Verschlüsselungstrojaner

cosinus · 01.07.2012, 16:02

Starte Windows neu im abgesicherten Modus (mit Netzwerktreibern nach Möglichkeit), manchmal hakt das Fixen mit OTL im normalen Modus aber sehr oft funktioniert der Fix im abgesicherte Modus.

paule11 · 03.07.2012, 13:58

Hallo Arne,
habe im abgesicherten Modus,mit Netzwerktreibern,Win7 neu gestartet.Doch das Fixen von OTL funktioniert nicht. Erhalte immer wieder den Blue Screen.
PC geblockt.
Danke
Paule11

cosinus · 03.07.2012, 14:55

Probier das hier mal als Fixscript

Code:

ATTFilter

:OTL
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)"
FF - prefs.js..browser.startup.homepage: "http://www.web.de/"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=109986&tt=171011_prot&babsrc=KW_ss&mntrId=422cd4650000000000000015835015af&q="
FF - user.js - File not found
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\ocr@babylon.com: C:\Program Files\Babylon\Babylon-Pro\Plugins\ocr@babylon.com [2012.04.01 13:18:15 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\adapter@babylontc.com: C:\Program Files\Babylon\Babylon-Pro\TC\adapter@babylontc.com [2012.04.01 13:18:15 | 000,000,000 | ---D | M]
[2012.04.29 12:11:29 | 000,000,000 | ---D | M] (Click&amp;Clean) -- C:\Users\Brockhoff\AppData\Roaming\mozilla\Firefox\Profiles\pj1hyd81.tarnfox\extensions\clickclean@hotcleaner.com
[2012.05.19 14:27:14 | 000,000,000 | ---D | M] ("I Want This") -- C:\Users\Brockhoff\AppData\Roaming\mozilla\Firefox\Profiles\pj1hyd81.tarnfox\extensions\crossriderapp2258@crossrider.com
[2012.06.02 18:15:05 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Brockhoff\AppData\Roaming\mozilla\Firefox\Profiles\qjz1gcck.default\extensions
[2012.05.19 14:27:13 | 000,000,000 | ---D | M] ("I Want This") -- C:\Users\Brockhoff\AppData\Roaming\mozilla\Firefox\Profiles\qjz1gcck.default\extensions\crossriderapp2258@crossrider.com
[2011.12.25 15:57:32 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Brockhoff\AppData\Roaming\mozilla\Firefox\Profiles\qjz1gcck.default\extensions\ffxtlbr@babylon.com
[2012.05.12 15:36:38 | 000,000,000 | ---D | M] ("Ask Toolbar") -- C:\Users\Brockhoff\AppData\Roaming\mozilla\Firefox\Profiles\qjz1gcck.default\extensions\toolbar@ask.com
[2009.10.20 10:47:24 | 000,002,256 | ---- | M] () -- C:\Users\Brockhoff\AppData\Roaming\Mozilla\Firefox\Profiles\qjz1gcck.default\searchplugins\djxnfNsQTODXNsuaO
[2011.11.03 19:57:54 | 000,002,419 | ---- | M] () -- C:\Users\Brockhoff\AppData\Roaming\Mozilla\Firefox\Profiles\qjz1gcck.default\searchplugins\DvXrsUAxnfyqtoUAGLVqt
[2011.11.07 13:37:58 | 000,000,923 | ---- | M] () -- C:\Users\Brockhoff\AppData\Roaming\Mozilla\Firefox\Profiles\qjz1gcck.default\searchplugins\glVytoUjLVqtEUvXN
[2011.11.03 19:57:54 | 000,000,933 | ---- | M] () -- C:\Users\Brockhoff\AppData\Roaming\Mozilla\Firefox\Profiles\qjz1gcck.default\searchplugins\JJLJJLjlljllxUD
[2011.11.03 19:57:54 | 000,010,525 | ---- | M] () -- C:\Users\Brockhoff\AppData\Roaming\Mozilla\Firefox\Profiles\qjz1gcck.default\searchplugins\odGLfqtETglJpruaglvp
[2010.10.20 20:57:28 | 000,005,550 | ---- | M] () -- C:\Users\Brockhoff\AppData\Roaming\Mozilla\Firefox\Profiles\qjz1gcck.default\searchplugins\oDvXNsuODJXNesodAxnf
[2011.11.03 19:57:54 | 000,002,457 | ---- | M] () -- C:\Users\Brockhoff\AppData\Roaming\Mozilla\Firefox\Profiles\qjz1gcck.default\searchplugins\qtodAGLVytoUAGLfytE
[2012.05.19 14:27:02 | 000,002,354 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
O2 - BHO: (Babylon IE plugin) - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (Babylon Ltd.)
O2 - BHO: (MyAshampoo Toolbar) - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:\Program Files\MyAshampoo\prxtbMyA0.dll (Conduit Ltd.)
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (MyAshampoo Toolbar) - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:\Program Files\MyAshampoo\prxtbMyA0.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKU\S-1-5-21-2611919586-2361246391-3510833687-1001\..\Toolbar\WebBrowser: (MyAshampoo Toolbar) - {A1E75A0E-4397-4BA8-BB50-E19FB66890F4} - C:\Program Files\MyAshampoo\prxtbMyA0.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-2611919586-2361246391-3510833687-1001\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 181
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutorun = 0
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutorun = 0
O7 - HKU\S-1-5-21-2611919586-2361246391-3510833687-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutorun = 67108251
O7 - HKU\S-1-5-21-2611919586-2361246391-3510833687-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 247
O7 - HKU\S-1-5-21-2611919586-2361246391-3510833687-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 0
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2005.11.17 16:06:10 | 000,000,069 | -H-- | M] () - E:\autorun.inf -- [ FAT32 ]
O32 - AutoRun File - [2009.03.30 12:32:46 | 000,000,288 | ---- | M] () - G:\Autorun.inf -- [ NTFS ]
O33 - MountPoints2\{0006390b-06b4-11e1-9fb1-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{00063912-06b4-11e1-9fb1-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{0a7c0dbc-4c9e-11e1-b80e-8cf2f02cb628}\Shell - "" = AutoRun
O33 - MountPoints2\{0c1c2393-2252-11e0-8228-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{100d4ecf-23d1-11e1-b0fc-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{100d4ed2-23d1-11e1-b0fc-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{3249c581-aa19-11e1-abaa-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{3249c581-aa19-11e1-abaa-00a0d1a41db2}\Shell\AutoRun\command - "" = E:\SealOne.exe
O33 - MountPoints2\{6f93e73c-2427-11e1-bcbf-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{6f93e73f-2427-11e1-bcbf-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{84d0b483-74e5-11e1-95f6-c1709df6c37e}\Shell - "" = AutoRun
O33 - MountPoints2\{96cda11e-1135-11e0-9042-9e7ea5844deb}\Shell\AutoRun\command - "" = H:\fscommand\LS_Start_Launch.cmd
O33 - MountPoints2\{96cda11e-1135-11e0-9042-9e7ea5844deb}\Shell\Launcher\command - "" = H:\fscommand\LS_Start_Launch.cmd
O33 - MountPoints2\{9e286fc6-27ea-11e1-b944-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{fd3b5308-27ec-11e1-9ad3-00a0d1a41db2}\Shell - "" = AutoRun
[2011.12.07 18:08:25 | 000,000,000 | ---- | C] () -- C:\Users\Brockhoff\AppData\Local\gAxvXjlJnVNssX
[2011.11.27 19:41:09 | 000,000,201 | ---- | C] () -- C:\Program Files\0LK6D98M.bat
[2011.11.23 20:42:15 | 000,000,000 | ---- | C] () -- C:\Users\Brockhoff\AppData\Local\sEOGyQUlnNsavfsoOG
[2012.05.19 15:38:41 | 000,000,000 | ---D | M] -- C:\Users\Brockhoff\AppData\Roaming\Babylon
[2012.05.16 19:09:53 | 000,000,000 | ---D | M] -- C:\Users\Brockhoff\AppData\Roaming\Wjngc
[2012.05.19 15:38:23 | 000,000,000 | ---D | M] -- C:\Users\Brockhoff\AppData\Roaming\Wvixyps
@Alternate Data Stream - 185 bytes -> C:\ProgramData\TEMP:CAEDBDA6
@Alternate Data Stream - 126 bytes -> C:\ProgramData\TEMP:DBC416F8
:Commands
[purity]
[emptytemp]
[emptyflash]
[resethosts]

paule11 · 10.07.2012, 21:06

Hallo Trojaner Board,
habe ,nach meinem wissen, die Vorgaben von Euch, so wie vorgegeben,durchgeführt.
Mit OTL und den vorgegebenen Scan angaben, dann FIX angeklickt, erhalte ich immer den Blue Screen.
Momentan habe ich Ruhe mit einem Störenfried. Normal oder trügerische Ruhe.
Öffne nicht, bzw lösche alle mit unbekannten Mails, mit u. ohne Anhang.Mit dem Programm : Stellar Phoenix Windows Data Recovery-Hom, konnte ich einen erheblichen teil meiner Daten wieder benutzbar herstellen.
Bin ich da auf einer richtigen Schiene.
Danke
Paule11

cosinus · 11.07.2012, 08:10

Dann kürzen wir das Script noch weiter
Stell auch sicher, dass du die OTL.exe neu heruntergeladen hast, damit du ja die aktuelle Version von OTL auch verwendest!

Code:

ATTFilter

:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 181
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutorun = 0
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutorun = 0
O7 - HKU\S-1-5-21-2611919586-2361246391-3510833687-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutorun = 67108251
O7 - HKU\S-1-5-21-2611919586-2361246391-3510833687-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 247
O7 - HKU\S-1-5-21-2611919586-2361246391-3510833687-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 0
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2005.11.17 16:06:10 | 000,000,069 | -H-- | M] () - E:\autorun.inf -- [ FAT32 ]
O32 - AutoRun File - [2009.03.30 12:32:46 | 000,000,288 | ---- | M] () - G:\Autorun.inf -- [ NTFS ]
O33 - MountPoints2\{0006390b-06b4-11e1-9fb1-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{00063912-06b4-11e1-9fb1-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{0a7c0dbc-4c9e-11e1-b80e-8cf2f02cb628}\Shell - "" = AutoRun
O33 - MountPoints2\{0c1c2393-2252-11e0-8228-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{100d4ecf-23d1-11e1-b0fc-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{100d4ed2-23d1-11e1-b0fc-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{3249c581-aa19-11e1-abaa-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{3249c581-aa19-11e1-abaa-00a0d1a41db2}\Shell\AutoRun\command - "" = E:\SealOne.exe
O33 - MountPoints2\{6f93e73c-2427-11e1-bcbf-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{6f93e73f-2427-11e1-bcbf-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{84d0b483-74e5-11e1-95f6-c1709df6c37e}\Shell - "" = AutoRun
O33 - MountPoints2\{96cda11e-1135-11e0-9042-9e7ea5844deb}\Shell\AutoRun\command - "" = H:\fscommand\LS_Start_Launch.cmd
O33 - MountPoints2\{96cda11e-1135-11e0-9042-9e7ea5844deb}\Shell\Launcher\command - "" = H:\fscommand\LS_Start_Launch.cmd
O33 - MountPoints2\{9e286fc6-27ea-11e1-b944-00a0d1a41db2}\Shell - "" = AutoRun
O33 - MountPoints2\{fd3b5308-27ec-11e1-9ad3-00a0d1a41db2}\Shell - "" = AutoRun
[2011.12.07 18:08:25 | 000,000,000 | ---- | C] () -- C:\Users\Brockhoff\AppData\Local\gAxvXjlJnVNssX
[2011.11.27 19:41:09 | 000,000,201 | ---- | C] () -- C:\Program Files\0LK6D98M.bat
[2011.11.23 20:42:15 | 000,000,000 | ---- | C] () -- C:\Users\Brockhoff\AppData\Local\sEOGyQUlnNsavfsoOG
[2012.05.19 15:38:41 | 000,000,000 | ---D | M] -- C:\Users\Brockhoff\AppData\Roaming\Babylon
[2012.05.16 19:09:53 | 000,000,000 | ---D | M] -- C:\Users\Brockhoff\AppData\Roaming\Wjngc
[2012.05.19 15:38:23 | 000,000,000 | ---D | M] -- C:\Users\Brockhoff\AppData\Roaming\Wvixyps
@Alternate Data Stream - 185 bytes -> C:\ProgramData\TEMP:CAEDBDA6
@Alternate Data Stream - 126 bytes -> C:\ProgramData\TEMP:DBC416F8
:Commands
[purity]
[emptytemp]
[emptyflash]
[resethosts]

paule11 · 12.07.2012, 18:35

Hallo Trojaner-Board Team,
nu hat s funktioniert.
Habe OTL.exe neu geladen und die Scandaten im abgesicherten Modus mit dem reduzierten Inhalt der Scanbox kopiert dann gescannt.
Den Scan füge ich bei.
Danke
Paule11

cosinus · 12.07.2012, 19:39

Die Logs bitte NICHT als Anhang posten! Nur dann wenn sie zu groß sind!
Grundsätzlich direkt in den Beitrag mit CODE-Tags umschlossen!

paule11 · 18.07.2012, 17:53

Hallo Trojaner-Board,
habe verzweifelt versucht das Log im Beitrag mit CODE-Tags umschlossen zu versenden.
Hat nicht geklappt,bin doch nicht zu Bl..
Gruß
Paule11

cosinus · 19.07.2012, 10:15

Es steht doch da wie du das machen sollst!!

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

ATTFilter

 hier steht das Log

paule11 · 19.07.2012, 17:28

Hier kommt die Antwort

Entschuldigung habe versehentlich Datenfreigabe gedrückt.
Paule11

paule11 · 27.07.2012, 17:07

Hallo Trojaner-Board,
habe den Scan der OTL.text vom 12.07.2012 nicht in das vorgeschriebene Format gepackt.
Hoffe aber , das ich trotzallem eine Antwort erhalten werde.
Danke
Paule 11

cosinus · 27.07.2012, 20:55

Ich dachte eigentlich du postest es nochmal richtig

01.07.2012, 16:02	#31
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Verschlüsselungstrojaner Starte Windows neu im abgesicherten Modus (mit Netzwerktreibern nach Möglichkeit), manchmal hakt das Fixen mit OTL im normalen Modus aber sehr oft funktioniert der Fix im abgesicherte Modus. __________________ Logfiles bitte immer in CODE-Tags posten

12.07.2012, 19:39	#37
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Verschlüsselungstrojaner Die Logs bitte NICHT als Anhang posten! Nur dann wenn sie zu groß sind! Grundsätzlich direkt in den Beitrag mit CODE-Tags umschlossen! __________________ Logfiles bitte immer in CODE-Tags posten

19.07.2012, 10:15	#39
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Verschlüsselungstrojaner Es steht doch da wie du das machen sollst!! [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: ATTFilter hier steht das Log __________________ Logfiles bitte immer in CODE-Tags posten

27.07.2012, 20:55	#42
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Verschlüsselungstrojaner Ich dachte eigentlich du postest es nochmal richtig __________________ Logfiles bitte immer in CODE-Tags posten

Verschlüsselungstrojaner

Log-Analyse und Auswertung: Verschlüsselungstrojaner