Trojaner-Board - Verschlüsselungs-Trojaner vom 12.06.2012

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Verschlüsselungs-Trojaner vom 12.06.2012 (https://www.trojaner-board.de/117288-verschluesselungs-trojaner-12-06-2012-a.html)

Verschlüsselungs-Trojaner vom 12.06.2012

Hallo,
ich habe mir heute so einen Trojaner eingefangen. Blauäugig wie ich war habe ich eine Mail geöffnet und den ZIP-Anhang. Schon waren die ganzen Benutzerdateien mit so komischen Namen wie z.b. aslDNLIQxQqxgOsva versehen und nicht mehr zu öffen. Hier ist mal diese E-Mail und ich hoffe Ihr könnt was da mit anfangen.

Hallo xxxxxx,

Sicher ist es Ihnen entgangen, dass die Zahlungsfrist der nachfolgenden Rechnung abgelaufen ist. Auf unsere Schreiben haben Sie auch nicht reagiert.

Artikel: IBM Ultra WR
Artikelnummer: 2552943514203
Stück: 1
Betrag: 754,86 Euro

Aufgrund zusätzlicher Kosten anlässlich des Ausgleichs von Gebührenforderungen erheben wir Mahngebühren und Einschreibegebühren in der Höhe von 10.- Euro inkl. MwSt.

Wir bitten Sie, den ausstehenden Rechnungsbetrag in den nächsten 7 Tagen zu überweisen. Ansonsten sehen wir uns leider gezwungen, ein Gerichtsverfahren in die Wege zu leiten und ein Inkasso Unternehmen für die weiteren Massnahmen zu beauftragen.

Sollte sich dieses Mahnungsschreiben mit der Bezahlung des ausstehenden Betrags gekreuzt haben, so betrachten Sie dieses Schreiben bitte als gegenstandslos.

Anlagen:
- Rechnung
- Ihre Bestellung

Mit besten Grüßen

hier stand der Name eines Internetshops aus Eisleben
dort rief ich dann an und man sagte mir das die E-Mail nicht von Ihnen sei.

Die E-Mail-Adresse von der die Mail kam kann ich liefern. Ich möchte sie nur hier nicht reinschreiben weil ich nicht weis ob das rechtens ist.
Im Anhang wollte ich noch diesen Trojaner legen aber es war mir dabei nicht wohl. Also wenn Ihr ihn braucht schicke ich Ihn.
Die Programme gegen diese Art von Viren auf Trojaner-Board.de habe ich schon ausprobiert aber ohne Erfolg. Wenn nötig kann ich auch ein par verschlüsselte Dateien mit den passenden Originalkopieen
schicken. Es wäre schön wenn Ihr mir helfen könntet.
Mir fehlen jetzt die Famimilenfotos des letzten und diesen Jahres und etliche anderer mir wichtigen Dateien. Backup habe ich aus Zeitmangel vor über ein Jahr das letzte mal gemacht.

Allgemeine Hinweise bzgl. des Verschlüsselungstrojaners:

Zur Entschlüsselung/Wiederherstellung bitte die fette Hinweisbox oben beachten!

Wann genau deine Daten entschlüsselt werden können wird dir niemand genau sagen können außer vllt einer :glaskugel: es kann sein, dass du eine neuere Variante hast, deren Verschlüsselungsalgorithmus noch unbekannt ist. Sowas kann man (noch) nicht entschlüsseln und ohne Schlüssel schon garnicht - ist ja auch logisch, sonst wär es ja keine vernünftige Verschlüsselung
Einfach hier nochmal reinsehen in regelmäßigen Abständen, obige Hinweise beachten. 8 Tools mitsamt hunderten Diskussionsbeiträgen stehen da schon

Eine Notlösung für Vista und Win7-User => http://www.trojaner-board.de/115496-...erstellen.html

Entschlüsselungsversuche der verschlüsselten Dateien sind nur auf zusätzliche Kopien der verschlüsselten Dateien anzuwenden, sonst zerhackt man sich die noch weiter ohne die "original" verschlüsselte Datei mehr zu haben. Das willst du sicher nicht!

Man darf sich aber keine falschen Hoffnungen machen. Mittlerweile sieht es finster aus => Delphi-PRAXiS - Einzelnen Beitrag anzeigen - Verschlüsselungs-Trojaner, Hilfe benötigt

Und in Zukunft willst du sicher mal an ein besseres Backupkonzept denken. Hier ein Denkanstoß => http://www.trojaner-board.de/115678-...r-backups.html

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Hallo, erst einmal danke für Deine Hilfe.
Da ich kein Computerspezi bin bitte ich um Verständnis wenn ich mich etwas ungeschickt anstelle. Obwohl Windos7 noch ohne Probleme lief habe ich es vorsichtshalber neu aufgesetzt.
Scans habe ich ausgeführt und die Scannprogramme haben auch noch was gefunden. Siehe Anhang.

Malwarebytes

Code:



Malwarebytes Anti-Malware (Test) 1.61.0.1400

www.malwarebytes.org
 

Datenbank Version: v2012.06.15.07
 

Windows 7 x86 NTFS

Internet Explorer 9.0.8112.16421

Dirk :: WOHNZIMMER [Administrator]
 

Schutz: Aktiviert
 

15.06.2012 21:25:52

mbam-log-2012-06-15 (23-10-42).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 506073

Laufzeit: 1 Stunde(n), 43 Minute(n), 7 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 8

C:\Windows.old\Users\Wohnzimmer\Downloads\SoftonicDownloader_fuer_lamexp.exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt.

C:\Windows.old\Users\Wohnzimmer\Downloads\SoftonicDownloader_fuer_winzip.exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt.

C:\Windows.old.000\$Recycle.Bin\S-1-5-21-357089577-1470571505-1637326457-1000\$RF9UX2T.exe (Trojan.FakeAlert) -> Keine Aktion durchgeführt.

C:\Windows.old.000\Program Files\I Want This\I Want This.dll (Adware.GamePlayLabs) -> Keine Aktion durchgeführt.

C:\Windows.old.000\Program Files\I Want This\I Want This.exe (Adware.GamePlayLabs) -> Keine Aktion durchgeführt.

C:\Windows.old.000\Program Files\I Want This\I Want ThisGui.exe (Adware.GamePlayLabs) -> Keine Aktion durchgeführt.

C:\Windows.old.000\Program Files\I Want This\Uninstall.exe (Adware.GamePlayLabs) -> Keine Aktion durchgeführt.

C:\Windows.old.000\Users\Dirk Silke\AppData\Local\Temp\is1293846689\IWantThis_ADL_ROW.exe (Adware.GamePlayLabs) -> Keine Aktion durchgeführt.
 

(Ende)

ESET

Code:



ESETSmartInstaller@High as downloader log:

all ok

ESETSmartInstaller@High as downloader log:

all ok

ESETSmartInstaller@High as downloader log:

all ok

esets_scanner_update returned -1 esets_gle=12

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=bb28423678adca4ba187a7993923685e

# end=finished

# remove_checked=true

# archives_checked=false

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-06-15 10:59:13

# local_time=2012-06-16 12:59:13 (+0100, Mitteleuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=6.0.6000 NT 

# compatibility_mode=1792 16777215 100 0 106141 106141 0 0

# compatibility_mode=5893 16776573 100 94 16436 92235209 0 0

# compatibility_mode=8192 67108863 100 0 5027 5027 0 0

# scanned=399340

# found=11

# cleaned=11

# scan_time=4692

C:\Windows.old\Users\Wohnzimmer\Downloads\SoftonicDownloader_fuer_dr-divx.exe        a variant of Win32/SoftonicDownloader.A application (cleaned by deleting - quarantined)        00000000000000000000000000000000        C

C:\Windows.old\Users\Wohnzimmer\Downloads\SoftonicDownloader_fuer_free-m4a-to-mp3-converter.exe        a variant of Win32/SoftonicDownloader.A application (cleaned by deleting - quarantined)        00000000000000000000000000000000        C

C:\Windows.old\Users\Wohnzimmer\Downloads\SoftonicDownloader_fuer_free-youtube-download.exe        a variant of Win32/SoftonicDownloader.A application (cleaned by deleting - quarantined)        00000000000000000000000000000000        C

C:\Windows.old\Users\Wohnzimmer\Downloads\SoftonicDownloader_fuer_freez-flv-to-mp3-converter.exe        a variant of Win32/SoftonicDownloader.A application (cleaned by deleting - quarantined)        00000000000000000000000000000000        C

C:\Windows.old.000\Documents and Settings\Dirk Silke\AppData\Local\Anwendungsdaten\Temp\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbar4ie.exe        Win32/Toolbar.Babylon application (cleaned by deleting - quarantined)        00000000000000000000000000000000        C

C:\Windows.old.000\Documents and Settings\Dirk Silke\AppData\Local\Anwendungsdaten\Temp\is1293846689\MyBabylonTB.exe        Win32/Toolbar.Babylon application (cleaned by deleting - quarantined)        00000000000000000000000000000000        C

C:\Windows.old.000\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarApp.dll        a variant of Win32/Toolbar.Babylon application (cleaned by deleting - quarantined)        00000000000000000000000000000000        C

C:\Windows.old.000\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarEng.dll        Win32/Toolbar.Babylon application (cleaned by deleting - quarantined)        00000000000000000000000000000000        C

C:\Windows.old.000\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarsrv.exe        probably a variant of Win32/Toolbar.Babylon application (cleaned by deleting - quarantined)        00000000000000000000000000000000        C

C:\Windows.old.000\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll        Win32/Toolbar.Babylon application (cleaned by deleting - quarantined)        00000000000000000000000000000000        C

C:\Windows.old.000\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll        Win32/Toolbar.Babylon application (cleaned by deleting - quarantined)        00000000000000000000000000000000        C

Habe ich das so richtig gemacht? Wenn nicht bitte ich um Nachsicht.

Gruß Dirk

Code:

C:\Windows.old\Users\Wohnzimmer\Downloads\SoftonicDownloader_fuer_lamexp.exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt.

C:\Windows.old\Users\Wohnzimmer\Downloads\SoftonicDownloader_fuer_winzip.exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt.

Finger weg von Softonic!! :pfui:

Softonic ist eine Toolbar- und Adwareschleuder! Finger weg! Software lädt man sich mit oberster Priorität direkt vom Hersteller und nicht von solchen Toolbarklitschen wie Softonic! Im Notfall würde natürlich chip.de gehen

Zitat:

Keine Aktion durchgeführt.
-> No action taken.

Die Funde müssen mit Malwarebytes entfernt waren! Bitte nachholen falls noch nicht getan!