Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Verschlüsselungs-Trojaner Version 2.00.11

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.07.2012, 12:30   #1
BOABOA
 
Verschlüsselungs-Trojaner  Version 2.00.11 - Standard

Verschlüsselungs-Trojaner Version 2.00.11



Hallo,

ein Nachbar kam zu mir und sagte, dass auf seinem Rehcner nichts mehr ginge.

Siehe Da eine Mail geöffnet und das Ding hat sich installiert, nun hat er bzw. ich den Salat...

Hier gibt es ja tolle Anleitungen, schon mal vielen Dank vorab dafür!

Was habe ich bis dato gemacht?

OTL runtergeladen und den Scan für die letzten 90 Tage ausgeführt.
Im Anhang befindet sich die Datei OTL90Tage.txt

Alerindgs kam diese beschriebene Frage nicht:
"Do you wish to load the remote registry"

Ich bekomme aber im Anschluss Malwarebytes nicht über den REATOGO-X-PE Screen installiert.
Malwarebytes wollte auf dem vituellen X Laufwerk von Reatogo installieren, was augenscheinlich nicht möglich ist. :-)

Steh ich auf dem Schlauch, oder wie bekomme ich Malwarebytes zum Laufen über den REATOGO-X Screen, denn den normalen Start bekoimme ich ja nicht mehr hin ?!?!?

Oder habe ich was überlesen ?

Update:
Das hier schaut nach der Seuche aus in der OTL Logdatei:
O4 - HKU\Dajana_ON_C..\Run: [C859704D] C:\WINDOWS\system32\06C64886C859704D48A7.exe (The Code::Blocks Team)

Soll ich die exe mal killen und dann testen, ob ich Malwarebytes insatlliert bekomme ?

Grüße und Danke

BOA

Geändert von BOABOA (26.07.2012 um 12:56 Uhr)

Alt 26.07.2012, 15:32   #2
BOABOA
 
Verschlüsselungs-Trojaner  Version 2.00.11 - Standard

Verschlüsselungs-Trojaner Version 2.00.11



Hi,

ich muss noch einmal fragen.
Wie bekomme ich vom verseuchten Rechner aus Malwarebytes zum Laufen ?
Ich muss diese Trojaner - Fenster erst einmal wegbekommen...

Grüße

BOA
__________________


Alt 26.07.2012, 16:53   #3
t'john
/// Helfer-Team
 
Verschlüsselungs-Trojaner  Version 2.00.11 - Standard

Verschlüsselungs-Trojaner Version 2.00.11





Fixen mit OTLpe


  • Starte den unbootbaren Computer erneut mit der OTLPE-CD,
  • warte bis der Reatogo-X-Pe-Desktop erscheint und doppelklicke das OTLPE-Icon.



  • Kopiere folgendes Skript in das Textfeld unterhalb von Custom Scans/Fixes:
  • Sollte das mangels Internet-Verbindung nicht möglich sein,
  • kopiere den Text aus der folgenden Code-Box und speichere ihn als Fix.txt auf einen USB-Stick.
  • Schließe den USB-Stick an den Computer an und öffne Fix.txt mit dem Explorer auf dem Reatogo-Desktop.
  • Kopiere den Inhalt von Fix.txt in das Textfeld unterhalb von Custom Scans/Fixes:


Code:
ATTFilter
:Processes
killallprocesses

:OTL
DRV - File not found [Kernel | On_Demand] -- -- (WDICA) 
DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME) 
DRV - File not found [Kernel | On_Demand] -- -- (PDRELI) 
DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME) 
DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP) 
DRV - File not found [Kernel | System] -- -- (PCIDump) 
DRV - File not found [Kernel | System] -- -- (lbrtfdc) 
DRV - File not found [Kernel | System] -- -- (i2omgmt) 
DRV - File not found [Kernel | System] -- -- (Changer) 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\Dajana_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\Dajana_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 
IE - HKU\LocalService_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\NetworkService_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
IE - HKU\systemprofile_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.) 
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.) 
O4 - HKLM..\Run: [KernelFaultCheck] File not found 
O4 - HKU\.DEFAULT..\Run: [Messanger] File not found 
O4 - HKU\.DEFAULT..\Run: [NAV Auto Updates] File not found 
O4 - HKU\Dajana_ON_C..\Run: [C859704D] C:\WINDOWS\system32\06C64886C859704D48A7.exe (The Code::Blocks Team) 
O4 - HKU\Dajana_ON_C..\Run: [NAV Auto Updates] File not found 
O4 - HKU\Dajana_ON_C..\Run: [Startup Manager] File not found 
O4 - HKU\systemprofile_ON_C..\Run: [Messanger] File not found 
O4 - HKU\systemprofile_ON_C..\Run: [NAV Auto Updates] File not found 
O4 - HKLM..\RunServices: [NAV Auto Updates] File not found 
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE (Microsoft Corporation) 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1 
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\Dajana_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\Dajana_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 
O7 - HKU\Dajana_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1 
O7 - HKU\Dajana_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\systemprofile_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O7 - HKU\systemprofile_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: CDRAutoRun = 0 
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB (Reg Error: Key error.) 
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38087.3588541667 (Reg Error: Key error.) 
O20 - HKLM Winlogon: Shell - (mcafee32.exe) - File not found 
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\System32\06C64886C859704D48A7.exe) - C:\WINDOWS\system32\06C64886C859704D48A7.exe (The Code::Blocks Team) 
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found 
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found 
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found 
O32 - HKLM CDRom: AutoRun - 1 
O32 - AutoRun File - [2004/03/24 12:11:39 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] 
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ] 
O34 - HKLM BootExecute: (autocheck autochk *) - File not found 
NetSvcs: 6to4 - File not found 
NetSvcs: Ias - File not found 
NetSvcs: Iprip - File not found 
NetSvcs: Irmon - File not found 
NetSvcs: NWCWorkstation - File not found 
NetSvcs: Nwsapagent - File not found 
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] 
[2004/07/13 04:24:44 | 000,000,814 | ---- | C] () -- C:\Programme\Autorun.inf 
Invalid Environment Variable: %USERPROFILE%\Local Settings\Temp\*.exe 
[2012/05/11 15:50:50 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh323 
[2012/05/11 15:50:40 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh322 
[2012/05/11 15:50:32 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh321 
[2012/05/11 15:50:22 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh320 
[2012/05/18 10:48:58 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh325 
[2012/05/18 10:48:58 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh324 


[2005/02/09 22:38:27 | 000,000,346 | ---- | M] () -- C:\WINDOWS\Tasks\PC Health-Taskplaner für Upload-Bibliothek.job 
:Files

C:\WINDOWS\system32\06C64886C859704D48A7.exe

ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]
[resethosts]
[emptyjava]
         

  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Klick auf .
  • Kopiere den Inhalt hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\OTLpe\MovedFiles\<datum_nummer.log>
  • Teste, ob den Computer nun wieder in den normalen Windows-Modus booten kannst und berichte.
__________________
__________________

Alt 30.07.2012, 09:17   #4
BOABOA
 
Verschlüsselungs-Trojaner  Version 2.00.11 - Standard

Verschlüsselungs-Trojaner Version 2.00.11



Hi,

danke für die Anleitung.

Ich habe das getestet und OTLPE scheint sich zu Tode zu laufen.
Nach mehreren Stunden habe ich abgebrochen, da kein Forschritt zu erklennen war.

War ich eventuell zu ungeduldig, sprich wie lange läuft dieses Fixing ?
Ich weiß, dass man das nicht pauschalisieren kann, aber ist eher ne 3/4 Stunde oder 6 Stunden Laufzeit "normal" ?

Ich komme jetzt auf den Rechner, da ich die eine "merkwürdige" exe einfach unbenannt habe und diese nun nicht mehr gestartet wird.

Allerdings bekomme ich keine Internetverbindung auf dem Rechner hin, kann aber die etlichen verschlüsselten Dateien sehen...

Soll ich noch mal ganz von vorne beginnen mit Scannen ?

Irgendetwas habe ich verdaddelt...

Grüße und Danke

BOA

hi,

Update.

Ich kann jetzt OTLPE nicht mehr starten.

Folgende Fehlermeldung macht mir das Leben schwer:

RunScanner Error
Registry Access Error, ret = 1009:
The configuration registry database is coprrupt



Kennt jemand das Problem ?

Grüße

BOA

Alt 30.07.2012, 15:05   #5
t'john
/// Helfer-Team
 
Verschlüsselungs-Trojaner  Version 2.00.11 - Standard

Verschlüsselungs-Trojaner Version 2.00.11



Kannst du normal starten?



Von einem sauberen PC OTL.exe runterladen auf USB Stick.
Infizierteen Rechner ohne Internet starten. OTL.exe auf Desktop kopieren un Log erstellen.

Systemscan mit OTL (bebilderte Anleitung)

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe
- Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
- Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
- Unter Extra Registry, wähle bitte Use SafeList
- Klicke nun auf Run Scan links oben
- Wenn der Scan beendet wurde werden 2 Logfiles erstellt
- Poste die Logfiles hier in den Thread.

__________________
Mfg, t'john
Das TB unterstützen

Alt 30.07.2012, 16:28   #6
BOABOA
 
Verschlüsselungs-Trojaner  Version 2.00.11 - Standard

Verschlüsselungs-Trojaner Version 2.00.11



Hi,

nö, der Rechner startet jetzt auch nicht mehr, bleibt in der Maske hängen, wo ich wählen kann, ob ich Windows normal starten will oder abgesicherten Modus ( und all die anderen Modi ).

Egal, was ich zu starten versuche, der Rechner startet sich komplett neu, bevor irgendein Logo oder Login Maske von Windoof erscheint...

:-(

Grrrr...

Soll ich Windows reparieren mit der Windows CD ?

Grüße

BOA

Alt 30.07.2012, 18:24   #7
t'john
/// Helfer-Team
 
Verschlüsselungs-Trojaner  Version 2.00.11 - Standard

Verschlüsselungs-Trojaner Version 2.00.11



Waere es dann nicht besser ganz neu aufzusetzen?

http://www.trojaner-board.de/51262-a...sicherung.html
http://www.trojaner-board.de/82533-d...ted-magic.html
__________________
Mfg, t'john
Das TB unterstützen

Alt 30.07.2012, 19:42   #8
BOABOA
 
Verschlüsselungs-Trojaner  Version 2.00.11 - Standard

Verschlüsselungs-Trojaner Version 2.00.11



Hey,

absolut richtig, ganz meine Meinung. Würde doch immer ne UNsicherheit bleiben, ob der Trojaner wirklich nicht mehr existent ist...

Ich wollte nur noch die Dateien vom Nachbarn probieren mit Scareuncrypt zu entschlüsseln, um zu retten, was zu retten ist.

Mein Plan lautet:

Windows reparieren
Dateien entschlüsseln

Schaun wir mal, was passiert... :-)

Grüße

Alt 30.07.2012, 20:26   #9
t'john
/// Helfer-Team
 
Verschlüsselungs-Trojaner  Version 2.00.11 - Standard

Verschlüsselungs-Trojaner Version 2.00.11



Probiere das mal.
Du solltest den PC aber nicht mehr mit dem Internet verbinden lassen!
__________________
Mfg, t'john
Das TB unterstützen

Alt 07.08.2012, 10:24   #10
BOABOA
 
Verschlüsselungs-Trojaner  Version 2.00.11 - Standard

Verschlüsselungs-Trojaner Version 2.00.11



Hi,

ich bin noch mittendrin im Problem.

Der Windows Rechner ließ sich schlicht nicht mehr im Reparaturmodus ausführen.

Auch hier immer wieder automatischer Neustart des Rechners.
Eine Neuinstallation ohne Formatierung war auch nicht mehr möglich. Hier zeigte sich exakt dasselbe Verhalten. Immer wieder automatischer Neustart, bevor es mit der Installation losging.

Dann habe ich das geniale ERD Tool von Mickysoft eingesetzt und siehe da irgendein übler Fehler im Windows System. Nicht mehr reparabel.

Einen Wiederherstellungspunkt konnte ich nicht nutzen, da lediglich SP1 installiert war...

Der Schmerz ließ also nicht nach.

FP ausgebaut und an meinen Rechner gehangen. Komplett C als Sicherung kopiert, damit die verschlüsselten Dateien weiterhin für eine weitere Bearbeitung vorhanden sind.
Dabei alle Trojaner und Viren gekillt.

Dann habe ich die FP formatiert und Windows neu installiert bekommen.

Nun wollte ich das Decrypterprogramm "Scareuncrypt" auf dem sauberen Rechner starten, aber dies funktionierte nicht.

Es gibt eine Fehlermeldung "Scareuncryypt hat ein Problem festgestellt und muss beendet werden".
Nach dem berüchtigten Drücken des "Nicht Senden" Buttons, sah ich in den Prozessen, dass das Programm aber ausgeführt wird und auch irgendetwas im Hintergrund treibt ( Prozessorlast um die 50% ).

Musste ich also abschießen im Taskmanager, da ich mich unwohl fühle, wenn ein Programm trotz Fehlermeldung einfach mal losläuft...


Ok, dachte ich, nehme ich das Tool von Avira, welches hier auf der Seite zu finden ist.
Auch hier beim Start sofort eine Fehlermeldung "Die Anwendung konnte nicht initialisiert werden, usw...."

Ist mir ein Rätsel.

Frisch aufgesetzter XP Rechner und keines des Decrypterprogrammer funktioniert...?

Jetzt ist tatsächlich der Ergeiz geweckt. Ich würde schon gerne wissen, warum das alles so schräg läuft...

Gab es solch ein Verhalten schon einmal ?

Grüße und Danke

BOA

eyeyey...

Nun habe ich hier gelesen, dass mein Nachbar sich den 12kb Trojaner ( dateien mit Schema "xbksckbkbcbas" gefangen hat, wo die acht hier gelisteten Tools eh nicht für Decrypten geeignet sind....

Das ist ja mal eine bescheidene Nachricht.

Da krieg ich Plaque...

Alles was man verschlüsseln kann, kann man auch entschlüsseln....
Man braucht halt nur den Key... :-)

Grüße

BOA

Hi,

inzwischen habe ich es auch verstanden, dass beim Trojaner Version 2 tatsächlich noch kein Heilmittel existiert. :-(

Trotzdem laufen weder ScareUncrypt noch Avira Ransom unter meinem XP. Warum ist mir ( noch ) ein Rätsel...

FP erst einmal gesichert und hoffen, dass es irgendwann mal ein Hilfsmittel dafür gibt....

Sowiet erstmal für mich Ende der Versuche...

Grüße und Danke für die Hilfe(n)

BOA

Antwort

Themen zu Verschlüsselungs-Trojaner Version 2.00.11
anhang, anschluss, befindet, datei, frage, installier, installiere, installieren, installiert, laufe, laufen, laufwerk, mail, malwarebytes, nachbar, nicht möglich, nichts, reatogo-x-pe, registry, remote, runtergeladen, scan, schei, screen, tolle, version




Ähnliche Themen: Verschlüsselungs-Trojaner Version 2.00.11


  1. GVU Trojaner (neue Version)
    Plagegeister aller Art und deren Bekämpfung - 09.07.2013 (15)
  2. GVU Trojaner (Version 2.12)
    Plagegeister aller Art und deren Bekämpfung - 12.05.2013 (9)
  3. GVU Trojaner (Version 2.07)
    Plagegeister aller Art und deren Bekämpfung - 18.01.2013 (15)
  4. BKA-Trojaner Version 1.13
    Plagegeister aller Art und deren Bekämpfung - 25.11.2012 (3)
  5. GVU Trojaner version unbekannt WIN XP
    Plagegeister aller Art und deren Bekämpfung - 21.09.2012 (6)
  6. GVU Trojaner Version 2.07
    Plagegeister aller Art und deren Bekämpfung - 15.09.2012 (3)
  7. BKA-Trojaner Version 1.13
    Log-Analyse und Auswertung - 08.09.2012 (11)
  8. BKA Trojaner Version 1.13
    Log-Analyse und Auswertung - 28.08.2012 (24)
  9. Verschlüsselungs Trojaner Version Juli 2012
    Plagegeister aller Art und deren Bekämpfung - 23.07.2012 (1)
  10. säuberung meines systems nach verschlüsselungs-trojaner Version 1.150.1 (?)
    Plagegeister aller Art und deren Bekämpfung - 25.06.2012 (1)
  11. Verschlüsselungs-Trojaner, Neue Version
    Plagegeister aller Art und deren Bekämpfung - 13.06.2012 (1)
  12. Analyse des "Verschlüsselungs-Tojaners" 2. Gen (Dateinamen ohne Endung) Version 1.902.2
    Diskussionsforum - 10.06.2012 (11)
  13. Verschlüsselungs Trojaner neuste Version?
    Plagegeister aller Art und deren Bekämpfung - 06.06.2012 (2)
  14. Windows Verschlüsselungs Trojaner neue Version nur Buchstabensalat
    Log-Analyse und Auswertung - 05.06.2012 (1)
  15. Welche Version von BKA-Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 21.04.2012 (9)
  16. IE "angeblich" nur Version 5, habe aber die neuste Version!Wer kann helfen?
    Alles rund um Windows - 27.02.2008 (0)
  17. Spybot SD Version 1.4 RC (Neue Version)
    Antiviren-, Firewall- und andere Schutzprogramme - 25.05.2006 (13)

Zum Thema Verschlüsselungs-Trojaner Version 2.00.11 - Hallo, ein Nachbar kam zu mir und sagte, dass auf seinem Rehcner nichts mehr ginge. Siehe Da eine Mail geöffnet und das Ding hat sich installiert, nun hat er bzw. - Verschlüsselungs-Trojaner Version 2.00.11...
Archiv
Du betrachtest: Verschlüsselungs-Trojaner Version 2.00.11 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.