Eine Freundin hat sich einen Verschlüsselungstrojaner eingefangen, der Geld von ihr fordert. Ich habe nach Anweisung die OTLPE- CD gebrannt und den Rechner gestartet. Anbei die OTL.txt, vielen Dank für schnelle Hilfe.
LG kermit13

hi
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKU\patrizia_ON_C..\Run: [349B947D] C:\Users\patrizia\AppData\Roaming\Blrroyah\3B7E1E26349B947D1E4F.exe ()
[2012/05/15 09:37:15 | 000,000,000 | ---D | C] -- C:\Users\patrizia\AppData\Roaming\Blrroyah
:Files
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

Hallo Markus,

habe nach deinen Anweisungen die CD ausgeführt, das fix laufen lassen und es wurde processing completed angezeigt. Danach wurde ich zwar gefragt, ob der Computer neu gestartet werden soll, danach passierte aber nichts mehr. Nachdem ich den PC dann manuell gestartet habe, war keine otl.txt zu finden.

Ich konnte das fix weder vom Stick noch von C starten und musste alles manuell in das Custom- fenster kopieren. Danach lief es zwar, aber mit besagtem Ergebnis. Dies habe ich jetzt mehrmals versucht, jeweils mit dem gleichen Resultat. Komme nicht weiter.

Hi Markus,

das log wird weiterhin nicht angezeigt ... err msg: falsches Format, falsches Laufwerk oder falscher Dateiname.

Nutzt es, die movedfiles unter c:\_OTL gezipped zu posten?

Kann ich irgendetwas anderes tun, um sinnvolld logs zu erzeugen?

Danke für deine Hilfe!

kannst du den pc wieder starten?

ja, ich kann den pc starten (und ich sehe in c:\_OTL movedfiles.)

Ausserdem sind sehr viele files unterschiedlicher Formate beschädigt. Es erscheint beim öffnen die msg, dass sie beschädigt sind.

die infektionsquelle:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
makrusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

entschlüsselung:
http://www.trojaner-board.de/115496-...tml#post831090
mal versuchen.

Hallo markus, die Mail ist in einem Browser empfangen worden, nicht mit einem Mailprogramm. Wie ist das weitere Vorgehen hier? (yahoo Mail)

ok, wir hatten die mails noch ungeöffnet auf einem t-online account. Die insgesamt 5 Trojaner sind gerade als eml in einem 7z versendet worden.
Danke!

Der ShadowExplorer bringt keine Veränderung -- die files sind weiterhin beschädigt, obwohl ich einen Wiederherstellungszeitpunkt vor der Aktivierung des Trojaners ausgewählt habe (10.5.2012).

Ignoriert man die corrupted files, so scheint der pc 'normal' zu funktionieren. Ich hatte ihn nicht am Netz.

Ich werde morgen andere tools ausprobieren zur Datenwiederherstellung + wenn gegeben logs posten.

Danke nochmal

Markus,
das ist der komplette defogger output ... + dds logs im anhang

Log created at 08:47 on 24/05/2012 (patrizia)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-



defogger_enable by jpshortstuff (23.02.10.1)
Log created at 08:48 on 24/05/2012 (patrizia)

Parsing file...


-=E.O.F=-


Malwarebytes läuft gerade, aber ich kann die db nicht aktualisieren, da ich im jetzigen Zustand den Rechner nichts ans Netz bringen will.

Thx.

Malwarebytes fand keine infizierten Dateien -- 0.

bitte mache doch nur die angeforderten sans...

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

... im anhang das combofix log -- alle scanner sollten deaktiv gewesen sein.

nach einem neustart sind die dateien noch beschädigt.

ok, du musst leider abwarten bis wir nen neues tool haben zur entschlüsselung

Hi Markus,

ok, gut, ich bin ab heute Abend für 2 Wochen nicht oder nur sehr sporadisch online und kann an dem pc keine neuen Sachen testen.

2 Fragen habe ich noch:

Ist der Rechner jetzt frei von Trojanern und anderen ungebetenen Gästen?
In dem Fall würde ich in 2 Wochen Kaspersky kaufen + installieren und den Rechner dann schonmal zurückgeben, da bis auf die Entschlüsselung nichts mehr zu tun ist.

Wann schätzt du größenordnungsmäßig können die Daten entschlüsselt werden (Wochen/Monate/...) Muss ich mich auf etwas subscriben um davon zu wissen?

Vielen Dank für deine supergute Hilfe!
LG, kermit13

hi, na ich hoffe in 2 wochen sind wir weiter.

ich informiere dich, bzw wirst du auch bestimmt nen hinweis fenster bekommen wenn du eingelogt bist.
der rechner is soweit ok