Hallo,

ich habe neben mir einen Laptop stehen, der vom Windows-Verschlüsselungs-Trojaner befallen ist. Ich habe mir die bisherigen Threads dazu hier durchgelesen, doch jetzt bin ich an dem Punkt wo ich nicht weiterkomme.

Ich habe bisher folgendes durchgeführt:

OTL runtergeladen und auf dem befallenen System mit folgenden benutzerdefinierten Scaneinträgen:

Code: Alles auswählenAufklappen

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
         

Die daraus resultierende OTL.txt hab ich bei File-Upload hochgeladen: hxxp://www.file-upload.net/download-4420636/OTL.Txt.html

Was muss ich jetzt tun um den Trojaner zu entfernen? Und wie bekomm ich Zweifelsfall die Daten wieder entschlüsseln?

Hoffe es kann jemand helfen

Grüße

hi
1.
dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKU\S-1-5-21-3487501853-2138356201-3293455876-1000..\Run: [40B12821] C:\Users\IVEC\AppData\Roaming\Gpxfihblp\F6E72B7F40B128216460.exe (AIMP DevTeam)
 :Files
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

2. öffne malwarebytes, logdateien, poste alle berichte.
3. teste ob es verschlüsselte dateien gibt, falls ja:
http://www.trojaner-board.de/115496-...erstellen.html

4.
die infektionsquelle:
an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann bitte lesen:
markusg - trojaner-board.de
und mir die soeben erstellte datei zukommen lassen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
bitte warne freunde, bekannte, verwante etc vor dieser masche, und lasse ihnen ruhig diese mail adresse zukommen.
sie können dann dorthin solche verdächtigen mails senden.
diese helfen uns dann, angemessen auf neue bedrohungen zu reagieren, da diese schadsoftware auch updates erhält ist das wichtig.

Hi,

danke für die schnelle Antwort. Derzeit scanne ich den Laptop mit Kaspersky Rescue Disk 10. Soll ich dies jetzt abbrechen? Des Weiteren bin ich durchaus an einer kleinen Erklärung interessiert, wie du die auf die FIX-Befehle kommst und woran ich in der OTL.txt erkenne, welche Datei betroffen ist? Würde dies auch aus Berufsgründen erfahren wollen

Grüße

Hallo,

ich will einen Zwischenbericht abgeben. Den Scanvorgang mit der Kaspersy Rescue Disk habe ich durchlaufen lassen. 4 Funde und die sind automatisch entfernt/desinfiziert worden. Ich hab dann wie oben beschrieben den Text in die Textbox eingefügt und OTL arbeiten lassen. Den Neustart musste ich manuell ausführen. Seitdem kommt keine Meldung mehr bzgl. des Verschlüsselungs-Trojaners. Aber OTL hat anscheinend keine TXT-File unter C:\ angelegt.

Ich habe desweiteren nach verschlüsselten Dateien gesucht (*.locked und lock). Diese verschlüsselten Dateien habe ich zur Sicherheit gelöscht.

Danach hab ich Malwarebytes Anti-Malware scannen lassen. Ergebnis sind keine Funde und auch keine Warnungen.

Den Laptop habe ich mehrfach heruntergeahren und wieder hochgefahren und gewartet aber nichts passiert. Keine Meldung bzgl. des Trojaners.

Der Besitzer des Laptops benutzt WEB.DE als e-Mail-Anbieter und greift über den Internet Explorer 9 darauf zu. Als Schutz verwendet er die McAffee Internet Security Suite. Welche Tipps kann ich ihm noch geben, außer dubios/unbekannte Mails nicht zu öffnen?

Grüße

hi
na eine solche exe wie hier sieht schon verdächtig aus wegen dem cryptischen namen.
wenn er die mail über nen browser abruft, weiterleiten.
um dateien wiederherzustellen die verschlüsselt sind:
http://www.trojaner-board.de/115496-...erstellen.html

Bei dem Nutzer handelt es sich um eine Person um die 60 Mit ShadowExplorer hab ich noch drübergeschaut, aber nichts gefunden. Bis jetzt ist bei mir auch noch keine Meldung eines erneuten Befalls zugekommen.

Mal sehen wie lange das so bleibt. Wenn ich wieder mal nicht weiterkomme oder in solch einem Fall spezielle Scripts brauche, wende ich mich wieder vetrauensvoll an doch bzw. das Forum. War sonst eher der stille Mitleser.

Also nochmal ein Danke.

Grüße