Hi!
Ein Bekannter hat sich durch das Öffnen einer Zip-Rechnungsdatei eine Verschlüsselungstrojaner eingefangen. Ich hab mir verschiedene Threads bei euch durchgelesen nachdem ich die betroffene Platte extern an ein funktionierendes System gehängt habe und mit Kaspersky die Trojanerdateien entfernt hab. Anschliessend lies sich aber Windows XP nixht mehr starten (hat kurz vorm Windows-schirm immer neu gebootet. Daraufhin habe ich mit einer OTPLE CD gebootet und entsprechend den Anweisungen ein Logfile erstellt. Leider ist die OTL.txt zu groß daher als ZIP File!

Anhang 34546

Wäre super wenn Ihr das bitte durchsehen und analysieren könntet!

Ich finds super was ihr hier macht!!!
Herzlichen Dank im Voraus!!!

LG

Christian

Herzlich Willkommen in unserem Forum!

Bevor Du hier im Forum postest, solltest ein paar Dinge beachten:

Deine persönlichen Angaben/Daten (die persönliche Merkmale enthalten, wie Name, Seriennummer etc) kannst Du aus dem geposteten Logs heraus löschen und durch "X" oder Sternchen ersetzen
Bitte lese Dir zuerst in Ruhe die Anweisungen durch und Du sollst dabei die Reihenfolge einhalten! Falls unvorhersehbare Probleme auftreten sollten, bitte um sofortige Rückmeldung!
ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!

Zitat:

Grundsätzlich muss ein infiziertes System als kompromittiert gelten, und man kann nie ganz sicher sein, dass man alle Folgen der Infektion beseitigen konnte. -> Lesestoff: "Hilfe: Ich wurde das Opfer eines Hackerangriffs. Was soll ich tun?" - Säubern eines gefährdeten Systems

Nämlich Dein System (zusätzlich zur schon vorhandenen) schleppt auch noch eine andere (Backdoor und Rootkit) Infektion über längere Zeit, "in diesem Zustand" eine Systembereinigung ohne div. Nebenwirkungen und hinterlassenen Schaden ist nicht mehr möglich.
Daher ich würde folgende Vorgehensweise vorschlagen:
Hast Du drauf:
- wichtige Daten die Du sichern möchtest?
- Daten, die Du entschlüsseln möchtest?

wenn ja:
- versuchen wir dein Computer brauchbar machen
- Daten entschlüsseln
- sicherst Du dann deine Daten
- installierst Windows neu

einverstanden?

► Erster Teil des 3-teiligen Verfahren, werden wir dein System auf Viren untersuchen, bzw nach einem anderen Verursacher suchen:
**Vista und Win7 Verwender: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen

1.

Zitat:

Achtung wichtig!:
Falls Du selber im Logfile Änderungen vorgenommen hast, musst Du durch die Originalbezeichnung ersetzen und so in Script einfügen! sonst funktioniert nicht!
(Benutzerordner, dein Name oder sonstige Änderungen durch X, Stern oder andere Namen ersetzt)

Fixen mit OTLPE

• Starte die OTLPE
• Kopiere folgendes Skript (unverändert inkl. :OTL):

Code: Alles auswählenAufklappen

ATTFilter

:OTL
IE - HKU\Bernhard_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.at/0SEDEAT/SAOS01?FORM=TOOLBR
IE - HKU\Bernhard_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com?o=102869&l=dis&gct=hp
IE - HKU\Bernhard_ON_C\..\URLSearchHook: {7FF23285-DBBC-49B6-818C-34AC459D5BB3} - Reg Error: Key error. File not found
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.defaulturl: "http://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q="
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..extensions.enabledItems: {6E19037A-12E3-4295-8915-ED48BC341614}:1.3
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Dokumente und Einstellungen\Bernhard\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Dokumente und Einstellungen\Bernhard\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{6E19037A-12E3-4295-8915-ED48BC341614}: C:\Programme\RelevantKnowledge [2010/02/10 10:54:40 | 000,000,000 | ---D | M]
[2011/04/28 11:46:19 | 000,002,400 | ---- | M] () -- C:\Dokumente und Einstellungen\Bernhard\Anwendungsdaten\Mozilla\Firefox\Profiles\0ugg3vyx.default\searchplugins\askcom.xml
O2 - BHO: (no name) - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKU\Bernhard_ON_C..\Run: [1Y7C9I1C0ZWVZH5WNEMNTUJ]  File not found
O4 - HKU\Bernhard_ON_C..\Run: [917551F2] C:\WINDOWS\system32\A759EF31917551F2AD69.exe (arnese esca)
O4 - HKU\NetworkService_ON_C..\Run: [1Y7C9I1C0ZWVZH5WNEMNTUJ]  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: some = C:\Programme\Online Video Add-on\icthis.exe
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\Bernhard_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Bernhard_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2005/11/18 11:57:59 | 000,000,671 | ---- | M] () - C:\autoAlbum.log -- [ NTFS ]
O32 - AutoRun File - [2009/08/26 12:18:30 | 000,000,431 | ---- | M] () - C:\Automatic Update.lst -- [ NTFS ]
O33 - MountPoints2\{4cd0b5ee-be4f-11df-94fb-000272b00026}\Shell\AutoRun\command - "" = "Install FreeAgent Tools.exe" /run
O33 - MountPoints2\{8BF315D4-5FC3-4CB5-86E2-EAE8DF00B652}\Shell - "" = AutoRun
O33 - MountPoints2\{8BF315D4-5FC3-4CB5-86E2-EAE8DF00B652}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{8BF315D4-5FC3-4CB5-86E2-EAE8DF00B652}\Shell\AutoRun\command - "" = U:\BSetup.EXE
O33 - MountPoints2\{9ab4f520-b689-11e0-962b-000272b00026}\Shell\AutoRun\command - "" = H:\InstallTomTomHOME.exe
O33 - MountPoints2\{A1B750AA-705B-4773-AD2B-84AFA859155B}\Shell - "" = AutoRun
O33 - MountPoints2\{A1B750AA-705B-4773-AD2B-84AFA859155B}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{A1B750AA-705B-4773-AD2B-84AFA859155B}\Shell\AutoRun\command - "" = U:\BSetup.EXE
[2012/05/07 15:20:00 | 000,001,222 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1409082233-1965331169-839522115-1112UA.job
[2012/05/07 15:13:40 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012/05/07 10:30:10 | 000,069,120 | -H-- | M] (arnese esca) -- C:\WINDOWS\System32\A759EF31917551F2AD69.exe
[2012/05/07 03:20:00 | 000,001,170 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1409082233-1965331169-839522115-1112Core.job

:Files
C:\WINDOWS\system32\A759EF31917551F2AD69.exe 
C:\Programme\Online Video Add-on\icthis.exe
C:\Dokumente und Einstellungen\Bernhard\Anwendungsdaten\Ljodtm
C:\WINDOWS\System32\winsh325
C:\WINDOWS\System32\winsh324
C:\WINDOWS\System32\winsh323
C:\WINDOWS\System32\winsh322
C:\WINDOWS\System32\winsh321
C:\WINDOWS\System32\winsh320
C:\Dokumente und Einstellungen\Bernhard\Anwendungsdaten\fvgqad.dat
C:\Dokumente und Einstellungen\Bernhard\Anwendungsdaten\avdrn.dat

ipconfig /flushdns /c

:Commands
[purity]
[emptytemp]
         

• und füge es hier ein:
• Schließe alle Programme.
• Klicke auf den Run Fix Button.
• Klick auf .
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

➋

Boote neu und schaue nach, ob Du schon im normalen Modus arbeiten kannst?
wenn ja, so geht es weiter:

3.
Mit diesem Programm das System prüfen:-> Malwarebytes Anti-Malware Free
-> "vollständigen Suchlauf "
-> Funde löschen lassen
-> Scanergebnis hier posten!

4.
Um festzustellen, ob veraltete oder schädliche Software unter Programme installiert sind, ich würde gerne noch all deine installierten Programme sehen:

• Download den CCleaner
  
• Software-Lizenzvereinbarung lesen, falls irgendeine Toolbar angeboten wird, bitte abwählen!-> starten -> Falls nötig, auf "Deutsch" einstellen.
• starten-> klick auf `Extras` (um auf deinem System installierte Software zu anzeigen)-> dann auf `Als Textdatei speichern...`
• ein Textdatei wird automatisch erstellt, poste auch dieses Logfile (also die Liste alle installierten Programme...eine Textdatei)

5.
Systemscan mit OTL - Nicht erneut das OTLPE starten!

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt OTL.txt und extra.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

** Die Logs von OTL meistens sind zu lang, kannst auch als Textdatei anhängen (auf "Erweitert") klicken

6.
die Trusted-Zone Einträge (015) sind von dir also absichtlich zur vertrauenswürdigen Zone zugefügt?

Code: Alles auswählenAufklappen

ATTFilter

O15 - HKU\marlene_ON_C\..Trusted Domains: amadeus.com ([diagnostic] http in Vertrauenswürdige Sites)
O15 - HKU\marlene_ON_C\..Trusted Domains: amadeusproweb.com ([*] http in Vertrauenswürdige Sites)
O15 - HKU\marlene_ON_C\..Trusted Domains: amadeusvista.com ([*] http in Vertrauenswürdige Sites)
         

Zitat:

Bitte alle Ergebnisse im Code-Tags posten!

vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein
dahinter - also am Ende der Logdatei:[/code]

gruß
kira