Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   GVU Ransomware, kein abgesicherter Modus moeglich (https://www.trojaner-board.de/129277-gvu-ransomware-kein-abgesicherter-modus-moeglich.html)

ianus 10.01.2013 11:39
GVU Ransomware, kein abgesicherter Modus moeglich
 
Habe mir die GVU Ransomware auf den Rechner geholt.
Ein Start im abgesicherten Modus ist nicht moeglich.
Betriebssystem - Windows XP SP3

Ich freue mich, wenn Ihr mir helft.

Mit Dank im Voraus

ianus

ryder 10.01.2013 12:56
:hallo:

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Bitte Lesen:
Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:
  • Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast, in einer Antwort.
  • Nur Scanns durchführen zu denen Du aufgefordert wirst.
  • Bitte kein Crossposting (posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags - #-Symbol im Editor anklicken). Nicht anhängen oder zippen, außer ich fordere Dich dazu auf, oder das Logfile wäre zu gross. Erschwert mir nämlich das Auswerten.
  • Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.
  • Beim ersten Anzeichen illegal genutzer Software (Cracks, Patches und Co) wird der Support ohne Diskussion eingestellt.
  • Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.
  • Ich werde dir ganz deutlich mitteilen, dass du "sauber" bist. Bis dahin arbeite bitte gut mit.
  • Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.


Gelesen und verstanden?

Computer mit Combofix entsperren


Warnung: Diese Anleitung ist nur für diesen speziellen Fall gedacht und kann andere Computer evtl. schwer beschädigen. Zudem darf Combofix nur ausgeführt werden, wenn dies von einem erfahrenen Helfer angewiesen wird!

  1. Batch-Datei vorbereiten
    • Drücke Windowstaste + R > notepad (eintippen) > Enter
      Kopiere den folgenden Text vollständig in das Fenster:
      Code:
      @echo off
      copy %0\..\combofix.exe "%userprofile%"\desktop
      "%userprofile%"\desktop\combofix.exe
    • Speichere die Datei als start.bat ab und wähle auch Batch-Datei als Dateiformat.
    • Kopiere die Datei auf deinen USB-Stick (nicht in einen Unterordner!).
  2. Combofix kopieren
    • Lade dir Combofix von einem dieser Downloadlinks: Link
    • Kopiere die Datei auf deinen USB-Stick (nicht in einen Unterordner!)
  3. Start mit Eingabeaufforderung
    • Schliesse den präparierten USB-Stick an den infizierten Rechner an und starte ihn.
    • Drücke beim Start einige Male die F8-Taste bis das Bootmenü von Windows erscheint und wähle Abgesicherter Modus mit Eingabeaufforderung.
    • Nach einigen Sekunden sollte ein schwarzes Fenster mit dem blinkenden Cursor erscheinen.
  4. Laufwerksbuchstaben finden und Combofix starten
    • Tippe z.b. E: und drücke Enter. Wenn der Buchstabe nicht stimmt, dann erhälst du einen Fehler. Probiere den nächsten Buchstaben (F-Z).
    • Wenn du ein Laufwerk gefunden hast, dann tippe dir (Enter). Wenn es das richtige ist wird deine Batchdatei und Combofix gelistet. Wenn nicht probiere einen anderen Laufwerksbuchstaben aus.
    • Wenn du es gefunden hast tippe start.bat (Enter)
    • Combofix sollte jetzt starten.
    • Sollte es versuchen die Wiederherstellungskonsole zu installieren, dann lasse dies zu.
    • Übergehe alle Warnungen mit OK.
  5. Logfile posten
    • Es könnte eine Warnung erscheinen ob du wieder den abgesicherten Modus ausführen willst. Klicke dann JA.
    • Entweder wird ein Editor angezeigt oder das Logfile befindet sich hier: c:\combofix.txt
    • Poste mir dieses Logfile in CODE-Tags (#-Symbol im Forumseditor)
    • Sollte ein Fehler kommen, dass ein Registrierungsschlüssel einem ungültigem Vorgang unterzogen wurde, dann starte den Rechner neu. Das behebt das Problem.

ianus 10.01.2013 15:10
Hallo ryder,

vielen Dank für Deine Antwort.
Leider kriege ich beim Start "Abgesicherter Modus mit Eingabeaufforderung" keine Eingabeaufforderung, sondern trotzdem einen Windows Anmeldebildschirm.
Ich kann Deiner Anleitung daher im Moment leider nicht folgen.

ianus

PS:
Ich arbeite gerne mit USB-Sticks. Da habe ich welche da. CDs müsste ich noch kaufen.

ryder 10.01.2013 15:50
Hast du mal den infizierten Rechner vom Internet getrennt? Kommt da dennoch der Sperrschirm?

ianus 10.01.2013 15:57
Ja.
Habe das Netzwerkkabel abgezogen und es probiert.
Leider Fehlanzeige.
Es kommt trotzdem die Anmeldemaske und keine Eingabeauffoderung.

ryder 10.01.2013 15:59
naja ... was passiert denn nach dem Anmelden?

Anmelden mußt du dich schon, wenn du ein Passwort gesetzt hast.

ianus 10.01.2013 16:00
Habe kein Passwort gesetzt.
Bestätigung mit Enter akzeptiert er nicht.

ryder 10.01.2013 16:03
Na das ist ja sehr mysteriös.

Versuche bitte mal diese Anleitung. Ausprobiert habe ich es noch nicht, scheint aber gut zu sein.

http://www.trojaner-board.de/127830-...kickstart.html

Also Hitman Pro Kickstart Stick an einem 2. Rechner erstellen. Du brauchst 32 bit für XP.

Dann vom Stick booten.

Hitman Pro sollte starten und einen Suchlauf durchführen.

Berichte bitte ob das geklappt hat.

ianus 10.01.2013 16:12
Scheint zu gehen.
Musste mich aber noch anmelden.
Compute wird jetzt durchsucht.

Hallo ryder,

hier mal ein zwischenwergebnis.

2x Trojan
3x Ransomware
9x Babylon (was immer das bedeutet?)

Ergebnisse Scan-cloud werden abgewartet...

Wie geht es weiter, wenn die Scan cloud durch ist?

ryder 10.01.2013 16:21
Wenn es fertig ist erzeugst du bitte ein Logfile und postet es mir hier. Dann schauen wir wie es weiter geht. Du machst bitte nichts eigenmächtig :)

ianus 10.01.2013 16:31
Also auf "log-datei erstellen" und nicht auf "Weiter"?

ryder 10.01.2013 16:32
genau

ianus 10.01.2013 16:37
So. Hier ist das logfile:

Code:
HitmanPro 3.7.0.185
www.hitmanpro.com

  Computer name . . . . : PC16
  Windows . . . . . . . : 5.1.3.2600.X86/4
  User name . . . . . . : Mustermann\f.Mustermann
  License . . . . . . . : Free

  Scan date . . . . . . : 2013-01-10 16:29:51
  Scan mode . . . . . . : Normal
  Scan duration . . . . : 5m 8s
  Disk access mode  . . : Direct disk access (SRB)
  Cloud . . . . . . . . : Internet
  Reboot  . . . . . . . : No

  Threats . . . . . . . : 6
  Traces  . . . . . . . : 18

  Objects scanned . . . : 1.015.893
  Files scanned . . . . : 18.457
  Remnants scanned  . . : 123.415 files / 874.021 keys

Malware _____________________________________________________________________

  C:\Dokumente und Einstellungen\f.Mustermann\wgsdgsdgdsgsd.exe
      Size . . . . . . . : 259.584 bytes
      Age  . . . . . . . : 0.7 days (2013-01-09 23:02:27)
      Entropy  . . . . . : 6.2
      SHA-256  . . . . . : 20DEB84F7AF5C6C69D46AC43E54318F2AEBD15E82EF2DE67EF631545436FE053
      Product  . . . . . : Операционная система Microsoft® Windows®
      Publisher  . . . . : Корпорация Майкрософт
      Description  . . . : Редактор дескрипторов безопасности
      Version  . . . . . : 5.1.2600.2180
      Copyright  . . . . : © Корпорация Майкрософт. Все права защищены.
      Service  . . . . . : winmgmt
    > G Data . . . . . . : Trojan.Generic.KD.825193 (Engine A)
    > Ikarus . . . . . . : Trojan-Dropper.Win32.Injector!IK
      Fuzzy  . . . . . . : 114.0
      Startup
        C:\Dokumente und Einstellungen\f.Mustermann\Startmenü\Programme\Autostart\runctf.lnk
        HKLM\SYSTEM\CurrentControlSet\Services\winmgmt\

  C:\System Volume Information\_restore{1A4C272D-3C75-4F7C-B8C2-0131E7D52153}\RP1208\A0263879.exe
      Size . . . . . . . : 259.584 bytes
      Age  . . . . . . . : 0.0 days (2013-01-10 16:10:54)
      Entropy  . . . . . : 6.2
      SHA-256  . . . . . : 20DEB84F7AF5C6C69D46AC43E54318F2AEBD15E82EF2DE67EF631545436FE053
      Product  . . . . . : Операционная система Microsoft® Windows®
      Publisher  . . . . : Корпорация Майкрософт
      Description  . . . : Редактор дескрипторов безопасности
      Version  . . . . . : 5.1.2600.2180
      Copyright  . . . . : © Корпорация Майкрософт. Все права защищены.
    > G Data . . . . . . : Trojan.Generic.KD.825193 (Engine A)
    > Ikarus . . . . . . : Trojan-Dropper.Win32.Injector!IK
      Fuzzy  . . . . . . : 103.0

  C:\System Volume Information\_restore{1A4C272D-3C75-4F7C-B8C2-0131E7D52153}\RP1209\A0264848.exe
      Size . . . . . . . : 259.584 bytes
      Age  . . . . . . . : -0.0 days (2013-01-10 16:29:54)
      Entropy  . . . . . : 6.2
      SHA-256  . . . . . : 20DEB84F7AF5C6C69D46AC43E54318F2AEBD15E82EF2DE67EF631545436FE053
      Product  . . . . . : Операционная система Microsoft® Windows®
      Publisher  . . . . : Корпорация Майкрософт
      Description  . . . : Редактор дескрипторов безопасности
      Version  . . . . . : 5.1.2600.2180
      Copyright  . . . . : © Корпорация Майкрософт. Все права защищены.
    > G Data . . . . . . : Trojan.Generic.KD.825193 (Engine A)
    > Ikarus . . . . . . : Trojan-Dropper.Win32.Injector!IK
      Fuzzy  . . . . . . : 105.0


Malware remnants ____________________________________________________________

  C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.js (Ransomware)
  C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.pad (Ransomware)
  C:\Dokumente und Einstellungen\f.Mustermann\Startmenü\Programme\Autostart\runctf.lnk (Ransomware)

Potential Unwanted Programs _________________________________________________

  HKLM\SOFTWARE\Classes\AppID\secman.DLL\ (Babylon)
  HKLM\SOFTWARE\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56}\ (Babylon)
  HKLM\SOFTWARE\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}\ (Babylon)
  HKLM\SOFTWARE\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}\ (Babylon)
  HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}\ (Babylon)
  HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8FFE}\ (Babylon)
  HKLM\SOFTWARE\Classes\secman.OutlookSecurityManager.1\ (Babylon)
  HKLM\SOFTWARE\Classes\secman.OutlookSecurityManager\ (Babylon)
  HKLM\SOFTWARE\Classes\TypeLib\{11549FE4-7C5A-4C17-9FC3-56FC5162A994}\ (Babylon)

ryder 10.01.2013 16:57
Sehr schön

Genau as was ich erwartet habe.

Die Funde bitte löschen und dann berichte ob du normal booten kannst.

ianus 10.01.2013 16:58
Also das Programm noch einmal laufen lassen und dann auf "Weiter"?


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:15 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19