Trojaner-Board - Windows-Verschlüsselungs-Trojaner; Auswertung der OTL.Txt

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Windows-Verschlüsselungs-Trojaner; Auswertung der OTL.Txt (https://www.trojaner-board.de/114236-windows-verschluesselungs-trojaner-auswertung-otl-txt.html)

Windows-Verschlüsselungs-Trojaner; Auswertung der OTL.Txt

Hallo liebes Trojaner-Board,

gestern hat sich meine Mutter den bekannten Verschlüsselungs-Trojaner eingefangen. Die Ursache war eine der üblichen Zahlungsaufforderungs-Emails, die meine liebe Mutter natürlich geöffnet hat :headbang:.

Ich habe nun schon ein wenig recherchiert, unter anderem hier im Forum, und habe auf dem verseuchten System über den Reatogo-X-Pe Desktop mithilfe von OTLPE einen Scan durchgeführt. Die dabei entstandene OTL.Txt werde ich als Anhang in einer zip-Datei beifügen.

Meine Frage besteht jetzt darin, wie diese OTL.Txt auszuwerten ist und was als nächstes getan werden muss, um das infizierte System wieder zu reinigen.

Ich bedanke mich schon mal im Voraus für Eure Hilfe! :dankeschoen:

EDIT: Ich habe jetzt auch noch die Extras.txt angehängt.

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?

Abgesicherter Modus zur Bereinigung

Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:

Hallo Arne,

das funktioniert leider nicht. Wenn ich den abgesicherten Modus auswähle, sieht man kurz, wie ein paar Dateien geladen werden, danach kommt am unteren Bildschirmlrand die Meldung "Press Enter To Continue Loading SPTD.sys". Egal ob ich dann Enter drücke oder nicht, es läuft immer darauf hinaus, dass er das Booten abbricht und neustarten will. Genau dasselbe passiert auch beim Abgesicherten Modus mit Netzwerktreibern und mit Eingabeaufforderung.
Ach ja, das Betriebssystem ist übrigens Windows XP Home Premium, falls das in irgendeiner Weise wichtig sein sollte.

Wie sieht es denn aus mit der OTL.txt und der Extras.txt? Lässt sich daraus nicht vielleicht etwas ablesen? Danke für eure Unterstützung!

Ich wollte erst den Weg über den Safemode gehen weil der einfacher ist wenn er denn funktionieren würde!

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

O4 - HKLM..\Run: []  File not found

O4 - HKLM..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe (Microsoft Corporation)

O4 - HKU\Gabi_ON_C..\Run: [AOLMIcon]  File not found

O4 - HKU\Gabi_ON_C..\Run: [F8459504] C:\WINDOWS\system32\20D0419BF8459504C155.exe (Tastiera penna)

O4 - HKU\Norbert_ON_C..\Run: [F8459504] C:\Dokumente und Einstellungen\Norbert\Anwendungsdaten\Dyvhowzd\1D932A79F8459504352E.exe (Tastiera penna)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1

O7 - HKU\Norbert_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1

O7 - HKU\Norbert_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1

O9 - Extra Button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -  File not found

O9 - Extra 'Tools' menuitem : ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -  File not found

O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\20D0419BF8459504C155.exe) - C:\WINDOWS\system32\20D0419BF8459504C155.exe (Tastiera penna)

O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found

O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found

O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found

O28 - HKLM ShellExecuteHooks: {E60A0B68-2F3C-A1D2-A901-9381E136D21A} - Reg Error: Key error. File not found

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2005/10/09 08:46:45 | 000,000,050 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

[2012/04/24 03:41:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Gabi\Lokale Einstellungen\Anwendungsdaten\AskToolbar

[2012/04/23 21:51:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Norbert\Anwendungsdaten\Dyvhowzd

[2012/04/23 21:50:33 | 000,061,440 | -H-- | C] (Tastiera penna) -- C:\WINDOWS\System32\20D0419BF8459504C155.exe

:Files

C:\WINDOWS\System32\20D0419BF8459504C155.exe

C:\WINDOWS\System32\winsh32?

C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job

C:\Dokumente und Einstellungen\Norbert\Anwendungsdaten\Dyvhowzd

C:\Dokumente und Einstellungen\Norbert\Anwendungsdaten\Gutscheinmieze

C:\Dokumente und Einstellungen\Norbert\Anwendungsdaten\ICQ Toolbar

:Commands

[purity]

[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Vielen, vielen Dank für die superschnelle und kompetente Hilfe - der PC startet nun wieder ordnungsgemäß. Im Anhang ist das Logfile und ich sage Bescheid, sobald ich den movedfiles-Ordner hochgeladen habe.

Meine letzte Frage: ist der Trojaner nun vollständig beseitigt oder sind immer noch Reste von ihm auf der Festplatte vorhanden, die evtl. eine Neuaufsetzung des Systems erforderlich machen? Danke!

:dankeschoen::dankeschoen::dankeschoen:

Okay, ich habe den movedfiles-Ordner hochgeladen. Ich bin mir aber nicht sicher, ob ich alle Virenscanner deaktiviert habe, da ich durch die komplexen Virenschutzstrategien meiner Eltern nicht wirklich durchblicke ;)

Danke nochmal für die großartige Hilfe!

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log