Hallo!

Der Laptop meiner Mutter ist von einem dieser grassierenden Ransom-Viren befallen worden (Computer blockiert, 100 Euro, et al.).

Ausgehend von folgendem Thread (http://www.trojaner-board.de/127147-...epartment.html) mit einer sehr ähnlichen Situation habe ich folgende Maßnahmen durchgeführt:

1. 3 Mal den Malwarebytes Anti-Rootkit durchlaufen lassen, bis nichts mehr gefunden wurde.

2. Malware-Scan mit Emsisoft Anti-Malware, wo nichts gefunden wurde.

3. ESET Online Scanner laufen lassen, der dann doch noch zweimal java/exploit.cve-2010-0094.P trojan gefunden hat.

Der Laptop läuft danach wieder soweit so gut, allerdings bin ich sehr unsicher, ob das wirklich ausreicht.

Ich wäre extrem dankbar, wenn sich jemand kurz die Logdateien im Anhang durchschauen könnte und mir vielleicht auch raten könnte, wie ich weiter vorzugehen habe.

Vielen, vielen Dank im Voraus!

Hi
was sollen wir mit dem Malwarebytes log ohne Funde anfangen? poste bitte die mit Funden.

Zitat:

Zitat von markusg

Hi
was sollen wir mit dem Malwarebytes log ohne Funde anfangen? poste bitte die mit Funden.

Das habe ich befürchtet. Ich habe leider einen Blödsinn gemacht und Malwarebytes für die ersten beiden Scans direkt aus der Rar-Datei laufen lassen. Dabei wurden die Logs scheinbar leider nicht gespeichert.

Lässt sich da jetzt überhaupt noch irgendwas tun?

öffne malwarebytes, quarantäne und gucke obs funde gibt, poste sie mit Pfadangabe

Im Anhang ein Screenshot der Funde.

poste sie bitte als text, mit Pfadangabe.
eig müsste es dann unter Malwarebytes bzw antirootkit, unter logs noch weitere Berichte geben, evtl. auch die mit funden, bitte prüfen

Code: Alles auswählenAufklappen

ATTFilter

Trojan.Agent  c:\Users\Toshiba\AppData\Local\Temp\IJBN4LA.exe
Trojan.Agent  c:\Users\Toshiba\AppData\Local\Temp\FVQ45UT.exe
Trojan.FakeAlert.DF  c:\Users\Toshiba\AppData\Roaming\skype.dat
Troja.Agent  c:\Users\Toshiba\AppData\Local\Temp\~!#84EE.tmp
Trojan.FakeAlert.DF c:\Users\Toshiba\AppData\Local\Temp\~!#7C65.tmp
         

Vermutlich hast du nicht so was gemeint, aber ich finde leider auf Malwarebytes keine Option die Quarantäne als Text zu exportieren.

Logs finden sich leider wirklich keine. Ich habe auch die Temp-Ordner durchsucht, ob sich die Logs noch irgendwo finden lassen, leider ohne Erfolg.

Hi
so ists genau richtig.
danke für die Mühen.
download tdss killer:
http://www.trojaner-board.de/82358-t...entfernen.html
Klicke auf Change parameters
• Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
- bei funden erst mal immer skip wählen, log posten
c: öffnen, tdsskiller-datum-version.txt öffnen, Inhalt posten

Code: Alles auswählenAufklappen

ATTFilter

19:27:43.0728 0820  TDSS rootkit removing tool 2.8.15.0 Oct 31 2012 21:47:35
19:27:43.0900 0820  ============================================================
19:27:43.0900 0820  Current date / time: 2013/01/19 19:27:43.0900
19:27:43.0900 0820  SystemInfo:
19:27:43.0900 0820  
19:27:43.0900 0820  OS Version: 6.1.7601 ServicePack: 1.0
19:27:43.0900 0820  Product type: Workstation
19:27:43.0900 0820  ComputerName: TOSHIBA-PC
19:27:43.0900 0820  UserName: Krystian
19:27:43.0900 0820  Windows directory: C:\Windows
19:27:43.0900 0820  System windows directory: C:\Windows
19:27:43.0900 0820  Running under WOW64
19:27:43.0900 0820  Processor architecture: Intel x64
19:27:43.0900 0820  Number of processors: 2
19:27:43.0900 0820  Page size: 0x1000
19:27:43.0900 0820  Boot type: Normal boot
19:27:43.0900 0820  ============================================================
19:27:44.0727 0820  Drive \Device\Harddisk0\DR0 - Size: 0x4A85D56000 (298.09 Gb), SectorSize: 0x200, Cylinders: 0x9801, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000040
19:27:44.0727 0820  ============================================================
19:27:44.0727 0820  \Device\Harddisk0\DR0:
19:27:44.0727 0820  MBR partitions:
19:27:44.0727 0820  \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0xC8800, BlocksNum 0x12AD4000
19:27:44.0727 0820  \Device\Harddisk0\DR0\Partition2: MBR, Type 0x7, StartLBA 0x12B9C800, BlocksNum 0x12891800
19:27:44.0727 0820  ============================================================
19:27:44.0742 0820  C: <-> \Device\Harddisk0\DR0\Partition1
19:27:44.0774 0820  D: <-> \Device\Harddisk0\DR0\Partition2
19:27:44.0774 0820  ============================================================
19:27:44.0774 0820  Initialize success
19:27:44.0774 0820  ============================================================
19:27:54.0305 4624  Deinitialize success
         

sieht irgendwie unvollständig aus, mal als txt anhängen bitte

edit

hi
logs bitte hier anhängen, falls zu groß, packen.

Log gepackt im Anhang.

Hi,
combofix:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hier also das Combofix-Logfile.