|
Verschlüsselungstrojaner - Seitdem kein Internetzugang - Was tun? Habe mir gestern per Mailanhang den hier oftmals beschriebenen Verschlüsselungstrojaner eingefangen. Betriebssystem Windows 7 Über den abgesicherten Modus komme ich noch in den Laptop rein, aber seitdem bekomme ich keine Internetverbindung mehr. Nun sitze ich an einem anderen Rechner im Haus. Hier habe ich Malwarebytes Anti-Malware runtergeladen und per USB-Stick auf dem befallenen Laptop installiert. Ohne Internetverbindung habe ich aber keine Aktualisierung des Programms vornehmen können. Den beschriebenen Weg der offline Aktualisierung konnte ich nicht gehen, da ich bisher die Datei rules.ref nicht gefunden habe. Ohne die Aktualisierung konnte das Programm keine infizierten Dateien finden. Um nichts falsch zu machen habe ich nun Malwarebytes Anti-Malware auf diesem Rechner installiert und (obowhl auf den ersten Blick nicht befallen) den Quick-Scan rüberlaufen lassen mit folgendem Ergebnis: Code: Malwarebytes Anti-Malware (Test) 1.61.0.1400Wie bekomme ich die Aktualisierung des Programms auf dem zuerst befallenem Laptop hin? Oder sollte ich zunächst den Trojaner auf dem zweiten Rechner entfernen? Und soll defogger und OTL jetzt bereits heruntergeladen und ausgeführt werden oder erst später? Für Hilfe wär ich sehr dankbar |
Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung? Abgesicherter Modus zur Bereinigung
|
Ja, der abgesicherte Modus läuft noch und auch die Internetverbind geht wieder. Da aber ausdrücklich darauf hingewiesen wurde, ein Thema nicht zu pushen, habe ich darauf verzichtet dies gesondert zu schreiben und auf weitere Hilfe gewartet. Stattdessen habe ich angefangen die angegebenen Schritte durchzuführen. Ich habe mit Malwarebytes einen Vollscan durchgefühert, bzw mehrmals: Ja, der abgesicherte Modus läuft noch und auch die Internetverbind geht wieder. Da aber ausdrücklich darauf hingewiesen wurde, ein Thema nicht zu pushen, habe ich darauf verzichtet dies gesondert zu schreiben und auf weitere Hilfe gewartet. Stattdessen habe ich angefangen die angegebenen Schritte durchzuführen. Ich habe mit Malwarebytes einen Vollscan durchgefühert, bzw mehrmals: Code: Malwarebytes Anti-Malware 1.61.0.1400Code: Malwarebytes Anti-Malware (Test) 1.61.0.1400Code: Malwarebytes Anti-Malware (Test) 1.61.0.1400Danach dann OTL und auch hier nach Beschreibung verfahren. Allerdings kam dann die Fehlermeldung: Win32Error.Code:223 Die Dateigröße überschreitet die maximal zulässige Größe und kann nicht gespeichert werden Hier musste ich also abbrechen. Wie soll ich nun weiter vorgehen? |
Führ bitte auch ESET aus, danach sehen wir weiter. Hinweis: ESET zeigt durchaus öfter ein paar Fehlalarme. Deswegen soll auch von ESET immer nur erst das Log gepostet und nichts entfernt werden. ESET Online Scanner Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
Code: "%PROGRAMFILES%\Eset\Eset Online Scanner\log.txt"Code: "%PROGRAMFILES(X86)%\Eset\Eset Online Scanner\log.txt" |
Code: ESETSmartInstaller@High as downloader log: |
Code: C:\ProgramData\ReviverSoft\Registry ReviverDie Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich. Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr startet.
Ein sogenanntes False Positive von einem Cleaner kann auch dein System unbootbar machen. Zerstörst Du die Registry, zerstörst Du Windows. Hätte da mal zwei Fragen bevor es weiter geht 1.) Geht der normale Modus von Windows (wieder) uneingeschränkt? 2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden? |
Bei dem Registry-Cleaner muss ich zugeben hab ich keine Ahnung. Weder weiß ich davon, das installiert zu haben noch hab ich ne Idee was man damit tut.Es war aber mal jemand am Laptop der (sio behauptete er und dachte ich) AHnung hat, weil irgendwas nicht ging. Ich weiß aber ehrlich gesagt nicht mehr, was das Problem war, geschweige denn was er gemacht hat :-/ Zu deinen Fragen: 1. Der normale Modus geht, der bekannte weiße Bildschirm mit der Geldforderung taucht nicht mehr auf und auch sonst scheint alles zu klappen 2. Das Startmenü sieht soweit normal auf. Und leere Ordner oder so kann ich nicht finden (Dabei ist mir erst aufgefallen, wie zugemüllt der Laptop ist, sollte ich wohl mal entmüllen demnächst) |
Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das LogFalls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code: netsvcs
|
Ich bekomme die Fehlermeldung: Win32Error.Code:223. Die Dateigröße überschreitet die maximal zulässige Größe und kann nicht gespeichert werden" Was hab ich falsch gemacht? |
Du hast OTL gerade frisch runtergeladen oder nimmst du eine OTL.exe du schon auf deinem Rechner war? Du hast es schon im abgesicherten Modus ausprobiert das Log zu erstellen? Wenn der CustomScan nicht geht, müssen wir einen normalen Scan machen: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
|
Das war die Version , die ich nach dem trojanerbefall runtergeladen hab. Allerdings vor Eset,. Probiere es jetzt noch mal mit einem erneuten Download und im abgesicherten Modus und melde mich danach wieder. Ich hab nun beides ausprobiert. Erst eine neu runtergeladene otl-exe im abgesicherten Modus gestartet und den customscan wie beschrieben ausgeführt. Danach den normalen Scan mit minimal Output. . Beide Male bekomme ich genau die oben bereits zitierte Fehlermeldung. |
Tja ich hoffe das liegt nicht an dem "tollen" RegistryCleaner den du da installiert hast :balla: Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm! Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet, Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs. Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten! http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg |
Code: 22:59:19.0021 2780 TDSS rootkit removing tool 2.7.40.0 Jun 15 2012 15:13:31 |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie Zitat:
|
Code: ComboFix 12-06-19.01 - Linda 19.06.2012 16:48:55.1.2 - x86 |
Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM! Downloade dir bitte  aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none). Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes: Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button. |
GMER Log Code: GMER 1.0.15.15641 - hxxp://www.gmer.netCode: Report of OSAM: Autorun Manager v5.0.11926.0Code: aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software |
Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Code: Malwarebytes Anti-Malware (Test) 1.61.0.1400 |
Liste der Anhänge anzeigen (Anzahl: 1) Aber was ist das??? |
Unvollständige/Abgeschnittene Programmpfade helfen da nicht weiter. Ich tippe auf einen Fehlalarm oder Überrest, also etwas weniger hysterie bitte! :kaffee: |
Entfernen drücken oder nicht ? der letzte vollstand läuft noch Code: SUPERAntiSpyware Scan Log |
Zitat:
Sieht ok aus, da wurden nur Cookies gefunden. Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie ) Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat. Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/ Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird. Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da. Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme? |
Ne,also das System scheint so jezt wieder zu funktieren. Vielen Vielen Danke für die Hilfe. Alleine hätt ich sicher alles nur noch schlimmer gemacht. Die Programme, die du eben erwähnt hast werde ich mir definitiv anschauen. Ein paar kurze Fragen hätte ich allerdings noch. Mit den "verschlüsselten" Datein, kann ich da nun so vorgehen, wie hier hier beschrieben? Oder wie wäre da der nächste SChritt. Ansonsten kann ich meinen Laptop jetzt wieder nutzen, wie vor dem Trojaner? Außer dass ich eben noch den Datensalat aufräumen muss? Und für die Zukunft, bisher hatte ich immer Avira Antivir. Sollte ich das auch so beibehalten oder gibt es sinnvollere Alternativen? Edit: was ist mit online-Banking? Auch wieder so gefahrlos oder gefährlich durchführbar, wie vor dem Trojaner-Befall? |
Also ich weiß nicht wie oft ich das schon gepostet hab, das steht hier auch schon zuhauf in vielen Diskussionen - es ist eigentlich immer wieder das gleiche Fazit => Es gibt nicht den besten Virenscanner! Die Frage - welcher Virenscanner oder ob der installierte reicht - taucht ständig auf. Der Virenscanner - egal welcher - kann und wird niemals 100% Schutz bieten können. Neue/unbekannte Schädlinge können immer durch die Lappen gehen. Geld ausgeben muss man nicht für einen Scanner, sowas wie Avast oder Microsoft Security Essentials sind für die privaten Gebrauch völlig ausreichend. Abgesehen davon nutzen verschiedene Virenscanner unterschiedliche Signaturen und Techniken, das führt dazu, dass zB Scanner1 Schädling X entdeckt, aber Schädling Y übersieht. Scanner2 erkennt Schädling Y, dafür aber Schädling X nicht... Wichtiger ist, dass du dich an Regeln hälst. Der beste Virenscanner bringt nichts, wenn du dich falsch verhälst und fahrlässig/unvorsichtig bist. Airbag und Sicherheitsgurt im Auto sind ja auch keine Gründe dafür auf die Verkehrsregeln zu pfeifen. Halte Dich am besten grob an diese Regeln:
Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar? Wegen der Verschlüsselung: Obige Hinweise beachten Da sind mittlerweile 8 Tools, musst du ausprobieren Man darf sich aber keine falschen Hoffnungen machen. Mittlerweile sieht es finster aus => Delphi-PRAXiS - Einzelnen Beitrag anzeigen - Verschlüsselungs-Trojaner, Hilfe benötigt Für die Zukunft unbedingt mal das Backup-Konzept überdenken! Denkanstoß hier => http://www.trojaner-board.de/115678-...r-backups.html Abgesehen davon wären wir aber durch Entfern bitte noch nichts aus der Quarantäne, die schädlichen Dateien, Ordner etc die wir gelöscht haben, liegen noch als Sicherheitskopie in diversen Ordner wie Qoobox oder _OTL/MovedFiles - die werden evtl. noch für eine Entschlüsselung benötigt Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken. Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast) Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers: Adobe - Andere Version des Adobe Flash Player installieren Notfalls kann man auch von Chip.de runterladen => http://filepony.de/?q=Flash+Player Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind. Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:01 Uhr. |
Copyright ©2000-2025, Trojaner-Board
