|
Buchungsbestätigung per eMail von booking.com / Trojaner "TR/Injector.qmu" und weitere Malware Hallo. Ich habe am 24.04. zwei Buchungsbestätigungen mit Anhang als eMails von booking.com erhalten. Leider habe ich dieses eine mal nicht nachgedacht (ich überlege schon die Geißelungsart), habe den .zip Anhang einer eMail geöffnet und die Datei ausgeführt. Auf dem Desktop erschien dann ein Icon auf das ich draufklickte. Das Icon verschwand danach sofort und war nicht mehr zu sehen. Erste Schritte bei der Problembehandlung habe ich schon unternommen. Leider bin ich absolut unerfahren in diesen Angelegenheiten und alleine nicht fähig mein Problem zu bearbeiten. Habe vor langer Zeit schon mal eine Anfrage gestellt wegen anderen Dingen, aber leider keine Antwort erhalten. Daher habe ich mir diesmal hoffentlich alles gut durchgelesen und schreibe den Thread wie von Euch gefordert, bitte aber um Nachsicht, wenn trotzdem was falsch sein sollte. Mein Kopf qualmt und ich fühle mich absolut überfordert. Wenn sich jemand meiner annehmen würde wäre ich sehr dankbar! :knuddel: Problembehandlung (eMail und reale Namen wurden in den Logs nicht gefunden oder unkenntlich gemacht (xxx), leider weis ich nicht wie man Spoiler hier einfügt): 1.) Erster Scan mit Avira Free, Trojaner und Viren bzw. unerwünschte Programme werden gefunden und in Quarantäne verschoben. Namentlich erwähnt wird der Trojaner TR/Injector.qmu. Da der Scan sehr umfangreich war, passt leider nicht mal die 7 Zip Datei hierher (10,5 Mb). Wenn gewünscht, kann ich den Log aber per eMail oder sonstwie schicken. Hier erstmal das was mir selber aufgefallen ist: Zitat:
2.) Malewarebytes installiert, 14 Tage Testversion Pro, vollständige Systemprüfung, mehrere infizierte Dateien gefunden und bereinigt, Pc-Neustart: Anhang: mbam-log-2012-04-29 (17-23-27) 3.) defogger runtergeladen und ausgeführt. Bisher nicht auf Re-enabled geklickt, aber letzter Schritt wurde nicht mehr ausgeführt und Fenster ging auch nicht zu.
Zitat:
4.) DDS runtergeladen und ausgeführt: DDS.txt (soll ja direkt in den Thread) Zitat:
5.) Alle laufenden Programme und Scanner geschlossen. Da in Schritt 3 defogger-Fenster nicht zu ging, auch dieses Fenster mit Klick aufs rote Kreuz geschlossen. Gmer ausgeführt, allerdings vergessen Häkchen bei IAT/EAT zu entfernen. Das Logfile ist als Anhang hier dabei. PC neu gestartet und Gmer erneut mit richtigen Häkchen ausgeführt. Diesmal aber während des Scans abgestürzt mit Bluescreen. Pc hat selbständig neu gebootet. Habe Windows normal starten lassen, nicht abgesichert. Danach erschien folgende Windowsmeldung: Zitat:
6.) PC neugestartet und nochmal Avira ausgeführt, weil erster Bericht hier nicht herpasst. Also alle Einstellungen auf "Standart" gestellt. Gefunden wurde so aber nichts. Auch das Log befindet sich im Anhang. Anhang: AVSCAN-20120429-205058-A87C9020 neuer -------- Übrigens befinden sich die ursprünglichen eMails von booking.com noch immer in meinem eMailprogramm. Geschafft, ich hoffe alles richtig gemacht zu haben und würde mich wirklich sehr freuen, wenn mir jemand hilft. |
hi sind das alle malwarebytes logs? |
Zitat:
Mehr habe ich nicht gefunden, oder gibt es mehrere logs separat? Jetzt habe ich verstanden um was es geht, denke ich. Bitte aber auch um Verständnis. Als absoluter Laie kann selbst das nachschauen verschiedener Raiter eines Programmes zum Problem werden, wenn gleichzeitig lauter Dinge passieren, von denen man keine Ahnung hat. Ich habe noch zwei weitere Logfiles gefunden. Aber wenn ich nicht blind bin, sind das die gleichen. Ich spare mir jetzt auch das xxx dort, Serkan´s gibts viele und das ist ohne der Name des Pc-Einrichters. Vorab kurz noch: Erst jetzt wird mir eigentlich klar, was für ein Segen Eure Seite ist, also wenn mal wieder ein Problem vorhanden ist... Ein solches Angebot ist nicht als selbstverständlich zu erwarten, um so dankbarer bin ich auch für Hilfe. :) Code: 2012/04/29 17:10:46 +0200 SERKAN-PC Serkan MESSAGE Executing scheduled update: DailyCode: 2012/04/29 17:10:46 +0200 SERKAN-PC Serkan MESSAGE Executing scheduled update: Daily |
hi, danke wenn noch dateien zu entrschlüsseln sind: mache ein backup deiner wichtigen dateien die verschlüsselt sind auf ein externes laufwerk dann entschlüsseln: http://www.trojaner-board.de/114224-...-unlocker.html teile mir mit obs geklappt hatt |
Zitat:
ich danke dir!!! Also ich habe nie solche Mails mit solchem Inhalt bekommen, wie sie da in dem Thread abgebildet sind, wenn ich nicht irre. Den Thread und alle Infos die ich finden konnte zum Thema Verschlüsselung habe ich durch, aber ich finde einfach keine Hinweise darauf, was die Verschlüsselung überhaupt ist, wie sie aussieht und wie ich herausfinde ob bei mir was verschlüsselt ist. Den ersten Beitrag aus dem Thread verstehe ich überhaupt nicht leider. Finde immer auch nur das Programm zum entschlüsseln. Ich habe nach .wnys, .wxyz, Rechnung.exe und Realtecdriver.exe über die Windowssuche erweitert untersucht, also auch indizierte, versteckte und Systemdateien aber keine davon gefunden. Avira hat ja in seinem umfangreichen Bericht nicht näher beschrieben von 301 Warnungen, 413 Hinweisen und von 81 nicht durchsuchungsfähige Dateien berichtet. Hat das was damit zu tun? Zitat:
|
naja, ich würde niemals daten online sichern, wenn sie nicht mit passwort versehen sind, was ist zb wenn jemand die server hackt? schließe mal alles an, nutze die windows suche und suche nach *.locked du hast eine solche mail bekommen, die buchungsbestätigung nämlich, es gibt verschiedene variannten. in denen aber immer ein zip oder rar archiv anhängt. |
Okey, das leuchtet ein. Also ich habe das hier als xml Dateien gefunden: Code: Microsoft.DirectX.DirectPlay (1,19mb)Ich weis nicht, wie ich diese Dateien öffne um sie zu prüfen bzw. wie ich feststelle ob sie befallen sind. |
als du nach *.locked gesucht hast, hast du xml dateien gefunden? |
Also ich habe das mit * und .locked so eingegeben und diese drei Dateien wurden angezeigt. Ich habe alle Einstellungen so tief wie möglich gewählt, wenn ich das richtig gemacht habe. Die Suche hat mehr als 30-40 Minuten pro Durchgang gedauert. Darum habe ich beim ersten Durchgang abgebrochen, weil ich dachte das sie sich aufgehängt hat. In der Suche wurde von Windows angezeigt, dass die Ergebnisse nicht alle ins Suchfenster passen, habe versucht die Suche zu speichern, aber ich glaube da war die Suche halt noch nicht abgeschlossen und so schloss ich diesen ersten Durchgang und habe das abgespeicherte wieder gelöscht. Dort wurden mir aber direkt im Suchfenster schon die drei Dateien angezeigt, die beim zweiten Durchgang auch dabei waren. |
na und brauchst du die oder nicht? |
Ich dachte das du mir das vielleicht sagen könntest. Sind die drei Dateien jetzt befallen, so dass ich davon ein Backup machen muss und dann diese drei mit dem Avira Ransom File Unlocker bearbeiten? |
wie heißen die dateien |
Mehr als die genannten drei Microsoftnamen habe ich nicht. Code: Microsoft.DirectX.DirectPlay (1,19mb) |
ne die brauchst du nicht. kannst du löschen. |
Einfach so löschen? Sind das keine Systemdateien bzw. wichtige Dateien für Directx? Ich habe leider zu lange kein englisch mehr gesprochen, als das mir Google in dem Fall eine Hilfe sein könnte. In dem Thread steht doch man soll sie dann bearbeiten, das hattest du vorher ja auch geschrieben. Von löschen erfahre ich erst jetzt. Und wenn ich lösche ist das Problem doch nicht behoben? Was ist denn mit den Dateien die von Malewarebytes in Quarantäne verschoben sind? Die wurden ja bei der *locked Suche auch nicht angezeigt. Weis aber auch nicht ob die mit dem Trojaner zu tun haben. Ich habe jetzt die Suche noch mal gemacht, aber ohne intensive Suche. Jetzt sind da scheinbar mehr Dateien. Merkwürdig das er so mehr findet. Die xml Dateien waren auch nicht mehr mit dabei. Code: icon_security_locked.tga |
ich denk du hast schon den unlocker genutzt, dann noch mal. mache ein backup deiner wichtigen dateien die verschlüsselt sind auf ein externes laufwerk dann entschlüsseln: http://www.trojaner-board.de/114224-...-unlocker.html teile mir mit obs geklappt hatt |
Guten Morgen. Ich habe die Dateien die über *.locked gesucht wurden geöffnet, konnte aber nirgendwo verschlüsselte Dateien finden (Zahlenkombis, Hyroglyphen etc) sondern sie sehen alle normal aus, ich weis also nicht was ich entschlüsseln soll. Habe daher Avira Ransom File Unlocker bisher nicht runtergeladen. Habe darum nochmal ausgeführt (Logs sind vorhanden): - Malewarebytes vollständiger Scan ohne Funde, die Quarantänedateien wurden gelöscht - agressive von Euch empfohlenen Avira Free Einstellungen - keine Funde oder Warnungen mehr - einige überflüssige Programme und Ordner gelöscht - Auch Desktopsymbol und einen Ordner gelöscht von Eurograndcasino. Hatte ich mal runtergeladen um im Onlinecasino spielen zu können. Wurde aber ja als Maleware erkannt. Deinstallieren konnte man aber nicht, daher weis ich nicht ob da wirklich alles weg ist. Auf die gleiche Art habe ich auch Gammonempire Partygammon gelöscht. - CCleaner mit Euren Einstellungen benutzt (Hier ist Eurer Hilfsthread glaube ich nicht mehr aktuell?) Ich merke das mein Pc deutlich schneller geworden ist. Dennoch wird mir der Zugriff auf manche Ordner verweigert die ich löschen wollte. Scheinbar kann ich nix mehr auf dem Desktop abspeichern. Admin bin ich aber eigentlich immer gewesen. Die *locked Suche hat mich sehr verunsichert, da es auch da viele Einstellmöglichkeiten gibt und ich nicht sicher bin ob ich richtig gesucht habe. Leider habe ich früher oft Registrycleaner benutzt und viele Schlüssel immer einfach gelöscht, Eure Meinung dazu habe ich erst jetzt gelesen. Mein System findet nix mehr, ich sehe auch keine verschlüsselten Datein. Aber ich glaube trotzdem nicht das mein Pc geheilt ist? Und soll ich evtl. noch mal nach *locked Suchen mit von dir vorgegeben Vista Home Premium 32bit Einstellungen? |
hi, wenn deine wichtigen daten funktionieren, wie bilder etc, dann nicht. dann setzen wir das system sicherheitshalber neu auf, dann funktioniert alles wieder. 1. Datenrettung:
ich werde außerdem noch weitere punkte dazu posten. 4. alle Passwörter ändern! 5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen. 6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen. |
Guten Morgen Markus. Werde wie beschrieben, da das ganze aber viel Zeit in Anspruch nehmen wird (einige Tage, bei meinem Verständis für die Technik), werde ich das ganze erstmal verschieben und später wieder aufgreifen. 1.) Kann ich Schritt 1 überspringen, wenn nur wenig Daten gebraucht werden? (ein paar persönliche Dateien und Favoriten/Einstellungen von Firefox und Thunderbird) Das kann ich doch genauso einfach nur auf den Stick ziehen oder sollte trotzdem wegen der vllt. 30-40 Dateien ein Backup gemacht werden? 2.) Soll ich Autorun beim überspringen von Schritt 1 trotzdem deaktiveren bevor Schritt 2 gemacht wird? 3.) Kann es passieren, dass mich das eigentliche Mainboard/Bios (Gigabyte EP 45-DS3L mit Biosversion F11b, 2 Jahre alt) beim formatieren bittet, irgendetwas neu zu installieren/Treiber zu laden? Ich habe einmal das neuste Update des Mainboardtreibers installieren wollen. Dabei ist mir der Ram beschädigt worden und ich musste den PC einsenden, weil ich da noch nicht wusste das es der Ram war. Der Pc ist übrigens selber zusammengestellt und von hardwareversand zusammengebaut worden. Das ist glaube ich die neuere Biosversion. Sorry für die vielen Gegenfragen. |
1. nein kannst du auf nen stick packen. 2. autorun auf jeden fall aus. 3. nein. und kein problem, dafür sind wir hier. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:06 Uhr. |
Copyright ©2000-2025, Trojaner-Board