Habe mir die GVU Ransomware auf den Rechner geholt.
Ein Start im abgesicherten Modus ist nicht moeglich.
Betriebssystem - Windows XP SP3

Ich freue mich, wenn Ihr mir helft.

Mit Dank im Voraus

ianus

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Bitte Lesen:
Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:

• Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast, in einer Antwort.
• Nur Scanns durchführen zu denen Du aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags - #-Symbol im Editor anklicken). Nicht anhängen oder zippen, außer ich fordere Dich dazu auf, oder das Logfile wäre zu gross. Erschwert mir nämlich das Auswerten.
• Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.
• Beim ersten Anzeichen illegal genutzer Software (Cracks, Patches und Co) wird der Support ohne Diskussion eingestellt.
• Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.
• Ich werde dir ganz deutlich mitteilen, dass du "sauber" bist. Bis dahin arbeite bitte gut mit.
• Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Gelesen und verstanden?

Computer mit Combofix entsperren

Warnung: Diese Anleitung ist nur für diesen speziellen Fall gedacht und kann andere Computer evtl. schwer beschädigen. Zudem darf Combofix nur ausgeführt werden, wenn dies von einem erfahrenen Helfer angewiesen wird!

1. Batch-Datei vorbereiten
   • Drücke Windowstaste + R > notepad (eintippen) > Enter
     Kopiere den folgenden Text vollständig in das Fenster:
     
     Code: Alles auswählenAufklappen

     ATTFilter

     @echo off
     copy %0\..\combofix.exe "%userprofile%"\desktop 
     "%userprofile%"\desktop\combofix.exe
              

   • Speichere die Datei als start.bat ab und wähle auch Batch-Datei als Dateiformat.
   • Kopiere die Datei auf deinen USB-Stick (nicht in einen Unterordner!).
2. Combofix kopieren
   • Lade dir Combofix von einem dieser Downloadlinks: Link
   • Kopiere die Datei auf deinen USB-Stick (nicht in einen Unterordner!)
3. Start mit Eingabeaufforderung
   • Schliesse den präparierten USB-Stick an den infizierten Rechner an und starte ihn.
   • Drücke beim Start einige Male die F8-Taste bis das Bootmenü von Windows erscheint und wähle Abgesicherter Modus mit Eingabeaufforderung.
   • Nach einigen Sekunden sollte ein schwarzes Fenster mit dem blinkenden Cursor erscheinen.
4. Laufwerksbuchstaben finden und Combofix starten
   • Tippe z.b. E: und drücke Enter. Wenn der Buchstabe nicht stimmt, dann erhälst du einen Fehler. Probiere den nächsten Buchstaben (F-Z).
   • Wenn du ein Laufwerk gefunden hast, dann tippe dir (Enter). Wenn es das richtige ist wird deine Batchdatei und Combofix gelistet. Wenn nicht probiere einen anderen Laufwerksbuchstaben aus.
   • Wenn du es gefunden hast tippe start.bat (Enter)
   • Combofix sollte jetzt starten.
   • Sollte es versuchen die Wiederherstellungskonsole zu installieren, dann lasse dies zu.
   • Übergehe alle Warnungen mit OK.
5. Logfile posten
   • Es könnte eine Warnung erscheinen ob du wieder den abgesicherten Modus ausführen willst. Klicke dann JA.
   • Entweder wird ein Editor angezeigt oder das Logfile befindet sich hier: c:\combofix.txt
   • Poste mir dieses Logfile in CODE-Tags (#-Symbol im Forumseditor)
   • Sollte ein Fehler kommen, dass ein Registrierungsschlüssel einem ungültigem Vorgang unterzogen wurde, dann starte den Rechner neu. Das behebt das Problem.

Hallo ryder,

vielen Dank für Deine Antwort.
Leider kriege ich beim Start "Abgesicherter Modus mit Eingabeaufforderung" keine Eingabeaufforderung, sondern trotzdem einen Windows Anmeldebildschirm.
Ich kann Deiner Anleitung daher im Moment leider nicht folgen.

ianus

PS:
Ich arbeite gerne mit USB-Sticks. Da habe ich welche da. CDs müsste ich noch kaufen.

Hast du mal den infizierten Rechner vom Internet getrennt? Kommt da dennoch der Sperrschirm?

Ja.
Habe das Netzwerkkabel abgezogen und es probiert.
Leider Fehlanzeige.
Es kommt trotzdem die Anmeldemaske und keine Eingabeauffoderung.

naja ... was passiert denn nach dem Anmelden?

Anmelden mußt du dich schon, wenn du ein Passwort gesetzt hast.

Habe kein Passwort gesetzt.
Bestätigung mit Enter akzeptiert er nicht.

Na das ist ja sehr mysteriös.

Versuche bitte mal diese Anleitung. Ausprobiert habe ich es noch nicht, scheint aber gut zu sein.

http://www.trojaner-board.de/127830-...kickstart.html

Also Hitman Pro Kickstart Stick an einem 2. Rechner erstellen. Du brauchst 32 bit für XP.

Dann vom Stick booten.

Hitman Pro sollte starten und einen Suchlauf durchführen.

Berichte bitte ob das geklappt hat.

Scheint zu gehen.
Musste mich aber noch anmelden.
Compute wird jetzt durchsucht.

Hallo ryder,

hier mal ein zwischenwergebnis.

2x Trojan
3x Ransomware
9x Babylon (was immer das bedeutet?)

Ergebnisse Scan-cloud werden abgewartet...

Wie geht es weiter, wenn die Scan cloud durch ist?

Wenn es fertig ist erzeugst du bitte ein Logfile und postet es mir hier. Dann schauen wir wie es weiter geht. Du machst bitte nichts eigenmächtig

Also auf "log-datei erstellen" und nicht auf "Weiter"?

genau

So. Hier ist das logfile:

Code: Alles auswählenAufklappen

ATTFilter

HitmanPro 3.7.0.185
www.hitmanpro.com

   Computer name . . . . : PC16
   Windows . . . . . . . : 5.1.3.2600.X86/4
   User name . . . . . . : Mustermann\f.Mustermann
   License . . . . . . . : Free

   Scan date . . . . . . : 2013-01-10 16:29:51
   Scan mode . . . . . . : Normal
   Scan duration . . . . : 5m 8s
   Disk access mode  . . : Direct disk access (SRB)
   Cloud . . . . . . . . : Internet
   Reboot  . . . . . . . : No

   Threats . . . . . . . : 6
   Traces  . . . . . . . : 18

   Objects scanned . . . : 1.015.893
   Files scanned . . . . : 18.457
   Remnants scanned  . . : 123.415 files / 874.021 keys

Malware _____________________________________________________________________

   C:\Dokumente und Einstellungen\f.Mustermann\wgsdgsdgdsgsd.exe
      Size . . . . . . . : 259.584 bytes
      Age  . . . . . . . : 0.7 days (2013-01-09 23:02:27)
      Entropy  . . . . . : 6.2
      SHA-256  . . . . . : 20DEB84F7AF5C6C69D46AC43E54318F2AEBD15E82EF2DE67EF631545436FE053
      Product  . . . . . : Операционная система Microsoft® Windows®
      Publisher  . . . . : Корпорация Майкрософт
      Description  . . . : Редактор дескрипторов безопасности
      Version  . . . . . : 5.1.2600.2180
      Copyright  . . . . : © Корпорация Майкрософт. Все права защищены.
      Service  . . . . . : winmgmt
    > G Data . . . . . . : Trojan.Generic.KD.825193 (Engine A)
    > Ikarus . . . . . . : Trojan-Dropper.Win32.Injector!IK
      Fuzzy  . . . . . . : 114.0
      Startup
         C:\Dokumente und Einstellungen\f.Mustermann\Startmenü\Programme\Autostart\runctf.lnk
         HKLM\SYSTEM\CurrentControlSet\Services\winmgmt\

   C:\System Volume Information\_restore{1A4C272D-3C75-4F7C-B8C2-0131E7D52153}\RP1208\A0263879.exe
      Size . . . . . . . : 259.584 bytes
      Age  . . . . . . . : 0.0 days (2013-01-10 16:10:54)
      Entropy  . . . . . : 6.2
      SHA-256  . . . . . : 20DEB84F7AF5C6C69D46AC43E54318F2AEBD15E82EF2DE67EF631545436FE053
      Product  . . . . . : Операционная система Microsoft® Windows®
      Publisher  . . . . : Корпорация Майкрософт
      Description  . . . : Редактор дескрипторов безопасности
      Version  . . . . . : 5.1.2600.2180
      Copyright  . . . . : © Корпорация Майкрософт. Все права защищены.
    > G Data . . . . . . : Trojan.Generic.KD.825193 (Engine A)
    > Ikarus . . . . . . : Trojan-Dropper.Win32.Injector!IK
      Fuzzy  . . . . . . : 103.0

   C:\System Volume Information\_restore{1A4C272D-3C75-4F7C-B8C2-0131E7D52153}\RP1209\A0264848.exe
      Size . . . . . . . : 259.584 bytes
      Age  . . . . . . . : -0.0 days (2013-01-10 16:29:54)
      Entropy  . . . . . : 6.2
      SHA-256  . . . . . : 20DEB84F7AF5C6C69D46AC43E54318F2AEBD15E82EF2DE67EF631545436FE053
      Product  . . . . . : Операционная система Microsoft® Windows®
      Publisher  . . . . : Корпорация Майкрософт
      Description  . . . : Редактор дескрипторов безопасности
      Version  . . . . . : 5.1.2600.2180
      Copyright  . . . . : © Корпорация Майкрософт. Все права защищены.
    > G Data . . . . . . : Trojan.Generic.KD.825193 (Engine A)
    > Ikarus . . . . . . : Trojan-Dropper.Win32.Injector!IK
      Fuzzy  . . . . . . : 105.0


Malware remnants ____________________________________________________________

   C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.js (Ransomware)
   C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.pad (Ransomware)
   C:\Dokumente und Einstellungen\f.Mustermann\Startmenü\Programme\Autostart\runctf.lnk (Ransomware)

Potential Unwanted Programs _________________________________________________

   HKLM\SOFTWARE\Classes\AppID\secman.DLL\ (Babylon)
   HKLM\SOFTWARE\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56}\ (Babylon)
   HKLM\SOFTWARE\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}\ (Babylon)
   HKLM\SOFTWARE\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}\ (Babylon)
   HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}\ (Babylon)
   HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8FFE}\ (Babylon)
   HKLM\SOFTWARE\Classes\secman.OutlookSecurityManager.1\ (Babylon)
   HKLM\SOFTWARE\Classes\secman.OutlookSecurityManager\ (Babylon)
   HKLM\SOFTWARE\Classes\TypeLib\{11549FE4-7C5A-4C17-9FC3-56FC5162A994}\ (Babylon)
         

Sehr schön

Genau as was ich erwartet habe.

Die Funde bitte löschen und dann berichte ob du normal booten kannst.

Also das Programm noch einmal laufen lassen und dann auf "Weiter"?