| |
| |||||||
Log-Analyse und Auswertung: Verschlüsselungstrojaner auf Verzeichnisse kein Zugriff....Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
03.06.2012, 19:21
| #1 |
| |  Verschlüsselungstrojaner auf Verzeichnisse kein Zugriff.... hallo erstmal, Habe hier einen Laptop von einen Bekannten bekommen.... hochgefahren.....und da kam schon der Willkommen-Bildschirm vom Verschlüsselungstrojaner (100 Euro Variante)...nix ging mehr dann mit diversen Boot-Cd (Hiren, Minixp etc.) hochgefahren, konnte die Verzeichnisse sehen aber keinen Zugriff, Virusprogramme konnte man nicht starten bzw. nicht updaten insbesonders mit Malwarebytes ging gar nix danach im Abgesicherten Modus inkl. Netzwerktreiber hochgefahren und Malwarebytes ausgeführt.... Computer läuft nach löschen des Trojaners wieder, leider auf Verzeichnisse immer noch kein Zugriff Soweit ich das beurteilen kann sind die Verzeichnisse bzw. die Dateien nicht verschlüsselt sondern ich habe lediglich keine Berechtigung. Habe daraufhin wie hier im Board gelesen die Berechtigungen per Dos (cmd) versucht zu verändern.... daraufhin hat sich lediglich das Vorhängschloss in eine Verlinkung geändert... siehe Bild (Verzeichniss "Dokumente und Einstellungen") vielleicht hat ja jemand eine Idee?? hier noch diverse logs: PS: infiziert wurde das System durch eine "inkasso.zip" Datei vom gmx-Mailaccount Malwarebytes: Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.06.01.05 Windows 7 x86 NTFS (Abgesichertenmodus/Netzwerkfähig) Internet Explorer 9.0.8112.16421 gabi :: GABI-PC [Administrator] Schutz: Deaktiviert 01.06.2012 21:14:40 mbam-log-2012-06-01 (21-14-40).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 296580 Laufzeit: 52 Minute(n), 15 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|CC02A9D0 (Trojan.FileLock) -> Daten: C:\Users\gabi\AppData\Roaming\Eplqnjoq\F70F6657CC02A9D052E5.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 8 C:\Users\gabi\AppData\Roaming\Eplqnjoq\F70F6657CC02A9D052E5.exe (Trojan.FileLock) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\gabi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\LV1I0Y68\scandsys211e_8020[1].bat (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\gabi\AppData\Local\Temp\aexdtfxurv.pre (Trojan.FileLock) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\gabi\AppData\Local\Temp\epdtfgurvo.pre (Trojan.FileLock) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\gabi\AppData\Local\Temp\fcihbnimwp.pre (Trojan.FileLock) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\gabi\AppData\Local\Temp\gvtdxftlpe.pre (Trojan.FileLock) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\gabi\AppData\Local\Temp\ihwpkmwzlr.pre (Trojan.FileLock) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\gabi\AppData\Local\Temp\lcyyfcrszl.pre (Trojan.FileLock) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) eset.txt: Code:
ATTFilter C:\Users\gabi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\SBSBQNNS\Inkasso.zip Win32/Trustezeb.B trojan
Code:
ATTFilter All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{CB001ED9-7309-4469-804D-E7E9D542D355}\ not found.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CB001ED9-7309-4469-804D-E7E9D542D355}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5786d022-540e-4699-b350-b4be0ae94b79}\ not found.
File C:\Program Files (x86)\Ashampoo_DE\prxtbAsha.dll not found.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0EDB8413-4BDE-4E2C-8B16-A08640E14B1C}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0EDB8413-4BDE-4E2C-8B16-A08640E14B1C}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
Unable to set value : HKU\S-1-5-21-1729895072-3162029508-1750085212-1000\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Page_URL| /E!
Unable to set value : HKU\S-1-5-21-1729895072-3162029508-1750085212-1000\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E!
Registry key HKEY_USERS\S-1-5-21-1729895072-3162029508-1750085212-1000\Software\Microsoft\Internet Explorer\URLSearchHooks not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{40c3cc16-7269-4b32-9531-17f2950fb06f}\ not found.
Registry key HKEY_USERS\S-1-5-21-1729895072-3162029508-1750085212-1000\Software\Microsoft\Internet Explorer\URLSearchHooks not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5786d022-540e-4699-b350-b4be0ae94b79}\ not found.
File C:\Program Files (x86)\Ashampoo_DE\prxtbAsha.dll not found.
Registry key HKEY_USERS\S-1-5-21-1729895072-3162029508-1750085212-1000\Software\Microsoft\Internet Explorer\URLSearchHooks not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}\ not found.
File C:\Program Files (x86)\pdfforge Toolbar\IE\5.8\pdfforgeToolbarIE.dll not found.
Unable to set value : HKEY_USERS\S-1-5-21-1729895072-3162029508-1750085212-1000\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E!
Registry key HKEY_USERS\S-1-5-21-1729895072-3162029508-1750085212-1000\Software\Microsoft\Internet Explorer\SearchScopes\{3A8133B4-C22D-4C00-AC2E-9A049C4F9617}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3A8133B4-C22D-4C00-AC2E-9A049C4F9617}\ not found.
Registry key HKEY_USERS\S-1-5-21-1729895072-3162029508-1750085212-1000\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.
Unable to set value : HKU\S-1-5-21-1729895072-3162029508-1750085212-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E!
File C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml not found.
File C:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml not found.
File C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml not found.
File C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml not found.
File C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d2ce3e00-f94a-4740-988e-03dc2f38c34f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d2ce3e00-f94a-4740-988e-03dc2f38c34f}\ not found.
File C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll not found.
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{8dcb7100-df86-4384-8842-8fa844297b3f} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8dcb7100-df86-4384-8842-8fa844297b3f}\ not found.
File C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked not found.
Registry key HKEY_USERS\S-1-5-21-1729895072-3162029508-1750085212-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21FA44EF-376D-4D53-9B0F-8A89D3229068}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ not found.
Registry value HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.
Registry value HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce\\mctadmin deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorAdmin deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\ConsentPromptBehaviorUser deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{54c34660-89f2-11e1-909c-f04da24e1863}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{54c34660-89f2-11e1-909c-f04da24e1863}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{54c34660-89f2-11e1-909c-f04da24e1863}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{54c34660-89f2-11e1-909c-f04da24e1863}\ not found.
File E:\LGAutoRun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{74fbf721-0ec9-11e0-afe2-f04da24e1863}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{74fbf721-0ec9-11e0-afe2-f04da24e1863}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{74fbf721-0ec9-11e0-afe2-f04da24e1863}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{74fbf721-0ec9-11e0-afe2-f04da24e1863}\ not found.
File E:\autorun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E\ not found.
File E:\LGAutoRun.exe not found.
========== FILES ==========
File\Folder C:\Users\*****\AppData\Roaming\Fywyrpvnltq not found.
File\Folder C:\Windows\tasks\SystemToolsDailyTest.job not found.
File\Folder C:\Windows\tasks\PCDoctorBackgroundMonitorTask.job not found.
File\Folder C:\Users\*****\Documents\jsEsoluageujtAtoDuTOe not found.
File\Folder C:\Users\*****\TgeTOsAtUAsaOsaOUAsd not found.
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\gabi\Downloads\cmd.bat deleted successfully.
C:\Users\gabi\Downloads\cmd.txt deleted successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: gabi
->Temp folder emptied: 81230005 bytes
->Temporary Internet Files folder emptied: 525438772 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 12975 bytes
User: Public
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 156972319 bytes
RecycleBin emptied: 81897705 bytes
Total Files Cleaned = 806,00 mb
OTL by OldTimer - Version 3.2.45.0 log created on 06032012_204516
Files\Folders moved on Reboot...
File\Folder C:\Windows\temp\WFVB3C5.tmp not found!
Registry entries deleted on Reboot...
|
|
04.06.2012, 16:33
| #2 |
| /// Malware-holic   | Verschlüsselungstrojaner auf Verzeichnisse kein Zugriff.... hast duauf alle verzeichnisse kein zugriff? oder auf welche nicht?
__________________die infektionsquelle: an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert. wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ: .eml einstellen. dann bitte lesen: markusg - trojaner-board.de und mir die soeben erstellte datei zukommen lassen. wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders. bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen. sie können dann dorthin solche verdächtigen mails senden. diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.
__________________ |
|
04.06.2012, 19:13
| #3 |
| | Verschlüsselungstrojaner auf Verzeichnisse kein Zugriff.... hallo markus,
__________________danke für deine Mühe, hier ein Screen: dort wo ein Vorhängeschloss vor dem Verzeichnissnamen steht hab ich keinen Zugriff... wie gesagt war dies auch beim Dokumente und Einstellungen Ordner der Fall, hab dann mittels cmd die Attribute verändert um Zugriff zu bekommen, seitdem ist dort nur eine Verlinkung zu sehen.... eine Ausnahme ist auch das Verzeichniss mit dem Zahlencode a8flf..........usw. dort komme ich eine Ebene tiefer, sieht aus wie ein Programmverzeichniss mit vielen Unterordnern, Setup Proggies usw. vermute aber es hat nicht wirklich etwas mit dem Trojaner zu tun (lasse alle versteckten Ordner und versteckten Systemdateien anzeigen) den Ordner Programme gibt es zweimal, wie ist das eigentlich möglich zwei Ordner mit dem gleichen Namen im selben Verzeichniss? Die Mail kam wie gesagt über einen gmx-Account, da es aber nicht mein Rechner ist hab ich im Moment nicht die Zugangsdaten zu Account. danke erstmal... |
|
06.06.2012, 17:21
| #4 |
| /// Malware-holic | Verschlüsselungstrojaner auf Verzeichnisse kein Zugriff.... hi, wenn du alle verzeichnisse unter vista bzw 7 anzeigen lässt ist das normal programme gibts immer 2 mal da und einige verzeichnisse haben ein vorhänge schloss. unter benutzer kommst du doch sicher an alle daten?
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
11.06.2012, 08:24
| #5 |
| | Verschlüsselungstrojaner auf Verzeichnisse kein Zugriff.... hast recht, war ein fremdes Notebook und ich habe Daten gesucht die gar nicht auf diesem PC gespeichert waren...;-( also war nach der Reinigung durch Malewarebytes alles wieder in Ordnung und es wurden keinerlei Daten verschlüsselt.. danke für die Hilfe thx axe |
|
| Themen zu Verschlüsselungstrojaner auf Verzeichnisse kein Zugriff.... |
| administrator, autostart, bingbar, boot-cd, browser, cdrom, cmd, dateien, dateisystem, diverse, einstellungen, euro, explorer, firefox, gelöscht, helper, heuristiks/extra, heuristiks/shuriken, infiziert, laptop, löschen, malwarebytes, microsoft, mozilla, netzwerk, nicht starten, pdfforge toolbar, searchscopes, software, starten, system, system32, update |
Linear-Darstellung
