Hallo zusammen,

der PCs meines Vaters ist offensichtlich leider seit vorgestern mit einem Verschluesselungstrojaner infiziert. Keine Chance an den Desktop ranzukommen, es wird nach einem Freischaltcode fuer eine abgelaufene Windowslizenz gefragt der fuer 100 EUR erworben werden soll. Nach Aussage von meinem Dad bootet der PC zwar allerdings sind wie auch bei anderen betroffenen Usern die Startsquenzen "ausgegraut". Nach kurzer Anzeige des Desktops (der aber wohl aber nicht der original Desktop ist) kommt die Windows Lizenz Meldung mit moeglicher Eingabe eines Freischaltcodes. Interessant ist noch, ich konnte mich via Gotomypc remote einloggen (war nicht Vor-ort). Anscheinend laufen also noch Programme (z.b. Gotomypc server) im Hintergrund...

Ursache war wohl eine personalifizierte Email an meinen Dad mit einer Fake Bestellbestaetigung (Bestellung.zip). Im Betreff stand "Artikelerwerb 84806653658". Die zip hat mein Dad wohl geoeffnet und dann die darin enthaltene Rechnung.exe ausgefuehrt. Email Text:

""Vielen Dank für Ihren Einkauf bei comtech.de, nachfolgend finden Sie Ihre Einkaufsbestätigung. Deine Bestellnummer: 357350771973. Artikel: Sony 5178313599 704,63 Euro""

Nach meiner Recherche funktioniert die Bereinigung der Trojaner ja jeweils anders deshalb nun meine Frage, wie soll man bei diesem Fu..er vorgehen? Bin leider erst heute Abend bei meinem Dad um dann eine Boot CD (mit einem nicht-infizierten PC) zu erstellen und die Logtools auszufuehren. Bis dahin kennt jemand diese Form des Trojaners und wie soll man vorgehen?

1000 Dank an alle!!

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?



Abgesicherter Modus zur Bereinigung

• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:
  
  

Leider nein. Weder mit noch ohne Netzwerktreiber landet er im Bluescreen of Death.

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

• Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Hallo,

habe die Schritte nun endlich ausgefuehrt. Tja man sollte halt doch Rohlinge zu Hause haben...

Allerdings konnte ich weder die Option "Select folder" noch "Do you wish to load the remote registry" oder "Do you wish to load remote user profile(s) for scanning". er ging direkt zur Auswahl der User Profiles. Ich habe Admin markiert gelassen und einen Haken bei "Automatically Load All Remaining Users" gesetzt. Vielleicht liegts daran dass Reatogo mit OTLPE Version 3.1.48.0 besteuckt ist?

Die zwei Files wurden jedoch erstellt. Hab sie hochgeladen. Oder ist es besser den Text mit copy/paste im Thread zu posten?

Nochmals Danke an alle und viele Gruesse!!

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKLM..\Run: [UserFaultCheck]  File not found
O4 - HKU\Edmund_ON_C..\Run: [3C5F85CB] C:\WINDOWS\system32\85C602153C5F85CBB6DA.exe (arnese esca)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Edmund_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Edmund_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Edmund_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\systemprofile_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\85C602153C5F85CBB6DA.exe) - C:\WINDOWS\system32\85C602153C5F85CBB6DA.exe (arnese esca)
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
O28 - HKLM ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - Reg Error: Key error. File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010/03/13 11:27:52 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2011/07/19 04:47:35 | 000,000,100 | ---- | M] () - E:\AUTORUN.INF -- [ NTFS ]
:Files
C:\Dokumente und Einstellungen\Edmund\Anwendungsdaten\Vbxclzjk
C:\WINDOWS\System32\85C602153C5F85CBB6DA.exe
C:\WINDOWS\System32\winsh3*
:Commands
[purity]
[resethosts]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Wow! Ihr seid die Besten. Nach erstem Check funzt wieder alles. Muss aber noch ein paar Tests machen. Anbei die Dateien. Geht ihr davon aus dass das System nun clean ist? Oder macht es Sinn nach Datensicherung es komplett neu aufzusetzen?

Nochmals 1000 Dank!!!! Mein Dad wird sich riesig freuen. Gerade rechzeitig zum Vatertag! Werde demnaechst ne umfangreiche Spende machen.

Viele Gruesse
Stephan




Anhang movedFiles von OTL entfernt //cosinus

...noch etwas: ich werde weitere Infos hier posten.

Die movedFiles sollten in den UploadChannel!!
Hab den Anhang rausgenommen, du kannst nicht einfach quarantänisierte Objekte hier öffentliche für jedermann posten! Was meinste du wohl waum der Hinweis zum Upload in den UpChannel extra gedacht war!