Verschlüsselungs-Trojaner: 2 (ex-)befallenen Systeme...
 

So, hi erstmal!

Ich habe hier aus diversen Gründen 2 Patienten stehen:
-Patient A: Win7 Ultimate x86
-Patient B: WinXP Pro x86 (gab es da schon x64?)

Diese beiden Systeme waren/sind mit dem Verschlüsselungs-Trojaner
befallen.

Bei dem Win7-System habe ich soweit alles entfernen können (Dateien und Registry-Veränderungen)... interessanterweise ist bei diesem System nichts verschlüsselt worden -> Die Log's zu DDS und Gmer sind im Anhang.

Bei dem WinXP-Rechner ist eigentlich auch alles entfernt... hatte die ganzen "disable"-Einträge für regedit und taskmgr entfernt, doch lässt sich nichts von beidem starten! Der Abgesicherte-Modus ist ebenfalls hinüber -> beim Anwählen erfolgt ein reboot. Des Weiteren sind die Dateien des Benutzers verschlüsselt (kein locked- , sonder Buchstabenkombinationen in groß und klein). Ich habe die "7-Tools", die im Header des Boards verlinkt sind, durchprobiert, ohne Erfolg.

Interessant ist an diesem Fall, dass beide Systeme vom gleichen (!) Virus/Trojaner befallen sind/waren und die Folgen doch so unterschiedlich sind.

Nebenbei benutzen beide Systeme "avast! Antivirus" - free ->warum auch immer :wtf:

Der Virus/Trojaner ist im Übrigen ebenfalls angehängt!

So, ich hoffe, ich habe nichts wichtiges vergessen!
Danke schonmal im Vorraus und Gruß,

Wolf-XIII

PS: Ich weis grad garnicht, ob ich im richtigen Bereich gepostedf hab?

Bist du irre hier Malware öffentlich reinzustellen? :wtf:
Die Hinweise stehen doch oben ganz deutlich sichtbar da, da steht ganz genau sohin du es senden möchtest :)

Ah, okay!

Danke und entschuldigung... Es war ein Denkfehler
von mir, das Zeug mit in den Anhang zu packen -.-

Nochmals, entschuldigung!

Wolf-XIII

Du hast jetzt aber nicht vor, Logs von beiden Rechnern in diesem einen Strang zu packen?!
Pro Rechner machst du bitte einen Strang auf

Ähm...

1. Die Log's sind von dem Win7-Rechner
2. Was ist in diesem Zusammenhang ein Strang?
3. Darum wurde ich in einer E-Mail von Markus gebenten:

Informationen die ich bisher zu dieser Version des Trojaners habe:
-Die Anhang-Datei der E-Mail nannte sich "Bestellung.zip"
-Nach Aussage meiner Mutter kam bei dem Versuch diese Datei zu öffnen eine Fehlermeldung
-Nach einem Neustart des Systems kam nach ca. 5 sek. eine Variante des Bildschirmtextes, die ich per Google-Bildersuche bisher nicht wiederfinden konnte
-Taskmanager und Regedit wurde auf beiden Systemen blockiert
->Jetzt geht das Verhalten des Trojaners auf den beiden Systemen 2 Wege:

Zuerst mal der Weg auf dem Win7-Rechner:
-Über eine Win7-DVD hatte ich den DVD-internen Regedit gestartet und von dort aus folgende Dateien des Computers eingelesen:

• NTUSER.DAT (aus Order User)
• System.dat (windows\system32\config)
• Software.dat (windows\system32\config)
• Security.dat (windows\system32\config)
• Default.dat (windows\system32\config)

Durch die Suche nach "runonce" fand ich Ordner "...\Run\Runonce" eine Datei, deren Namen nur aus Buchstaben- und Zahlenfolgen *.exe bestand, und den noch eine *.exe. Diese und alle weiteren Einträge zu dieser Dateie entfernte ich aus der Registry. Anschließend fand ich Einträge zu "disabletaskmgr" und "disableregedit" -> ebenfalls entfernt.

Nachdem das Erledigt war, lies sich der Rechner wieder normal booten -> KEINE verschlüsselten Dateien waren auf dem System!
Scan noch dem Leitfaden -> Log's sind im 1. Beitrag. Bei diesem Rechner warte ich nur noch auf das Okay, das alles wieder in Ordnung ist.

Zu dem XP-System:
Selbiges, wie oben versucht. Habe im "Runonce" suspekte Dateien gefunden und entfernt. Doch habe ich weder etwas zum Taskmanager noch zum Regedit gefunden. Nach einem Reboot kommt vor dem Anmeldungsfenster eine Meldungs-Box, die im Header Hieroglyphen (vom System nicht unterstützte Zeichen?) und eine *.dll Datei und/oder "c.\windows\system32" und\oder gar nichts stehen hat. Es ist nur der Button Okay vorhanden. Ansonsten lässt sich das System booten. Nach der Anmeldung öffnet sich ein Explorer-Fenster zu "Eigene Dateien". Sämtliche Dateien in diesem Ordner sind verschlüsselt (im Anhang ist ein Päärchen:verschlüsselt und original). Die Ordnernamen sind noch normal.

So, das ist der aktuelle Status! Im nachhinein überlegt, hätte ich das im 1. Post schon so ausführlich beschreiben sollen -.-"

Ich hoffe, dass ihr damit etwas anfangen könnt und das XP-System noch irgendwie zu retten ist...

Liebe Grüße,

Wolf-XIII

Ein Strang ist ein Thema in einem Forum. Dieses hier von mir jetzt ist ein Post in einem Strang den du eröffnet hast

Und nochmal, vermisch jetzt bitte nicht beide Systeme in diesem Strang (Thema) - mach einen neuen für den XP-Rechner auf falls es sein muss!

Okay, bisher kannte ich dies nur als "Thread" oder einfach nur Thema.

Hm, also, wie im 3.Post beschrieben, geht es eigentlich NUR um den XP-Rechner! Den Fall des Win7-Systems habe ich nur hinzugezogen, weil dieselbe Datei (Trojaner) sich auf den beiden Systemen so unterschiedlich verhalten hat.

_
Wolf-XIII

Dann poste erstmal alle schon vorhandenen Logs zB von Malwarebytes vom XP-Rechner
Man sollte wirklich den Schädling weg haben bevor man an die Entschlüsselung denkt

Zur Entschlüsselung seltbst kann ich dich aber nur an die obigen Hinweise erinnern => Vorgehen beim Verschlüsselungs-Trojaner (Übersicht der 7 Tools) INFO: Windows Update Trojaner bitte Sendet uns die Viren!

INFO: Wurde editiert!

Hi,

hier sind die Log-Files von MalwareBytes und DDS.

Habe vorher die Datenbank von MalwareBytes aktuallisiert,
die Internetverbindung getrennt, das Antivirus-Programm
deaktiviert und den Defogger ausgeführt.

Anschließend MalwareBytes durchlaufen lassen und dann
DDS. Der Versuch GMER zu starten endet mit einem Reboot...
->System "stürzt ab", ein paar Sekunden lang Blackscreen, Reboot

In der Textdatei "A.txt" ist noch der Pfad zu einem mir sehr suspekten
Registry-Schlüssel ausführlich aufgeführt. Eine weitere Suche
nach der genannten *.exe ergab keine Funde.

Hoffe, dass hilft dir weiter.
Gruß,

Wolf-XIII

Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

So hier der Log zum Eset-online Scan:

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht (wieder) der normale Modus von Windows uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

hi,

zu 1. Ja, der geht soweit, wenn man von dem Fenster vorm Anmelden des Beutzers (siehe unten) und der Tatsache, das nach der Anmeldung ein Explorer-Fenster zu Eigene Dateien aufgeht, absieht

zu 2. Alles vorhanden, nichts fehlt

Gruß,
Wolf-XIII

PS Aus einem vorherigen Post:

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

So, hier der OTL-Logfile aus OTL.txt

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg

Hier der Log vom TDSSKiller:

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

Hi, beim Ausführen von ComboFix erhielt nach einer Weile
einen BlueScreen!

Grund: "BAD_POOL_HEADER"
Technische Information:
Was soll ich nun machen?

Starte Windows neu, lösch die alte combofix.exe, lade CF neu runter und probier es bitte nochmal.

Hi, dass habe ich bisher dreimal gemacht...

Immer bei 50 kommt ein Bluescreen, mittlerweile eine neue Meldung im BlueScree :

Kurze Info am Rande:
Meine Liebe Frau Mutter ,der der Rechner gehört, hat gestern wohl gemeint, am Rechner rumfummeln zu müssen... :(
Anderst kann ich mir diese Änderung des BlueScreens nicht erklären. Als Folgen hieraus habe ich sämtliche Benutzerkonten mit neuen Passwörtern versehen.

Ich möchte mich hiermit in aller Form für den Fall, dass dies deine Arbeit erschwert, entschuldigen!

Was meint sie mit rumfummeln...bekommt man das noch zusammen was verändert wurde :wtf:

Nein, leider... heute hat sie während ich bei der Arbeit war (Spätschicht/Azubi),
wahrscheinlich als Reaktion auf die Änderungen der Passwörter (obwohl ich sie
darüber informiert hatte), die Festplatte formatiert und Windows neuinstalliert...
:headbang:

Ich möchte mich hiermit in aller Form bei dir und dem Board für
deine Hilfe bedanken, im gleichen Zug jedoch auch entschuldigen,
dass dies alles nun doch umsonst war.

Es ist zu heulen und ich kann nur hoffen, dass das keinen flaschen
Schatten auf mich wirft...

Mit freundlichen Grüßen,

Wolf-XIII

Wenn sie formatiert hat ist jetzt es alles gegessen. Brauchst dich nicht zu entschuldigen, war ja nicht deine Schuld :D
Wurden die verschlüsselten Dateien noch gesichert oder ist das eh alles nicht so wichtig? :lach:

Eigentlich war es schon wichtig...aber ist nun alles futsch