Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Neuer TeslaCrypt typ unter Win 7 (https://www.trojaner-board.de/173981-neuer-teslacrypt-typ-win-7-a.html)

Halcon 12.12.2015 02:56

So was soll ich tuen wenn sich ESET aufhängt?

cosinus 13.12.2015 01:16

Mach doch erstmal MBAM...

Halcon 13.12.2015 01:40

Hab ich schon, der Log ist hier:
Code:

Malwarebytes Anti-Malware
www.malwarebytes.org

Suchlaufdatum: 12.12.2015
Suchlaufzeit: 01:47
Protokolldatei: mbam.txt
Administrator: Ja

Version: 2.2.0.1024
Malware-Datenbank: v2015.09.22.05
Rootkit-Datenbank: v2015.09.18.01
Lizenz: Kostenlose Version
Malware-Schutz: Deaktiviert
Schutz vor bösartigen Websites: Deaktiviert
Selbstschutz: Deaktiviert

Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: FAT32
Benutzer: Der andere

Suchlauftyp: Bedrohungssuchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 587190
Abgelaufene Zeit: 20 Min., 3 Sek.

Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

Prozesse: 0
(keine bösartigen Elemente erkannt)

Module: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswerte: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Dateien: 0
(keine bösartigen Elemente erkannt)

Physische Sektoren: 0
(keine bösartigen Elemente erkannt)


(end)

ESET hängt sich bei 94% für ca. 9 Stunden auf.

cosinus 13.12.2015 02:01

Mach vor ESET bitte eine Datenträgerbereinigung...dann nochmal ESET probieren

Halcon 13.12.2015 04:08

Hier ist schonmal der SecurityCheck Log:
Code:

Results of screen317's Security Check version 1.009 
 Windows 7 Service Pack 1 x64 (UAC is disabled!) 
 Internet Explorer 11 
``````````````Antivirus/Firewall Check:``````````````
Emsisoft Anti-Malware 
 Antivirus up to date! 
`````````Anti-malware/Other Utilities Check:`````````
 Secunia PSI (2.0.0.4003) 
 Java version 32-bit out of Date!
 Adobe Flash Player 19.0.0.245 
 Adobe Reader XI 
 Mozilla Firefox (42.0)
 Google Chrome (46.0.2490.86)
 Google Chrome (47.0.2526.80)
````````Process Check: objlist.exe by Laurent```````` 
 Emsisoft Anti-Malware a2service.exe 
`````````````````System Health check`````````````````
 Total Fragmentation on Drive C: 
````````````````````End of Log``````````````````````


Halcon 13.12.2015 04:53

Und hier der ESET Log als 8MB .txt file.

cosinus 13.12.2015 19:00

8 MB????? :wtf:
Was wurde denn da alles gefunden...ich mach mal ne Ausnahme, weil wir Logs als Anhang icht gerne sehen.

cosinus 13.12.2015 19:07

FRST-Fix

Virenscanner jetzt bitte komplett deaktivieren, damit sichergestellt ist, dass der Fix sauber durchläuft!


Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

C:\Users\Max\AppData\LocalLow\Sun\Java\Deployment\cache
C:\Users\Max\AppData\Roaming\uTorrent\updates\3.3.1_30017.exe
C:\Users\Max\Downloads\Babylon9_setup.exe
C:\Users\Max\Downloads\freeripmp3-setup(1).exe
C:\Users\Max\Downloads\nslauncher.exe
C:\Users\Max\Downloads\registrybooster.exe
EmptyTemp:


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
  • Starte nun FRST erneut und klicke den Entfernen Button.
  • Das Tool erstellt eine Fixlog.txt.
  • Poste mir deren Inhalt.


Halcon 13.12.2015 19:25

Hier ist der Log:
Code:

Entferungsergebnis von Farbar Recovery Scan Tool (x64) Version:12-12-2015 01
durchgeführt von Der andere (2015-12-13 19:21:30) Run:3
Gestartet von F:\Malewarekram
Geladene Profile: Der andere (Verfügbare Profile: Max & Der andere)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
C:\Users\Max\AppData\LocalLow\Sun\Java\Deployment\cache
C:\Users\Max\AppData\Roaming\uTorrent\updates\3.3.1_30017.exe
C:\Users\Max\Downloads\Babylon9_setup.exe
C:\Users\Max\Downloads\freeripmp3-setup(1).exe
C:\Users\Max\Downloads\nslauncher.exe
C:\Users\Max\Downloads\registrybooster.exe
EmptyTemp:
*****************

C:\Users\Max\AppData\LocalLow\Sun\Java\Deployment\cache => erfolgreich verschoben
C:\Users\Max\AppData\Roaming\uTorrent\updates\3.3.1_30017.exe => erfolgreich verschoben
C:\Users\Max\Downloads\Babylon9_setup.exe => erfolgreich verschoben
C:\Users\Max\Downloads\freeripmp3-setup(1).exe => erfolgreich verschoben
C:\Users\Max\Downloads\nslauncher.exe => erfolgreich verschoben
C:\Users\Max\Downloads\registrybooster.exe => erfolgreich verschoben
EmptyTemp: => 745 KB temporäre Dateien entfernt.


Das System musste neu gestartet werden.

==== Ende von Fixlog 19:21:37 ====


cosinus 13.12.2015 19:59

Die anderen Funde waren nur die Hinweise der Verschlüsselungstrojaners.

Sieht soweit ok aus :daumenhoc


Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Halcon 13.12.2015 20:02

Nuja die Nachrichten kommen immer noch.

cosinus 13.12.2015 20:09

Geht das auch genauer? Was für Nachrichten kommen wann und wo?

Halcon 13.12.2015 20:12

Wenn ich mich einlogge kommen Benachrichtigungen in als .txt und .html, dass ich das Geld überwisen soll. Ungefähr so:
Code:

111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111 

NOT YOUR LANGUAGE? USE https://translate.google.com

What happened to your files ?
All of your files were protected by a strong encryption with RSA-4096.
More information about the encryption keys using RSA-4096 can be found here: hxxp://en.wikipedia.org/wiki/RSA_(cryptosystem)

What does this mean ?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them,
it is the same thing as losing them forever, but with our help, you can restore them.

111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111
How did this happen ?
---Specially for your PC was generated personal RSA-4096 KEY, both public and private.
---ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.

What do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BTC NOW, and restore your data easy way.
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
...

mit 5 Links zum anwählen.

cosinus 13.12.2015 20:19

Das sind nur Startup Einträge...

FRST-Fix

Virenscanner jetzt bitte komplett deaktivieren, damit sichergestellt ist, dass der Fix sauber durchläuft!


Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code:

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.html [2015-12-09] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.txt [2015-12-09] ()
Startup: C:\Users\Der andere\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.html [2015-12-09] ()
Startup: C:\Users\Der andere\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.txt [2015-12-09] ()
Startup: C:\Users\Georg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.html [2015-12-09] ()
Startup: C:\Users\Georg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.txt [2015-12-09] ()
Startup: C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.html [2015-12-09] ()
Startup: C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.txt [2015-12-09] ()
EmptyTemp:


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
  • Starte nun FRST erneut und klicke den Entfernen Button.
  • Das Tool erstellt eine Fixlog.txt.
  • Poste mir deren Inhalt.


Halcon 13.12.2015 20:58

Alles in Ordnung, hier noch der Log:
Code:

Entferungsergebnis von Farbar Recovery Scan Tool (x64) Version:12-12-2015 01
durchgeführt von Der andere (2015-12-13 20:38:04) Run:4
Gestartet von F:\Malewarekram
Geladene Profile: Der andere (Verfügbare Profile: Max & Der andere)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.html [2015-12-09] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.txt [2015-12-09] ()
Startup: C:\Users\Der andere\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.html [2015-12-09] ()
Startup: C:\Users\Der andere\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.txt [2015-12-09] ()
Startup: C:\Users\Georg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.html [2015-12-09] ()
Startup: C:\Users\Georg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.txt [2015-12-09] ()
Startup: C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.html [2015-12-09] ()
Startup: C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.txt [2015-12-09] ()
EmptyTemp:
       
*****************

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.html => erfolgreich verschoben
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.txt => erfolgreich verschoben
C:\Users\Der andere\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.html => erfolgreich verschoben
C:\Users\Der andere\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.txt => erfolgreich verschoben
C:\Users\Georg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.html => erfolgreich verschoben
C:\Users\Georg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.txt => erfolgreich verschoben
C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.html => erfolgreich verschoben
C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tsq.txt => erfolgreich verschoben
EmptyTemp: => -10733816 byte temporäre Dateien entfernt.


Das System musste neu gestartet werden.

==== Ende von Fixlog 20:38:08 ====

Vielen dank für die Hilfe:dankeschoen:


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:42 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131