Trojaner-Board - Windows Verschlüsselungs-Trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Windows Verschlüsselungs-Trojaner (https://www.trojaner-board.de/115583-windows-verschluesselungs-trojaner.html)

Windows Verschlüsselungs-Trojaner

Eine Bekannte hat sich den Windows Verschlüsselungs-Trojaner eingefangen.
Ich versuche das Problem zu lösen.

Habe mir mit OTLPE folgende Datei erstellt: OTL.txt

Wäre sehr froh, wenn mir jemand daraus die fix.txt erstellen könnte.
Danke.
Den Rest bekomme ich, denke ich, allein hin.

Ciao
trob07

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?

Abgesicherter Modus zur Bereinigung

Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:

Nein, beides negativ. Kein abgesicherter Modus, kein Internet - zumindest auf dem befallenen Laptop. ;-)

Habe ihn mit OTLPE gestartet und die schon bereits gepostete OTL.txt erstellt. Einige Einträge sind offensichtlich falsch:
O6 - Registry bearbeiten gesperrt,
O6 - Task Manager gesperrt,
O20 - Start von 795BDF30D8557FC9556F.exe beim Systemstart
Einige andere weniger.
Was passiert, wenn ich diese offensichtlichen Manipulationen korrigiere und den Rest, den ich nicht kenne, so belasse und neu starte?
Immerhin hatte Avast Antivirus mit einem erneuten Suchlauf zwei Tage später diese 795BDF30D8557FC9556F.exe aufgespürt und in Quarantäne geschickt. Beim ersten Mal wurde noch nichts gefunden, auch nicht von Malware Antibytes.

Gibt es ein Tool wie HiJackThis, welches auch fremde Registry ausliest und mir Tipps beim Reparieren gibt?
Gibt es für OTLPE eine Funktionsanleitung?
Weiß einfach nicht, welche Registry-Einträge ich gefahrenlos verändern kann und welche nicht.
Weiterhin sind unter Document and Settings (engl. WinXP-Version) alle Dateien, soweit zu erkennen, noch vorhanden - also nicht verschlüsselt.
Gibt es bekannte Ordner, die von diesem Trojaner zuerst verschlüsselt werden? Oder hatten wir einfach Glück, dass noch nichts in der Richtung passiert ist? Ihre mails liest sie online. Also gibt es da keinen Angriffspunkt.

Würde mich freuen, wenn mal jemand die restlichen Registry-Einträge nach Ungereimten absucht und mir ein paar Tipps zum Ändern geben kann.
Danke.

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O4 - HKU\Uli_ON_C..\Run: [D8557FC9]  File not found

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1

O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\Uli_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\795BDF30D8557FC9556F.exe) -  File not found

O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found

O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found

O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2009/07/25 16:19:08 | 000,000,000 | -H-- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O32 - AutoRun File - [2011/12/02 08:26:58 | 000,000,382 | ---- | M] () - D:\autologin.reg -- [ FAT ]

:Files

C:\WINDOWS\System32\winsh32?

:Commands

[purity]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Vielen Dank an die Trojaner-Board-Crew, dass ihr euch so schnell meines Problemes angenommen habt und es erfolgreich gelöst habt.

Ich hänge das gezippte OTL-Logfile hier dran.
Den gezippten Ordner movedfiles habe ich gerade nach eurer Anleitung hochgeladen.

Ich schlage der Laptopbesitzerin eine Spende an euer Team vor.

Off topic: Falls einer der fleißigen Trojanerjäger Lust hat, während des diesjährigen Seifenkistenrennens am 7.7.12 in der Saloppe in Dresden hier mein Gast zu sein, kann er sich gern nochmal melden.
Ist immer eine sehr heitere Angelegenheit. Ein trojanisches Pferd war, glaube ich, in den vergangenen Jahren auch schon mal am Start...

Beste Grüße aus Dresden
trob07

Anhangen movedFiles entfernt //cosinus

Zitat:

Den gezippten Ordner movedfiles habe ich gerade nach eurer Anleitung hochgeladen.

Das mit der Anleitung lesen übst du besser nochmal! :eek:
Bist du irre hier einen MovedFiles Ordner mit Schädlingen öffentlich anzuhängen! Das sollte in den Uploadchannel!

hmmm,
was war denn in der gezippten Datei drin?
Meines Wissens habe ich die log-Datei gezippt und drangehängt, da .log nicht als Dateianhang akzeptiert wird. Ok, ich hätte wohl die log-datei als Code einfügen können. Das mache ich hiermit:

Code:

========== OTL ==========

Registry key HKEY_USERS\Uli_ON_C\Software\Microsoft\Windows\CurrentVersion\Run not found.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HonorAutoRunSetting deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully.

Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.

Registry key HKEY_USERS\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer not found.

Registry key HKEY_USERS\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer not found.

Registry key HKEY_USERS\Uli_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer not found.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\795BDF30D8557FC9556F.exe deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\ deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!

C:\AUTOEXEC.BAT moved successfully.

D:\autologin.reg moved successfully.

========== FILES ==========

C:\WINDOWS\System32\winsh320 moved successfully.

C:\WINDOWS\System32\winsh321 moved successfully.

C:\WINDOWS\System32\winsh322 moved successfully.

C:\WINDOWS\System32\winsh323 moved successfully.

C:\WINDOWS\System32\winsh324 moved successfully.

C:\WINDOWS\System32\winsh325 moved successfully.

========== COMMANDS ==========

C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.

HOSTS file reset successfully

 

OTLPE by OldTimer - Version 3.1.48.0 log created on 05252012_164424

Falls ich dennoch aus Versehen die movedfiles.zip erwischt habe bitte ich um Entschuldigung.
Diese hatte ich eigentlich nur in eurem Upload-Kanal hochladen wollen.

Ciao
trob07

Zitat:

was war denn in der gezippten Datei drin?

Alle Dateien die OTL ebenfalls löscht! Stand außerdem deutlich da, dass dieser Ordner mit den MovedFiles in den Uploadchannel und nicht hier in den Beitrag sollte!

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Malwarebytes Log-Datei folgt hier...

Code:

Malwarebytes Anti-Malware (Test) 1.61.0.1400

www.malwarebytes.org
 

Datenbank Version: v2012.05.25.04
 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 6.0.2900.5512

           [Administrator]
 

Schutz: Aktiviert
 

25.05.2012 16:44:09

mbam-log-2012-05-25 (19-04-00).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 223217

Laufzeit: 2 Stunde(n), 19 Minute(n), 14 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 3

c:\system volume information\_restore{14ec9f6b-ffb2-458d-80b8-83cbc395846e}\rp52\a0011117.exe (Trojan.Ransom) -> Keine Aktion durchgeführt.

c:\documents and settings\uli\local settings\temp\zurtwenqyr.pre (Trojan.Ransom) -> Keine Aktion durchgeführt.

c:\documents and settings\uli\local settings\temp\temporary directory 1 for bestelldetails.zip\bestelldetails.exe (Trojan.Ransom) -> Keine Aktion durchgeführt.
 

(Ende)

Die von MB gefunden Dateien habe ich nach der Log-Erstellung erfolgreich löschen lassen.
ESET-Scan kann erst nächste Woche erfolgen, da wir übers WE wegfahren.

Vielen Dank nochmal.

Ciao
trob07

Ok, dann erstmal schönes WE - melde dich hier einfach wieder wenn du das ESET Log hast