Trojaner "Trojan.Ransomlock.P" in Archiv.zip (Abrechnung Archiv.scr)
 

Hallo,

ich hatte hier schon an anderer Stelle mein Problem mit einer E-Mail inklusive Virus beschrieben.

GMX lies den Trojaner rein und mein System ist jetzt kaputt.
Weiterleiten kann ich die Email nicht mit dem Anhang verschicken.

__________________________________________________

Antwort von GMX in Kurzform.

Liebes GMX Mitglied,

in einer von Ihnen verschickten E-Mail wurde ein Virus gefunden.

Datei: "Abrechnung Archiv.scr"
Virus: "Trojan.Ransomlock.P"

Die E-Mail wurde nicht an den Empfänger weitergeleitet. Verwenden Sie bitte
einen lokalen Virenscanner, um Ihren PC zu überprüfen.

Es folgen Details zu der betroffenen E-Mail:
....
_________________________________________________

Wie bekomme ich mein System wieder Sauber.

Malwarebytes Anti-Malware und Antivir haben schon einiges Bereinigt. Scheinen allerdings aufgrund der bestehenden Probleme nicht alles gefunden zu haben oder systemspezifische Dateien wurden durch den Trojaner beschädigt.

Gibt es eine Möglichkeit außerhalb der, das System neu zu installeren?

MfG

Der Hunne

Was sollen diese Screenshots?
Malwarebytes erstellt Logdateien, die wollen wir sehen!

servus

die habe ich leider nicht mehr :headbang: oder ist das die ??

habe auch OTL.txt und Extras.txt ...hoffe das es jetzt richtig ist ..

lg

habs doch gefunden :headbang:hier
Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.06.02

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
Ati :: ATI-PC [Administrator]

Schutz: Aktiviert

06.06.2012 11:07:43
mbam-log-2012-06-06 (11-07-43).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 200935
Laufzeit: 3 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|A0768011 (Trojan.WinLock) -> Daten: C:\Users\Ati\AppData\Roaming\Kpckw\207D6F75A07680114C05.exe -> Löschen bei Neustart.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\Users\Ati\AppData\Roaming\Kpckw\207D6F75A07680114C05.exe (Trojan.WinLock) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Ati\AppData\Local\Temp\nnrfctydlp.pre (Trojan.WinLock) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Ati\AppData\Local\Temp\qjjqotoddd.pre (Trojan.WinLock) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Ati\AppData\Local\Temp\vaguguuugu.pre (Trojan.WinLock) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

und hier noch die OTL.txt und Extras.txt :
OTL Logfile:
--- --- ---


Extras.txt::OTL Logfile:
--- --- ---



will euch wirklich nicht ärgern ...bin einfach nur ein anfänger :(

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

ok ...werde alles schritte nach einander machen ...denk ca.1.5h dauert der voll scann ...habe nur den Quick gemacht gehabt weil das irgendwo im theard so stand ...hab ja versucht selber schlau zu machen ...leider weis ich nicht ob ich wiklich alles weg hab oder nicht ....also wenn alles fertig ist poste ich es hier ...dank erstmal

lg

p.s. andere log. ja nur ohne befunde ...die sind alle nach der säuberung

moinmoin ,

so hier die logs von eset online scann und Malwarebytes Anti-Malware

Das Log vom Vollscan mit Malwarebytes fehlt leider noch.

uppsss :pfeiff: hier kommt sie ...nur da is eh nix mehr zusehen ....

p.s für entschlüsselung von txt.und pdf.datein sollte ich bestimmt nen neuen thread auf machen oder ?

lg

Nein. Einfach mal hier die Hinweise beachten!

Hinweise bzgl. der verschlüsselten Dateien:
Wann genau deine Daten entschlüsselt werden können wird dir niemand genau sagen können außer vllt einer :glaskugel: es kann sein, dass du eine neuere Variante hast, deren Verschlüsselungsalgorithmus noch unbekannt ist. Sowas kann man (noch) nicht entschlüsseln und ohne Schlüssel schon garnicht - ist ja auch logisch, sonst wär es ja keine vernünftige Verschlüsselung
Einfach hier nochmal reinsehen in regelmäßigen Abständen, obige Hinweise beachten. 8 Tools mitsamt hunderten Diskussionsbeiträgen stehen da schon

Eine Notlösung für Vista und Win7-User => http://www.trojaner-board.de/115496-...erstellen.html

Entschlüsselungsversuche der verschlüsselten Dateien sind nur auf zusätzliche Kopien der verschlüsselten Dateien anzuwenden, sonst zerhackt man sich die noch weiter ohne die "original" verschlüsselte Datei mehr zu haben. Das willst du sicher nicht!

Man darf sich aber keine falschen Hoffnungen machen. Mittlerweile sieht es finster aus => Delphi-PRAXiS - Einzelnen Beitrag anzeigen - Verschlüsselungs-Trojaner, Hilfe benötigt

Und in Zukunft willst du sicher mal an ein besseres Backupkonzept denken. Hier ein Denkanstoß => http://www.trojaner-board.de/115678-...r-backups.html


Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

moinsen ,

Backup :pfeiff: ...werde ich machen ...mit den daten ...mal schauen wie weit ich da komme ...die wichtigsten habe ich gott sei danke aufen anderen rechner noch und auf ner externen..mit dem nach lesen bin ich fleissig denke ich ...nur ich vertiefe mich den in andere themen ...wie kann ich den diese zip datei an euch senden damit ihr selber schauen könnt ...per mail bekomme ich sie nicht raus ...sage schonmal :dankeschoen:

zu1 .in pinzip ja ...bin mir nur nicht sicher ob halt alles wieder ok ist
zu2 .ausser der datein nein bis auf das ein programm wenn ich den lappy starte immer ein fehler meldung zeigt obwohl ich es wieder neu insterliert habe

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

servus,
hier die logfile....bin gespannt was raus kommt ...

lg der hunne


OTL Logfile:
--- --- ---

Du hast den Haken bei alle Benutzer vergesen

hallo cosinus,


hoffe jetzt ist richtig .

lg der hunne




OTL Logfile:
--- --- ---
[/code]

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Bitte schön

Danke? :D

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg

hier ..geht nicht anders ...ist zu lang...erstmal teil 1 rest folgt gleich...

so der letzte....