|
Rechner mit Verschlüsselungs Trojaner infiziert Hallo liebes Trojaner-Board Team, auf dem Rechner einer Kollegin hat sich am Freitag ein Verschlüsselungs-Trojaner breit gemacht - UKash. Ein booten im abgesicherten Modus ist nicht mehr möglich, jedesmal erscheint ein Bluescreen. Im normalen Modus wird der Rechner nach dem hochfahren durch die Virencodeabfrage gesperrt. Der Rechner ist vom Netz, da auch schon Files auf unserem Server gelocked wurden. Hatten am Freitag erst nor versucht mit der Kaspersky Version 10 Rescue Disc den Virus zu entfernen, leider ohne erfolg. Das Betriebssystem ist XP Professional Ver. 5.1 Service Pack 3 Mit Eurer Boot CD hab ich jetzt hochgefahren und OTL ausgeführt. Anbei die OTL.TXT Hoffe Ihr könnt uns helfen. Vielen dank schonmal PJIke |
hi auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort rein: Code: :OTLdieses speicherst du auf nem usb stick als fix.txt nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist. • Klicke nun bitte auf den Fix Button. es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick. wenn dies nicht funktioniert, bitte den fix manuell eintragen. dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen, log posten bitte. |
Hallo Markus, vielen Dank für Deine Hilfe. Wir konnten den Rechner nach durchlaufen des OTL Scans wieder normal starten ?? , haben danach mal Antimalware eingespielt und gescannt, dieser hatte einiges gefunden, haben allerdings nichts davon entfernen lassen, nur eine Log erstellt. Hoffe das hat nicht geschadet, wollte es Dir noch schreiben, habs leider in der Hektik vergessen. Heute morgen hab ich dann den FIX eingespielt, hat funktioniert. Den Rechner musste ich dann allerdings manuel starten und er erzeugte auch keine OTL.txt, habe jetzt OTL manuel scannen lassen. Ich stell Dir mal den LOG von OTL und den Antimalware log ein. Die Daten auf dem Server konnten wir Dank dem Avira Unlocker wieder entschlüsseln. Grosses Kompliment an Euer Forum - Ihr seit wirklich Spitze ! Viele Grüsse Ike |
hi, lass die funde entfernen, vorher malwarebytes updaten die malware kommt meist per mailanhang, meist rar oder zip. als rechnung, lieferschein manung, etc. solche mails sind zur analyse wichtig, wenn ihr mal wieder so was rein bekommt: wenn du ein mail programm nutzt, öffne diese mail mal, datei speichern unter, und bei typ zb .eml einstellen. dann mail an: http://markusg.trojaner-board.de dort die soeben erstellte datei anhängen. wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders. |
Hallo, Danke für die schnelle Antwort. Kann ich den Rechner bevor ich die Viren entferne wieder an unser Netz anschliessen zwecks Malwarebytes Update oder soll ich erst die Viren mit der veralteten Version entfernen ? Brauchst Du danach noch irgenwelche Logs, oder ist die Sache danach bereinigt. Leider haben wir die Mail nicht mehr, war im web.de Mailaccount einer Kollegin und wurde dort gelöscht. Viele Grüsse Ike |
hi, bitte freunde und bekannte warnen, damit sie so was nicht öffnen, wer solche mails bekommt, kann sie an die oben genannte adresse senden. rechner ans netz, updaten, funde löschen, log posten :-) |
Hallo, habe Malwarebytes ein Update verpasst, danach hatte es 3 Funde ausgespuckt, anbei die Log File. Viele Grüsse Ike |
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
|
Hallo, habe jetzt Combofix ausgeführt, anbei die Combofix-Logfile. Viele Grüsse Ike |
hi, kannst du mal die windows suche nutzen und gucken ob noch *.locked files da sind? 2 hat combofix gefunden oder hattest du die einfach nur noch nicht gelöscht? |
Hallo, hab nachgeschaut, hatte vergessen einige zu löschen, die Windows Suche findet jetzt nichts mehr. Viele Grüsse Ike Hi, ist der Rechner soweit wieder clean, oder benötigt es noch andere Scans ? Viele Grüsse Ike |
gibts noch probleme? lade den CCleaner standard: CCleaner Download - CCleaner 3.18.1707 falls der CCleaner bereits instaliert, überspringen. instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen. hinter, jedes von dir benötigte programm, schreibe notwendig. hinter, jedes, von dir nicht benötigte, unnötig. hinter, dir unbekannte, unbekannt. liste posten. |
Hi, also der Rechner funktioniert wieder bestens, bis jetzt ist uns kein Fehler aufgefallen. Hab den CCCleaner laufen lassen, schaut glaub auch gut aus. Ich stell mal das Log ein, die mir unbekannten sind wahrscheinlich auch Treiber oder von Windows benötigte Programme. Viele Grüsse PJIke |
deinstaliere: Tweak UI öffne ccleaner, analysieren ccleaner starten pc neustarten. testen wie der pc läuft. bitte drann denken: an solchen mails mit rechnung, mahnung und sonstigen anhängen, von unbekannten absendern bin ich interessiert. wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ: .eml einstellen. dann mail an: http://markusg.trojaner-board.de dort die soeben erstellte datei anhängen. wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders. wenn der pc zufriedenstellend läuft, können wir das gerät dann absichern. |
Hi, habe jetzt alles ausgeführt wie vorher beschrieben. Der Rechner läuft stabil, sieht gut aus. Gruss PJIke |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:08 Uhr. |
Copyright ©2000-2025, Trojaner-Board