Trojaner-Board - Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash (https://www.trojaner-board.de/114485-haben-windows-verschluesselungs-trojaner-infiziert-50-ukash.html)

Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash

Hallo Leute!
Frisch aus dem Urlaub zurück brachte mir meine Mutter als Willkommensgeschenk ihr Notebook mit einem Trojaner verseucht vorbei... .
Es handelt sich hierbei um die Windows-Update - Meldung:
"Sie haben sich mit einen Windows-Verschlüsselungs Trojaner infiziert."
Da ich außer den "Windows-Update" - Bildschirm nichts mehr sehe oder anklicken kann (TaskMgr ist ebenfalls gesperrt), habe ich mich an folgender Anleitung gehalten:
Sie haben sich mit einen Windows-Verschlüsselungs Trojaner infiziert.
Zumindest bin ich soweit gekommen, dass die LOG-Datei vom Scan nach Änderungsdatum (OLT.txt) vorliegt. Allerdings benötige ich schon hier eure Hilfe: Ich weiß nicht, welche Dateien als fix.txt eingetragen werden müssen.

Der Trojaner kam als eMail via Outlook herein. Der Anhang wurde am 25.04. zwischen 17:40 und 18:20 Uhr geöffnet. Die LOG-Datei OLT.txt schicke ich im Anhang mit.
Es scheinen alle persönlichen Dateien verschlüsselt zu sein. Dies gilt leider auch für die BackupDateien, da das Medium angeschlossen war. Wären dort nicht unwiederbringliche Dateien und Bilder, würde ich euch damit nicht belästigen wollen.

So bleibt mir nur auf eure Hilfe zu hoffen. Vielen Dank schon mal im Voraus!

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?

Abgesicherter Modus zur Bereinigung

Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:

Hi Arne,

leider erscheint im Abgesicherten Modus (auch ohne Netzwerktreiber) ein Bluesreen, gefolgt vom automatischen Reboot.

Das Notebook lässt sich nur noch "Normal" starten...

:headbang:

Gruß
Sid

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O4 - HKU\Gast_ON_C..\Run: [D48ACA77] C:\WINDOWS\system32\2BE82C09D48ACA774D0E.exe (THHiq)

O4 - HKU\Mama_ON_C..\Run: [Bomgar Support Reconnect []]  File not found

O4 - HKU\Mama_ON_C..\Run: [D48ACA77] C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\Lzwuxcpopbf\2585819DD48ACA77B2EB.exe (THHiq)

O4 - HKU\Mama_ON_C..\Run: [Realtecdriver]  File not found

O4 - HKU\Mama_ON_C..\Run: [TomTomHOME.exe]  File not found

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1

O7 - HKU\Mama_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1

O7 - HKU\Mama_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1

O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\2BE82C09D48ACA774D0E.exe) - C:\WINDOWS\system32\2BE82C09D48ACA774D0E.exe (THHiq)

O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found

O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found

O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2007/12/01 08:25:04 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O33 - MountPoints2\{852dc9a4-e4e3-11dd-9366-0019d2cfd30f}\Shell - "" = AutoRun

O33 - MountPoints2\{852dc9a4-e4e3-11dd-9366-0019d2cfd30f}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{852dc9a4-e4e3-11dd-9366-0019d2cfd30f}\Shell\AutoRun\command - "" = F:\VTP_Manager.exe

@Alternate Data Stream - 109 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:C46995DA

:Files

C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\Lzwuxcpopbf

C:\WINDOWS\System32\2BE82C09D48ACA774D0E.exe

C:\WINDOWS\System32\winsh323

C:\WINDOWS\System32\winsh322

C:\WINDOWS\System32\winsh321

C:\WINDOWS\System32\winsh320

C:\WINDOWS\System32\winsh325

C:\WINDOWS\System32\winsh324

:Commands

[purity]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Hallo,

sorry das es so lange dauert.

Also, der Reihe nach:
Nach dem Fix lässt sich das Notebook wieder starten!
(Erster wichtiger Teilerfolg!!)
Klar, die Dateien sind noch verschlüsselt.... .

Leider wurde anscheint zuletzt der "Gast" - User angemeldet. (Ein Versuch meiner verzweifelten Ma) Dieser kann sich jetzt auch wieder anmelden. Alle anderen Konten, darunter die Admin-Konten, können nicht angemeldet werden. Die Konten sind noch vorhanden und nicht gesperrt, das PW kann (falls es vom Trojaner verändert wurde) nicht über das Gastkonto verändert werden.

Um die movedfiles zu zippen, soll n. M. der Virenscanner deaktiviert werden. Dies kann der Gast-Account nicht.

Ich suche nun fieberhaft eine lauffähige ERD, um das Adminkonto mit einem neuen PW zu überschreiben.

Hier schon einemal das LOGfile vom Fix:

HTML-Code:

========== OTL ==========

Registry value HKEY_USERS\Gast_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\D48ACA77 deleted successfully.

C:\WINDOWS\system32\2BE82C09D48ACA774D0E.exe moved successfully.

Registry value HKEY_USERS\Mama_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\Bomgar Support Reconnect [ not found.

Registry value HKEY_USERS\Mama_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\D48ACA77 deleted successfully.

C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\Lzwuxcpopbf\2585819DD48ACA77B2EB.exe moved successfully.

Registry value HKEY_USERS\Mama_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\Realtecdriver deleted successfully.

Registry value HKEY_USERS\Mama_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\TomTomHOME.exe deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully.

Registry value HKEY_USERS\Mama_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully.

Registry value HKEY_USERS\Mama_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\2BE82C09D48ACA774D0E.exe deleted successfully.

File C:\WINDOWS\system32\2BE82C09D48ACA774D0E.exe not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\ deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!

C:\AUTOEXEC.BAT moved successfully.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{852dc9a4-e4e3-11dd-9366-0019d2cfd30f}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{852dc9a4-e4e3-11dd-9366-0019d2cfd30f}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{852dc9a4-e4e3-11dd-9366-0019d2cfd30f}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{852dc9a4-e4e3-11dd-9366-0019d2cfd30f}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{852dc9a4-e4e3-11dd-9366-0019d2cfd30f}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{852dc9a4-e4e3-11dd-9366-0019d2cfd30f}\ not found.

File F:\VTP_Manager.exe not found.

ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:C46995DA deleted successfully.

========== FILES ==========

C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\Lzwuxcpopbf folder moved successfully.

File\Folder C:\WINDOWS\System32\2BE82C09D48ACA774D0E.exe not found.

C:\WINDOWS\System32\winsh323 moved successfully.

C:\WINDOWS\System32\winsh322 moved successfully.

C:\WINDOWS\System32\winsh321 moved successfully.

C:\WINDOWS\System32\winsh320 moved successfully.

C:\WINDOWS\System32\winsh325 moved successfully.

C:\WINDOWS\System32\winsh324 moved successfully.

========== COMMANDS ==========

C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.

HOSTS file reset successfully

 

OTLPE by OldTimer - Version 3.1.48.0 log created on 05022012_234038

Ich eile.... .

Vielen Dank schon einmal für deine Hilfe!!

Sooooooooo!!!!!

Nach einer gefühlten Ewigkeit konnte ich das PW vom Administrator wieder zurücksetzten.

Nun besteht auch wieder uneingeschränkter Zugriff auf Dateien und Programme.

Die Dateien im Ordner MovedFiles habe ich via Upload-Channel entsprechend hochgeladen.

Bevor ich mit irgendwelchen wilden entschlüsselungsversuche anfange, warte ich lieber auf dein GO.... :pfeiff:
Zumal es immer mal wieder andere Programme sind, die von euch eingesetzt bzw. empfohlen werden.

So long, und vielen Dank!!

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Halöle,
hier nun die LOG-Dateien:

LOG von Malwarebytes:

Code:

 Malwarebytes Anti-Malware (Test) 1.61.0.1400

www.malwarebytes.org
 

Datenbank Version: v2012.05.03.04
 

Windows XP Service Pack 3 x86 FAT32

Internet Explorer 7.0.5730.13

Administrator :: MAMA-MOBILE [Administrator]
 

Schutz: Aktiviert
 

03.05.2012 16:29:01

mbam-log-2012-05-03 (16-29-01).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 340934

Laufzeit: 46 Minute(n), 47 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 1

HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 18

C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\Mdpflgw\307D3DBED48ACA772A23.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\Realtec\Realtecdriver.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen\Temp\bzvtiansgf.pre (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen\Temp\ndysnpbtcr.pre (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen\Temp\nrmsaybvkr.pre (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen\Temp\shanlvtiej.pre (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen\Temp\giexzgqnpd.pre (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Dokumente und Einstellungen\Mama\Lokale Einstellungen\Temp\humipflgwh.pre (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Programme\Nero\Nero 7\keymaker.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Programme\Nero\Nero 7\CD\keymaker.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\System Volume Information\_restore{BBF408FF-13E2-45D1-BE80-699D2ADBA5C0}\RP1\A0000004.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\System Volume Information\_restore{BBF408FF-13E2-45D1-BE80-699D2ADBA5C0}\RP1\A0001007.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\System Volume Information\_restore{BBF408FF-13E2-45D1-BE80-699D2ADBA5C0}\RP1\A0001012.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\System Volume Information\_restore{BBF408FF-13E2-45D1-BE80-699D2ADBA5C0}\RP1\A0001021.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\System Volume Information\_restore{BBF408FF-13E2-45D1-BE80-699D2ADBA5C0}\RP1\A0001026.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\_OTL\MovedFiles\05022012_234038\C_Dokumente und Einstellungen\Mama\Anwendungsdaten\Lzwuxcpopbf\2585819DD48ACA77B2EB.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\_OTL\MovedFiles\05022012_234038\C_WINDOWS\system32\2BE82C09D48ACA774D0E.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

F:\DecryptHelper-0.5.2.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

und das LOG von ESET-Online-Scanner:

Code:

 ESETSmartInstaller@High as CAB hook log:

OnlineScanner.ocx - registred OK

# version=7

# IEXPLORE.EXE=7.00.6000.17109 (vista_gdr.120227-1644)

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=06f63a875080e64db6f00c1500aa90ac

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-05-03 04:51:51

# local_time=2012-05-03 06:51:51 (+0100, Westeuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=8192 67108863 100 0 680 680 0 0

# scanned=77496

# found=1

# cleaned=0

# scan_time=3175

C:\_OTL\MovedFiles.zip        Win32/Trustezeb.A trojan (unable to clean)        00000000000000000000000000000000        I

Danke!!!!

Zitat:

C:\Programme\Nero\Nero 7\keymaker.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Programme\Nero\Nero 7\CD\keymaker.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Sry aber bei illegaler Software gibt es hier nur noch Hilfe zur Datensicherung + Neuinstallation von Windows

Siehe auch => http://www.trojaner-board.de/95393-c...-software.html

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden.

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!

In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials

Hallo,

klar, ist auch I.O.

Natürlich war auch mir der Eintrag aufgefallen, dennoch hielt ich es für völlig daneben diesen zu "verschleiern".... .
Leider hatte ich kein Einfluss darauf, was meine Geschwister so mit dem Notebook anstellen.

LG
Sid

Tja, das ist natürlich nicht schön, da müsstest du evtl auch mal den Mitbenutzern mitteilen was man darf und was nicht - nicht nur deswegen, sondern weil illegale Cracks/Keygens brandgefährlich für das Windows-System sind

Falls noch Dateien entschlüsselt werden müssen, findesu dazu Hinweise genug hier im Board, anschließend sollst du alles sichern und dem Artikel zur Neuinstallation von Windows folgen.