Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Windows-Verschlüsselungs-Trojaner Schritt 3 (Trojan.Matsnu.1) (https://www.trojaner-board.de/114653-windows-verschluesselungs-trojaner-schritt-3-trojan-matsnu-1-a.html)

peter_susann 03.05.2012 20:59
Windows-Verschlüsselungs-Trojaner Schritt 3 (Trojan.Matsnu.1)
 
Hallo Board,

wir haben uns einen Verschlüsselungstrojaner eingefangen.
Beim (dummen) Öffnen einer "Scheinrechnung" per "E-Mail" wurde der Trojaner aktiv und meldet den Standard:
"Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert.
Aus Sicherheitsgründen wurde ihr Windowssystem blockiert..."

Habe mich an das "Vorgehen beim Verschlüsselungs-Trojaner (Trojan.Matsnu.1)" gehalten:


1. Ich habe aus dem gesicherten Modus Malwarebytes Anti-Malware laufen lassen und konnte nach Lauf und Entfernung den PC wieder starten, hier der Report:
Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.03.05

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
*** :: ***-PC [Administrator]

Schutz: Deaktiviert

03.05.2012 19:01:22
mbam-log-2012-05-03 (19-38-38).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 347546
Laufzeit: 36 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|6AF7E5C0 (Trojan.Downloader) -> Daten: C:\Users\***\AppData\Roaming\Qprfuc\2458ECB06AF7E5C0C8C4.exe -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 6
C:\Users\***\AppData\Roaming\Qprfuc\2458ECB06AF7E5C0C8C4.exe (Trojan.Downloader) -> Keine Aktion durchgeführt.
C:\Users\***\AppData\Local\Temp\afrtsdrxsi.pre (Trojan.Downloader) -> Keine Aktion durchgeführt.
C:\Users\***\AppData\Local\Temp\bxyuqgfsyt.pre (Trojan.Downloader) -> Keine Aktion durchgeführt.
C:\Users\***\AppData\Local\Temp\qnnghrrprg.pre (Trojan.Downloader) -> Keine Aktion durchgeführt.
C:\Users\***\AppData\Local\Temp\ysninfjjxo.pre (Trojan.Downloader) -> Keine Aktion durchgeführt.
C:\Users\***\AppData\Local\Temp\zluhbsxiyp.pre (Trojan.Downloader) -> Keine Aktion durchgeführt.

(Ende)

2. Alle relevanten Daten waren bzw. sind verschlüsselt. Habe gemäß Schritt 2 "DecryptHelper von Matthias" zum Entschlüsseln verwendet und dazu parallel den "Avira-RansomFileUnlocker-1.0.1". Hat ebenfalls geklappt. Kann alles wieder verwenden.

3. Was soll ich nun machen? Empfehlung Schritt 3 sagt: "Befolge folgende Anweisungen: an alle Hilfesuchenden um den Rechner vollständig zu bereinigen. Das ist wichtig, denn der Rechner ist noch nicht sauber!"


Schon mal jeden Dank vorab...

P.S. Bin reiner Anwender und damit "Laie"

Swisstreasure 03.05.2012 21:41
:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
netsvcs
drivers32 /all
%SYSTEMDRIVE%\*.*
%systemroot%\system32\*.wt
%systemroot%\system32\*.ruy
%systemroot%\Fonts\*.com
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\REPAIR\*.bak1
%systemroot%\REPAIR\*.ini
%systemroot%\system32\*.jpg
%systemroot%\*.scr
%systemroot%\*._sy
%APPDATA%\Adobe\Update\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%APPDATA%\Microsoft\*.*
%PROGRAMFILES%\*.*
%APPDATA%\Update\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

peter_susann 03.05.2012 22:29
Hallo,

bevor ich loslege...

Ich habe jetzt ja wieder Zugriff auf Bilder, Musik und einige pdfs und docs.

Ich entnehme Deinem Hinweis, dass es wahrscheinlich schneller und sicherer ist, diese Daten zu speichern und dann den PC zu formatieren.

Was meinst Du?

Swisstreasure 03.05.2012 22:39
Es ist der sicherste aber oft auch mühsamere Weg. Die Entscheidung liegt voll und ganz bei Dir.

peter_susann 03.05.2012 22:50
Vielen Dank für Dein schnelles Feedback!

Ich werde mich dann am am Wochenende an die Formatierung begeben. Habe zwar keine Lust aber zumindest Zeit...

Eine letzte Frage. Kann ich davon ausgehen, dass die entschlüsselten Dateien "sicher" sind?

Swisstreasure 03.05.2012 22:54
Ja die sind nicht verädnert in sich :)

peter_susann 03.05.2012 22:58
Many thanks...und tschüss


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:48 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131