Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner/ Virus sperrt Windows (https://www.trojaner-board.de/115541-trojaner-virus-sperrt-windows.html)

Threepwoody 21.05.2012 21:39
Trojaner/ Virus sperrt Windows
 
Hallo,
ich hoffe mir kann jemand weiterhelfen. Und zwar hat sich meine Mutter auf ihren Computer diesen Trojaner/ Virus eingefangen der Windows sperrt und Geld verlangt für die Entsperrung. Die Meldung tritt ca. 20 sekunden nach dem Hochfahren auf und nix geht mehr.
Da Sie wichtige Daten auf ihren PC hat und natürlich keine regelmäßigen Sicherheitskopien erstellt hat :heulen:und zudem noch irgendwelche kompliziert zu installierende Druckertreiber drauf sind wäre es toll wenn jemand eine Lösung hat. Ich hab mich ein klein wenig hier durchgelesen und die OTL CD gebrannt und die Textdatei erstellt von dem Infizierten PC.
Die Datei hängt an ( hoffe ich )
mfg
Threepwoody

Chris4You 22.05.2012 06:24
Hi,

der Verschlüsselungstrojaner hat zugeschlagen (z. B. locked-addr_file.html.dqxt), daher wirst Du nach dem
Fix versuchen müssen mit den oben auf der Seite angegeben Tools eine "Entschlüsselung" vornzunehmen....
By-the-way: Wie dort angegeben, bitte die Email wo der Trojaner dranhängt inkl. Anhang an Markus weiterleiten (steht alles dort, siehe dort Post #3)

Fix für OTL:
  • Doppelklick auf die OTL.exe, um das Programm auszuführen.
  • Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
  • Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"
http://oldtimer.geekstogo.com/OTL/OTL_Main_Tutorial.gif
Code:

:OTL
O4 - HKU\Michael_ON_C..\Run: [F4C23F9F] C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Lizrzrzrzrz\EAD06748F4C23F9F0C38.exe ()
O4 - HKLM..\Run: []  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\Michael_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Michael_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\7241EF35F4C23F9FE599.exe) - C:\WINDOWS\system32\7241EF35F4C23F9FE599.exe ()
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\3C5C7514F4C23F9FF184.exe) - C:\WINDOWS\system32\3C5C7514F4C23F9FF184.exe ()
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
O33 - MountPoints2\{84af7e9c-bcdf-11e0-9243-0010b5ae3bca}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
O33 - MountPoints2\{97416338-1f78-11de-9057-0010b5ae3bca}\Shell\AutoRun\command - "" = F:\cdstart.exe
O33 - MountPoints2\{a25ef800-4914-11de-907e-0010b5ae3bca}\Shell\AutoRun\command - "" = F:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\recycle.exe
O33 - MountPoints2\{a25ef800-4914-11de-907e-0010b5ae3bca}\Shell\open\command - "" = F:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\recycle.exe
O33 - MountPoints2\{b1a0258c-2993-11de-905e-0010b5ae3bca}\Shell - "" = AutoRun
O33 - MountPoints2\{b1a0258c-2993-11de-905e-0010b5ae3bca}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b1a0258c-2993-11de-905e-0010b5ae3bca}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
[2012/05/10 04:09:49 | 000,058,368 | -H-- | C] () -- C:\WINDOWS\System32\3C5C7514F4C23F9FF184.exe
[2012/05/03 23:52:20 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh325
[2012/05/03 23:41:54 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh324
[2012/05/03 23:27:28 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh323
[2012/05/03 23:26:12 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh322
[2012/05/03 23:23:16 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh321
[2012/05/03 23:20:38 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh320
[2012/05/10 04:00:33 | 000,058,368 | -H-- | M] () -- C:\WINDOWS\System32\7241EF35F4C23F9FE599.exe

:Commands
[emptytemp]
[Reboot]
  • Den roten Run Fixes! Button anklicken.
  • Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.
  • Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:
  • %systemroot%\_OTL

Der Rechner sollte sich jetzt wieder booten lassen...

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Aktualisierungen" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

Viel Glück,
chris

Threepwoody 22.05.2012 22:20
Hallo,
vielen vielen Dank =) klappt soweit, lasse gerade das Malware Programm drüberlaufen.
Werde dann Morgen die Log Datei posten.

Chris4You 24.05.2012 15:46
Hi,

ACHTUNG:
Die in C:\windows\system32 abgelegte Kopie des Trojaners auf keinen Fall löschen ([b]d.h. das Verzeichnis C:\_OLT\MovedFiles nicht löschen (eher in einer passwortgesicherten Datei sichern, falls ein Scanner sie erkennt und löscht)!
Mit hoher Wahrscheinlichkeit braucht man die Datei zur Entschlüsselung der verschlüsselten Daten...
(Analysen laufen)...

chris


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:32 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131