| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner/ Virus sperrt WindowsWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
21.05.2012, 21:39
| #1 |
| |  Trojaner/ Virus sperrt Windows Hallo, ich hoffe mir kann jemand weiterhelfen. Und zwar hat sich meine Mutter auf ihren Computer diesen Trojaner/ Virus eingefangen der Windows sperrt und Geld verlangt für die Entsperrung. Die Meldung tritt ca. 20 sekunden nach dem Hochfahren auf und nix geht mehr. Da Sie wichtige Daten auf ihren PC hat und natürlich keine regelmäßigen Sicherheitskopien erstellt hat  und zudem noch irgendwelche kompliziert zu installierende Druckertreiber drauf sind wäre es toll wenn jemand eine Lösung hat. Ich hab mich ein klein wenig hier durchgelesen und die OTL CD gebrannt und die Textdatei erstellt von dem Infizierten PC.Die Datei hängt an ( hoffe ich ) mfg Threepwoody |
|
22.05.2012, 06:24
| #2 |
  | Trojaner/ Virus sperrt Windows Hi,
__________________der Verschlüsselungstrojaner hat zugeschlagen (z. B. locked-addr_file.html.dqxt), daher wirst Du nach dem Fix versuchen müssen mit den oben auf der Seite angegeben Tools eine "Entschlüsselung" vornzunehmen.... By-the-way: Wie dort angegeben, bitte die Email wo der Trojaner dranhängt inkl. Anhang an Markus weiterleiten (steht alles dort, siehe dort Post #3) Fix für OTL:
 Code:
ATTFilter
:OTL
O4 - HKU\Michael_ON_C..\Run: [F4C23F9F] C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Lizrzrzrzrz\EAD06748F4C23F9F0C38.exe ()
O4 - HKLM..\Run: [] File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\Michael_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Michael_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\7241EF35F4C23F9FE599.exe) - C:\WINDOWS\system32\7241EF35F4C23F9FE599.exe ()
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\3C5C7514F4C23F9FF184.exe) - C:\WINDOWS\system32\3C5C7514F4C23F9FF184.exe ()
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
O33 - MountPoints2\{84af7e9c-bcdf-11e0-9243-0010b5ae3bca}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
O33 - MountPoints2\{97416338-1f78-11de-9057-0010b5ae3bca}\Shell\AutoRun\command - "" = F:\cdstart.exe
O33 - MountPoints2\{a25ef800-4914-11de-907e-0010b5ae3bca}\Shell\AutoRun\command - "" = F:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\recycle.exe
O33 - MountPoints2\{a25ef800-4914-11de-907e-0010b5ae3bca}\Shell\open\command - "" = F:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\recycle.exe
O33 - MountPoints2\{b1a0258c-2993-11de-905e-0010b5ae3bca}\Shell - "" = AutoRun
O33 - MountPoints2\{b1a0258c-2993-11de-905e-0010b5ae3bca}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b1a0258c-2993-11de-905e-0010b5ae3bca}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
[2012/05/10 04:09:49 | 000,058,368 | -H-- | C] () -- C:\WINDOWS\System32\3C5C7514F4C23F9FF184.exe
[2012/05/03 23:52:20 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh325
[2012/05/03 23:41:54 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh324
[2012/05/03 23:27:28 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh323
[2012/05/03 23:26:12 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh322
[2012/05/03 23:23:16 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh321
[2012/05/03 23:20:38 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh320
[2012/05/10 04:00:33 | 000,058,368 | -H-- | M] () -- C:\WINDOWS\System32\7241EF35F4C23F9FE599.exe
:Commands
[emptytemp]
[Reboot]
Der Rechner sollte sich jetzt wieder booten lassen... Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen: http://filepony.de/download-chameleon/ Danach bitte update der Signaturdateien (Reiter "Aktualisierungen" -> Suche nach Aktualisierungen") Fullscan und alles bereinigen lassen! Log posten. Viel Glück, chris
__________________ |
|
22.05.2012, 22:20
| #3 |
| | Trojaner/ Virus sperrt Windows Hallo,
__________________vielen vielen Dank =) klappt soweit, lasse gerade das Malware Programm drüberlaufen. Werde dann Morgen die Log Datei posten. |
|
24.05.2012, 15:46
| #4 |
| | Trojaner/ Virus sperrt Windows Hi, ACHTUNG: Die in C:\windows\system32 abgelegte Kopie des Trojaners auf keinen Fall löschen ([b]d.h. das Verzeichnis C:\_OLT\MovedFiles nicht löschen (eher in einer passwortgesicherten Datei sichern, falls ein Scanner sie erkennt und löscht)! Mit hoher Wahrscheinlichkeit braucht man die Datei zur Entschlüsselung der verschlüsselten Daten... (Analysen laufen)... chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
| Themen zu Trojaner/ Virus sperrt Windows |
| computer, datei, daten, drucker, eingefangen, erstell, erstellt, geld, gen, hochfahren, hoffe, hängt, infizierte, infizierten, klein, lösung, meldung, natürlich, sekunden, sperrt, verlangt, virus, wichtige, wichtige daten, window, windows |
Linear-Darstellung
