Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Vermutliche Verschlüsselungs-Trojaner auf Verschlüsselden Festplatte.

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 30.05.2012, 13:48   #1
Adesso
 
Vermutliche Verschlüsselungs-Trojaner auf Verschlüsselden Festplatte. - Icon21

Vermutliche Verschlüsselungs-Trojaner auf Verschlüsselden Festplatte.



Erst mal sorry wegen meine mangelhaftes Deutsch, ich kann English perfekt, aber versuche es mal auf Deutsch.

Wie viele Leute hier habe ich auch gestern eine Laptop bekommen, die genau diese Weiße Bildschirm mit Verbindungsversuch anzeigen. Hab sofort erst meine CT CD eingelegt und versucht es zu entfernen. Es ging, aber beim neustart war ich wieder Infiziert. Im Linux Umgebung muss ich allerdings immer die Festplatte mit Truecrypt einbinden. Die Festplatte hat allerdings 3 Partitionen, und ich kann nur 2 davon sehen, meine erste Problem.

1 Partition = Asus boot Partition mit fastboot software
2 Partition = C: mit Windows und Programme
3 Partition = D: mit Daten und auch Benutzer Ordner von Windows

Also im Linux Umgebung könnte ich leider die Virus nicht erwischen, egal mit Avira, BitDefender oder ClamAV. Ich habe es mehrmals gefunden und gelöscht, aber immer nach eine neustart ist es wieder erscheint.

Heute morgen geht den abgesicherte Version noch mit Netzwerk und habe ich Malwarebytes laufen lassen(keine fund), CClean und endlich auch Avira entfernt und eine registry clean von Avira selbst laufen lassen. Nach eine neustart gerade eben ist meine abgesicherte Windows nun auch mit den herrliche Weiße Bildschirm bestückt.

Jetzt bin ich am ende, Der OTLPE CD boot auch nicht

(Fehler meldung: A problem has been detecte and Windows has been shut down to prevent damage to your computer)

Ich habe auch probiert mit den BIOS umstellung auf IDE nach es auf AHCPI war.. trotzdem nicht.

Ich bin jetzt am ende... kann jemand mich mit diesem Horror helfen?
Win 7 Pro 64bit

Alt 31.05.2012, 09:08   #2
Psychotic
/// Malwareteam
 
Vermutliche Verschlüsselungs-Trojaner auf Verschlüsselden Festplatte. - Standard

Vermutliche Verschlüsselungs-Trojaner auf Verschlüsselden Festplatte.



Good morning Adesso,

stay in english, it´s okay!

Which operating system is installed? Tell me if its the 32- or the 64bit version, too!
__________________

__________________

Alt 31.05.2012, 09:17   #3
Adesso
 
Vermutliche Verschlüsselungs-Trojaner auf Verschlüsselden Festplatte. - Standard

Vermutliche Verschlüsselungs-Trojaner auf Verschlüsselden Festplatte.



Zitat:
Zitat von Adesso Beitrag anzeigen
Win 7 Pro 64bit
I think you missed that at the end
__________________

Alt 31.05.2012, 09:21   #4
Psychotic
/// Malwareteam
 
Vermutliche Verschlüsselungs-Trojaner auf Verschlüsselden Festplatte. - Standard

Vermutliche Verschlüsselungs-Trojaner auf Verschlüsselden Festplatte.



You´re right, I missed it!

You have to decrypt your hard disk to allow some tools to scan it offline.
Use the TrueCrypt Rescue CD you created during the installation of TrueCrypt.

Some of our tools won´t run from out of linux and there is no possibility to embed the truecrypt functionality!
__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Geändert von Psychotic (31.05.2012 um 09:30 Uhr)

Alt 01.06.2012, 13:00   #5
Adesso
 
Vermutliche Verschlüsselungs-Trojaner auf Verschlüsselden Festplatte. - Standard

Vermutliche Verschlüsselungs-Trojaner auf Verschlüsselden Festplatte.



So after spending the whole day yesterday decrypting the Hard Drive I finally have the logfile you need. I have two users on the PC so I used xxx and *** to hide the usernames, plus I also had username_ON_D for each, there I used XXXX and ****, so I can convert it back again right. I hope this is OK

I need to run a Malwarebytes scan, I recon I will use the Ubuntu virus recue CD again from the CT Magazine(09/2012) to do this, and save the infected files I find.


Alt 03.06.2012, 22:42   #6
Psychotic
/// Malwareteam
 
Vermutliche Verschlüsselungs-Trojaner auf Verschlüsselden Festplatte. - Standard

Vermutliche Verschlüsselungs-Trojaner auf Verschlüsselden Festplatte.




Scan with aswMBR


Please download aswMBR.exe to your desktop.
  • Double-click the aswMBR.exe to run it
  • When prompted with The application can use the Avast! Free Antivirus for scanning >> select No
  • Now click on the Scan button to start scan
  • On completion of the scan click Save Log, save it to your desktop and post the contents in your next reply
Note: There will also be a file on your desktop named MBR.dat(or similir) do not delete this for now it is a actual backup of the MBR(master boot record).



Please read and follow these instructions carefully. We do not want it to fix anything yet (if found), we need to see a report first.

Download TDSSKiller.exe and save it to your desktop
  • Execute TDSSKiller.exe by doubleclicking on it.
  • Klick Change parameters, check Detect TDLFS file system, click OK.
  • Press Start Scan
  • If Malicious objects are found, do NOT select Cure. Change the action to Skip, and save the log.
  • Once complete, a log will be produced at the root drive which is typically C:\ ,for example, C:\TDSSKiller.<version_date_time>log.txt

Please post the contents of that log in your next reply.
__________________
--> Vermutliche Verschlüsselungs-Trojaner auf Verschlüsselden Festplatte.

Alt 04.06.2012, 07:13   #7
Adesso
 
Vermutliche Verschlüsselungs-Trojaner auf Verschlüsselden Festplatte. - Standard

Vermutliche Verschlüsselungs-Trojaner auf Verschlüsselden Festplatte.



OK, I got both files on a stick, and tried scanning the files while booting with the OTLPE cd, this did not work well, as it keeps scanning Drive X and not C

TDSSKiller didn't even create the log, as I think Drive X: is full (Virtual drive)

When I boot into Safe Mode the virus is active again with the white screen, so I can really do anything in Windows on the C:

I am assuming that the virus is the file \AppData\Roaming\ArchiverforWin.exe

Should I maybe move/zip this file so the virus does not start again, and then try booting in Windows on C: ?

Zitat:
Zitat von Adesso Beitrag anzeigen
I need to run a Malwarebytes scan, I recon I will use the Ubuntu virus recue CD again from the CT Magazine(09/2012) to do this, and save the infected files I find.
Malwarebytes does not work in Ubuntu, and booting with OTLPE also does not run the Program right... I even tried to install it again in the PE Windows.. also does not work.

The big problem is really that I can't boot Windows normally, so I can't scan anything until I fix this

Alt 04.06.2012, 07:24   #8
Psychotic
/// Malwareteam
 
Vermutliche Verschlüsselungs-Trojaner auf Verschlüsselden Festplatte. - Standard

Vermutliche Verschlüsselungs-Trojaner auf Verschlüsselden Festplatte.



No!

Do the following:



Scan with FRST


To run FRST on Vista and Windows7:
Plug the flashdrive into the infected PC.

Enter System Recovery Options.


To enter System Recovery Options from the Advanced Boot Options:
  • Restart the computer.
  • As soon as the BIOS is loaded begin tapping the F8 key until Advanced Boot Options appears.
  • Use the arrow keys to select the Repair your computer menu item.
  • Choose your language settings, and then click Next.
  • Select the operating system you want to repair, and then click Next.
  • Select your user account an click Next.


To enter System Recovery Options by using Windows installation disc:
  • Insert the installation disc.
  • Restart your computer.
  • If prompted, press any key to start Windows from the installation disc. If your computer is not configured to start from a CD or DVD, check your BIOS settings.
  • Click Repair your computer.
  • Choose your language settings, and then click Next.
  • Select the operating system you want to repair, and then click Next.
  • Select your user account and click Next.

On the System Recovery Options menu you will get the following options:
  • Startup Repair
  • System Restore
  • Windows Complete PC Restore
  • Windows Memory Diagnostic Tool
  • Command Prompt
  • Select Command Prompt
  • In the command window:
  • type in notepad and press Enter.
  • The notepad opens. Under File menu select Open.
  • Select "Computer" and find your flash drive letter and close the notepad.
  • In the command window type e:\frst.exe (for x64 bit version type e:\frst64) and press Enter
  • Note: Replace letter e with the drive letter of your flash drive.
  • The tool will start to run.
  • When the tool opens click Yes to disclaimer.
  • Press Scan button.
It will make a log (FRST.txt) on the flash drive. Please copy and paste it to your reply.
__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Alt 04.06.2012, 07:39   #9
Adesso
 
Vermutliche Verschlüsselungs-Trojaner auf Verschlüsselden Festplatte. - Standard

Vermutliche Verschlüsselungs-Trojaner auf Verschlüsselden Festplatte.



As requested, the Log file from FRST

Alt 04.06.2012, 07:56   #10
Psychotic
/// Malwareteam
 
Vermutliche Verschlüsselungs-Trojaner auf Verschlüsselden Festplatte. - Standard

Vermutliche Verschlüsselungs-Trojaner auf Verschlüsselden Festplatte.



Fix with FRST
  • Open notepad (Start =>All Programs => Accessories => Notepad).
  • Please copy the entire contents of the code box below.
    (To do this highlight the contents of the box, right click on it and select copy. Right-click in the open notepad and select Paste). Save it on the flashdrive as fixlist.txt

    Code:
    ATTFilter
    HKLM-x32\...\Run: [B64Fu7wxCKTba7x] D:\Users\Volker\AppData\Roaming\ArchiverforWin.exe
    HKLM-x32\...\Winlogon: [Userinit] D:\Users\Volker\AppData\Roaming\ArchiverforWin.exe
    HKLM-x32\...\Winlogon: [Shell] D:\Users\Volker\AppData\Roaming\ArchiverforWin.exe
    D:\Users\Volker\AppData\Roaming\ArchiverforWin.exe
             

    NOTICE: This script was written specifically for this user, for use on that particular machine. Running this on another machine may cause damage to your operating system

    Now please enter System Recovery Options again.

  • Run frst.exe (on 64bit, run frst64.exe) and press the Fix button just once and wait.
  • The tool will make a log on the flashdrive (Fixlog.txt) please post it to your reply.


Start the computer in normal mode.




Scan with aswMBR


Please download aswMBR.exe to your desktop.
  • Double-click the aswMBR.exe to run it
  • When prompted with The application can use the Avast! Free Antivirus for scanning >> select No
  • Now click on the Scan button to start scan
  • On completion of the scan click Save Log, save it to your desktop and post the contents in your next reply
Note: There will also be a file on your desktop named MBR.dat(or similir) do not delete this for now it is a actual backup of the MBR(master boot record).



Please read and follow these instructions carefully. We do not want it to fix anything yet (if found), we need to see a report first.

Download TDSSKiller.exe and save it to your desktop
  • Execute TDSSKiller.exe by doubleclicking on it.
  • Klick Change parameters, check Detect TDLFS file system, click OK.
  • Press Start Scan
  • If Malicious objects are found, do NOT select Cure. Change the action to Skip, and save the log.
  • Once complete, a log will be produced at the root drive which is typically C:\ ,for example, C:\TDSSKiller.<version_date_time>log.txt

Please post the contents of that log in your next reply.
__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Alt 04.06.2012, 09:36   #11
Adesso
 
Vermutliche Verschlüsselungs-Trojaner auf Verschlüsselden Festplatte. - Standard

Vermutliche Verschlüsselungs-Trojaner auf Verschlüsselden Festplatte.



Zitat:
Zitat von Psychotic Beitrag anzeigen
Now please enter System Recovery Options again.

[*]Run frst.exe (on 64bit, run frst64.exe) and press the Fix button just once and wait.[*]The tool will make a log on the flashdrive (Fixlog.txt) please post it to your reply.[/LIST]

Start the computer in normal mode.
This is how far I get, and then I have the white screen again, so somehow this is not working with FRST

Any other idea ?

After booting in Ubuntu again I can confirm that the exe files is still there in the Roaming folder, although the log file said not found ...
The tool is looking for the file on the wrong Drive, it must be D: not C: although the fixlist.txt actually has the D: specified..

Geändert von Adesso (04.06.2012 um 09:41 Uhr) Grund: more more information

Alt 04.06.2012, 09:41   #12
Psychotic
/// Malwareteam
 
Vermutliche Verschlüsselungs-Trojaner auf Verschlüsselden Festplatte. - Standard

Vermutliche Verschlüsselungs-Trojaner auf Verschlüsselden Festplatte.



You have to boot into the recovery options where you did the scan.
Due to the fact that windows is not loaded then there will be no white screen!



Enter System Recovery Options.


To enter System Recovery Options from the Advanced Boot Options:
  • Restart the computer.
  • As soon as the BIOS is loaded begin tapping the F8 key until Advanced Boot Options appears.
  • Use the arrow keys to select the Repair your computer menu item.
  • Choose your language settings, and then click Next.
  • Select the operating system you want to repair, and then click Next.
  • Select your user account an click Next.


To enter System Recovery Options by using Windows installation disc:
  • Insert the installation disc.
  • Restart your computer.
  • If prompted, press any key to start Windows from the installation disc. If your computer is not configured to start from a CD or DVD, check your BIOS settings.
  • Click Repair your computer.
  • Choose your language settings, and then click Next.
  • Select the operating system you want to repair, and then click Next.
  • Select your user account and click Next.

On the System Recovery Options menu you will get the following options:
  • Startup Repair
  • System Restore
  • Windows Complete PC Restore
  • Windows Memory Diagnostic Tool
  • Command Prompt
  • Select Command Prompt

Then start frst64.exe from USB device and click fix!
__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Alt 04.06.2012, 09:53   #13
Psychotic
/// Malwareteam
 
Vermutliche Verschlüsselungs-Trojaner auf Verschlüsselden Festplatte. - Standard

Vermutliche Verschlüsselungs-Trojaner auf Verschlüsselden Festplatte.



You´re right!

Start Ubuntu and delete the File.

Then boot Windows and do the aswMBR and the TDSS-Killer-Scan!

__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Alt 04.06.2012, 10:15   #14
Adesso
 
Vermutliche Verschlüsselungs-Trojaner auf Verschlüsselden Festplatte. - Standard

Vermutliche Verschlüsselungs-Trojaner auf Verschlüsselden Festplatte.



OK.. so it seems the virus is gone, I deleted the file in the rescue command prompt manually that was in the Roaming directory of the user Volker.

Are we done ?

Alt 04.06.2012, 10:19   #15
Psychotic
/// Malwareteam
 
Vermutliche Verschlüsselungs-Trojaner auf Verschlüsselden Festplatte. - Standard

Vermutliche Verschlüsselungs-Trojaner auf Verschlüsselden Festplatte.



Combofix

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.
__________________
Kein Asylrecht für Trojaner!

Proud Member of UNITE

Hinweis: Ich bin nur werktags erreichbar!
Anfragen über PM werden ignoriert!

Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

Antwort

Themen zu Vermutliche Verschlüsselungs-Trojaner auf Verschlüsselden Festplatte.
anzeige, asus, avira, bildschirm, bios, bitdefender, boot, computer, defender, deutsch, down, fehler, festplatte, gelöscht, infiziert., laptop, linux, malwarebytes, meldung, netzwerk, neustart, ordner, registry, shut down, version, virus, windows




Ähnliche Themen: Vermutliche Verschlüsselungs-Trojaner auf Verschlüsselden Festplatte.


  1. Windows 7: FireFox: vermutliche Adware
    Plagegeister aller Art und deren Bekämpfung - 27.07.2014 (7)
  2. Vermutliche Plagegeister
    Log-Analyse und Auswertung - 07.01.2014 (8)
  3. Vermutliche PC Überhitzung, Lüfter, sontige Probleme?
    Netzwerk und Hardware - 16.05.2013 (4)
  4. 2 vermutliche viren auf mein pc (windows xp sp3)
    Plagegeister aller Art und deren Bekämpfung - 02.05.2013 (14)
  5. SUISA-Trojaner (Verschlüsselungs-Trojaner) befall auf HP-Pro-Laptop Win7 64Bit
    Plagegeister aller Art und deren Bekämpfung - 06.09.2012 (19)
  6. windows verschlüsselungs trojaner-sofortiger TRojaner hinweis
    Plagegeister aller Art und deren Bekämpfung - 31.07.2012 (9)
  7. Live Security Platinum-Trojaner, Verschlüsselungs-Trojaner entfernen
    Plagegeister aller Art und deren Bekämpfung - 16.07.2012 (1)
  8. verschlüsselungs Trojaner
    Log-Analyse und Auswertung - 14.07.2012 (1)
  9. Verschlüsselungs-Trojaner
    Log-Analyse und Auswertung - 14.06.2012 (6)
  10. Verschlüsselungs-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 09.06.2012 (3)
  11. Verschlüsselungs-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 08.06.2012 (1)
  12. verschlüsselungs trojaner
    Plagegeister aller Art und deren Bekämpfung - 07.06.2012 (3)
  13. Pc hängt sich beim Hochfahren auf (vermutliche Ursache Virus)
    Log-Analyse und Auswertung - 05.01.2012 (4)
  14. trojaner ''festplatte beschädigt - durch problem mit IDE/ SATA festplatte''
    Plagegeister aller Art und deren Bekämpfung - 18.05.2011 (3)
  15. vermutliche Malware? PC öffnet .exe Dateien Nicht , IE - Popups öffnen Ständig > Folgen von Viren?
    Plagegeister aller Art und deren Bekämpfung - 07.04.2011 (7)
  16. [B]Festplatte über Trojaner Festplatte gekapert? Gibt´s denn sowas?[/B]
    Plagegeister aller Art und deren Bekämpfung - 27.09.2004 (3)
  17. LNTERNAT.EXE und wo man vermutliche Trojaner melden sollte
    Plagegeister aller Art und deren Bekämpfung - 24.10.2003 (5)

Zum Thema Vermutliche Verschlüsselungs-Trojaner auf Verschlüsselden Festplatte. - Erst mal sorry wegen meine mangelhaftes Deutsch, ich kann English perfekt, aber versuche es mal auf Deutsch. Wie viele Leute hier habe ich auch gestern eine Laptop bekommen, die genau - Vermutliche Verschlüsselungs-Trojaner auf Verschlüsselden Festplatte....
Archiv
Du betrachtest: Vermutliche Verschlüsselungs-Trojaner auf Verschlüsselden Festplatte. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.