REATOGO endet nach kurzer Zeit in einem Bluescreen mit 0x0000007B (0xF78DA528, 0xC0000034, usw.)

Ich hab jetzt einfach mal zum Test die Avira-Rescue-CD eine halbe Stunde drüberlaufen lassen, dann abgebrochen, aber nichts gelöscht oder gereingt. Gefunden wurde mehrfach eine TR/Gypikon.B.5 in verschiedenen Ordnern, siehe Anhang.

Wie soll ich jetzt weiter vorgehen?

hi
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

Hi,

ich habe den OTLPENet.exe schon heruntergeladen und die CD mit dem REATOGO-X-PE gebrannt, aber der Bootvorgang von der CD endet nach der Anzeige, dass REATOGO-X-PE gestartet wird, mit einem Bluescreen, wie eingangs beschrieben. Soll ich die Festplatte mal ausbauen, in ein Gehäuse stecken und über USB an einen Laptop anschließen, auf dem ich mit der REATOGO-X-PE booten konnte und kann?

dann bitte ins bios gehen, prüfen ob dort der ide oder ahci mode konfiguriert wurde, wähle jeweils das gegenteilige aus und versuche es erneut mit der cd.

Da war ich schon. Leider bietet das HP Compaq BIOS des HP Compaq 6005 Pro Microtower nicht diese schönen Einstellungen mit IDE oder AHCI wie bei Boards von Gigabyte oder ASRock, sondern nur "LBA-unterstützt" und "Bit Shift".

Ich habs schon umgestellt, aber leider kommt trotzdem noch der Bluescreen beim Booten mit der Reatogo-X-PE-CD.

Ich könnte die Festplatte alternativ an einen anderen Rechner ohne eingebaute Festplatte anschließen, indem ich sie in ein externes Gehäuse stecke und über USB anschließe und dann dort von der Reatogo-CD boote.

Oder machen wir besser was anderes? Danke für die Hilfe, die du mir bis jetzt geleistet hast!

Mittlerweile habe ich auch die Mail aus dem Thunderbird in die Hände bekommen, die den Bestellung.zip Anhang hatte. Man beachte das Subject "[Norton AntiSpam]Bestellnummer 85627164781" und aus dem Header die "X-TOI-SPAMCLASS: DANGEROUS, ATTACHMENT"! Warum nur hat der Benutzer die Mail geöffnet! Ich schicke sie dir jetzt per Mail zu.

hi
sind auf dem gerät denn überhaupt wichtige daten oder kann man es auch neu machen.
danke für die mail

Ja, ist ein Geschäftsrechner. Da sind ein Haufen wichtige Daten drauf, und zum Glück nicht verschlüsselt worden, wie bei einigen anderen Trojaneropfern.

Ich will gerne diese Logs erstellen und mit dem Säubern weitermachen.

deaktiviere autorun auf deinem pc
http://www.trojaner-board.de/83238-a...sschalten.html
dann sagtest du ja, du kannst die platte in dein gerät einbauen, tu das bitte.
dann:

malwarebytes:
Downloade Dir bitte Malwarebytes

• Installiere
  das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche
  nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet
  ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste
  das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

danach platte wieder einbauen und starten

Ich habe die infizierte Festplatte an einen anderen Rechner gesteckt, Malwarebytes' Anti-Malware installiert und:

Juhu! Malwarebytes's Anti-Malware ist eine Dreiviertelstunde über die infizierte Festplatte gelaufen, hat die Trojaner gefunden und gelöscht! Das Log hänge ich an.

Dann habe ich die Festplatte wieder in den HP Compaq Rechner gebaut und den Rechner gestartet. Windows XP hat prima gebootet und man kann damit arbeiten.

Alle Desktopsymbole sind da. Auch alle Einträge im Startmenü.

Der Taskmanager kann nicht aufgerufen werden, weder über STRG+ALT+ENTF noch über STRG+SHIFT+ESC. Es kommt auch kein Fehlerdialogfenster.

Regedit kann nicht gestartet werden, im Fehlerdialogfenster steht: "regedit" konnte nicht gefunden werden.

Wie gehe ich weiter vor?

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.11.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Chrissi :: CHRISSI-PC [Administrator]

11.05.2012 10:23:30
mbam-log-2012-05-11 (10-23-30).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 406710
Laufzeit: 43 Minute(n), 47 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 7
E:\Daten\Sicherung_alte_Festplatte\C-Win98\WIN98\SYSTEM\Wnccdctl.log (Extension.Mismatch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
E:\Dokumente und Einstellungen\***\Anwendungsdaten\Srrptnayq\C2D158F4E0FDE369C80A.exe (Trojan.Agent.SZ) -> Erfolgreich gelöscht und in Quarantäne gestellt.
E:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\fdjmpywcme.pre (Trojan.Agent.SZ) -> Erfolgreich gelöscht und in Quarantäne gestellt.
E:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\hlfdrkwnox.pre (Trojan.Agent.SZ) -> Erfolgreich gelöscht und in Quarantäne gestellt.
E:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\nkypaveizn.pre (Trojan.Agent.SZ) -> Erfolgreich gelöscht und in Quarantäne gestellt.
E:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\vgpqzcjayf.pre (Trojan.Agent.SZ) -> Erfolgreich gelöscht und in Quarantäne gestellt.
E:\WINDOWS\system32\383E07A6E0FDE369FC44.exe (Trojan.Agent.SZ) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

http://www.trojaner-board.de/114548-...e-dateien.html
versuche mal scareuncrypt

Ich habe mir das Tool zwar runtergeladen, aber nicht ausgeführt, denn auf der Festplatte des Rechners sind keine Dateien verschlüsselt worden (zum Glück).

Aber ich habe - nachdem ich Windows ja wieder benutzen kann - auch hier Malwarebytes' Anti-Malware installiert und scannen lassen, und nach drei Stunden kam dann folgendes Ergebnis:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.11.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
*** :: BUERO [Administrator]

11.05.2012 13:21:26
mbam-log-2012-05-11 (16-13-21).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 386080
Laufzeit: 2 Stunde(n), 50 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (PUP.MyWebSearch) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 4
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Install\Drive(K)\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\comver.dll (Adware.GameSpyArcade) -> Keine Aktion durchgeführt.

(Ende)
         

Soll ich die Funde entfernen lassen? Anti-Malware ist noch gestartet.

kannst du.
was ist das für ein verzeichniss, nen backup?
C:\Install\Drive(K)

Ja, da sind 50 GB Backupdateien drin.

Ich habe die Funde entfernen lassen und starte jetzt den Rechner neu. ( Hoffentlich funktioniert Windows dann noch )

Welche Schritte muss/soll ich noch durchführen?

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.11.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
*** :: BUERO [Administrator]

11.05.2012 13:21:26
mbam-log-2012-05-11 (13-21-26).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 386080
Laufzeit: 2 Stunde(n), 50 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (PUP.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 4
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Install\Drive(K)\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\comver.dll (Adware.GameSpyArcade) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

hi,
lade den CCleaner standard:
CCleaner Download - CCleaner 3.18.1707
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.