Verschlüsselungstrojaner - Seitdem kein Internetzugang - Was tun?
 

Habe mir gestern per Mailanhang den hier oftmals beschriebenen Verschlüsselungstrojaner eingefangen.

Betriebssystem Windows 7

Über den abgesicherten Modus komme ich noch in den Laptop rein, aber seitdem bekomme ich keine Internetverbindung mehr.

Nun sitze ich an einem anderen Rechner im Haus. Hier habe ich Malwarebytes Anti-Malware runtergeladen und per USB-Stick auf dem befallenen Laptop installiert. Ohne Internetverbindung habe ich aber keine Aktualisierung des Programms vornehmen können.
Den beschriebenen Weg der offline Aktualisierung konnte ich nicht gehen, da ich bisher die Datei rules.ref nicht gefunden habe.

Ohne die Aktualisierung konnte das Programm keine infizierten Dateien finden.

Um nichts falsch zu machen habe ich nun Malwarebytes Anti-Malware auf diesem Rechner installiert und (obowhl auf den ersten Blick nicht befallen) den Quick-Scan rüberlaufen lassen mit folgendem Ergebnis:

Wie sollte ich nun weiter vorgehen?
Wie bekomme ich die Aktualisierung des Programms auf dem zuerst befallenem Laptop hin?
Oder sollte ich zunächst den Trojaner auf dem zweiten Rechner entfernen?

Und soll defogger und OTL jetzt bereits heruntergeladen und ausgeführt werden oder erst später?

Für Hilfe wär ich sehr dankbar

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?



Abgesicherter Modus zur Bereinigung

• Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
• Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:
  
  

Ja, der abgesicherte Modus läuft noch und auch die Internetverbind geht wieder. Da aber ausdrücklich darauf hingewiesen wurde, ein Thema nicht zu pushen, habe ich darauf verzichtet dies gesondert zu schreiben und auf weitere Hilfe gewartet. Stattdessen habe ich angefangen die angegebenen Schritte durchzuführen.
Ich habe mit Malwarebytes einen Vollscan durchgefühert, bzw mehrmals:

Ja, der abgesicherte Modus läuft noch und auch die Internetverbind geht wieder. Da aber ausdrücklich darauf hingewiesen wurde, ein Thema nicht zu pushen, habe ich darauf verzichtet dies gesondert zu schreiben und auf weitere Hilfe gewartet. Stattdessen habe ich angefangen die angegebenen Schritte durchzuführen.
Ich habe mit Malwarebytes einen Vollscan durchgefühert, bzw mehrmals:



2.
3.

Anschließend habe ich defogger runtergeladen und wie beschrieben ausgeführt.

Danach dann OTL und auch hier nach Beschreibung verfahren. Allerdings kam dann die Fehlermeldung:
Win32Error.Code:223
Die Dateigröße überschreitet die maximal zulässige Größe und kann nicht gespeichert werden

Hier musste ich also abbrechen.

Wie soll ich nun weiter vorgehen?

Führ bitte auch ESET aus, danach sehen wir weiter.

Hinweis: ESET zeigt durchaus öfter ein paar Fehlalarme. Deswegen soll auch von ESET immer nur erst das Log gepostet und nichts entfernt werden.

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt so öffnen: per Rechtsklick => als Administrator ausführen
• Dein Anti-Virus-Programm während des Scans deaktivieren.
  
  Button http://img695.imageshack.us/img695/1599/eset1l.jpg (<< klick) drücken.
  • Firefox-User:
    Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User:
    müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Haken bei Yes, i accept the Terms of Use.
• Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives".
• Gehe sicher das bei Remove Found Threats kein Hacken gesetzt ist.
• http://img707.imageshack.us/img707/687/starteg.jpg drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke Finish.
• Browser schließen.

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen Fenster.
Hinweis: Falls du ein 64-Bit-Windows einsetzt, lautet der Pfad so:

Poste nun den Inhalt der log.txt.

Finger weg von Registry-Cleanern!!

Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr startet.

• Wie soll der Cleaner zu 100% wissen ob der Eintrag benötigt wird oder nicht ?
• Es ist vollkommen egal ob ein paar verwaiste Registry Einträge am System sind oder nicht.
• Auch die dauernd angepriesene Beschleunigung des Systems ist nur bedingt wahr. Du würdest es nicht merken.

Ein sogenanntes False Positive von einem Cleaner kann auch dein System unbootbar machen.
Zerstörst Du die Registry, zerstörst Du Windows.


Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Bei dem Registry-Cleaner muss ich zugeben hab ich keine Ahnung. Weder weiß ich davon, das installiert zu haben noch hab ich ne Idee was man damit tut.Es war aber mal jemand am Laptop der (sio behauptete er und dachte ich) AHnung hat, weil irgendwas nicht ging. Ich weiß aber ehrlich gesagt nicht mehr, was das Problem war, geschweige denn was er gemacht hat :-/

Zu deinen Fragen:

1. Der normale Modus geht, der bekannte weiße Bildschirm mit der Geldforderung taucht nicht mehr auf und auch sonst scheint alles zu klappen

2. Das Startmenü sieht soweit normal auf. Und leere Ordner oder so kann ich nicht finden

(Dabei ist mir erst aufgefallen, wie zugemüllt der Laptop ist, sollte ich wohl mal entmüllen demnächst)

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Ich bekomme die Fehlermeldung:
Win32Error.Code:223.
Die Dateigröße überschreitet die maximal zulässige Größe und kann nicht gespeichert werden"

Was hab ich falsch gemacht?

Du hast OTL gerade frisch runtergeladen oder nimmst du eine OTL.exe du schon auf deinem Rechner war?
Du hast es schon im abgesicherten Modus ausprobiert das Log zu erstellen?

Wenn der CustomScan nicht geht, müssen wir einen normalen Scan machen:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Das war die Version , die ich nach dem trojanerbefall runtergeladen hab. Allerdings vor Eset,.
Probiere es jetzt noch mal mit einem erneuten Download und im abgesicherten Modus und melde mich danach wieder.

Ich hab nun beides ausprobiert. Erst eine neu runtergeladene otl-exe im abgesicherten Modus gestartet und den customscan wie beschrieben ausgeführt. Danach den normalen Scan mit minimal Output. . Beide Male bekomme ich genau die oben bereits zitierte Fehlermeldung.

Tja ich hoffe das liegt nicht an dem "tollen" RegistryCleaner den du da installiert hast :balla:

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.