Liebe Helfer auf dem Trojaner-Board,

nachdem ich dummerweise den Anhang einer Mail mit dem Betreff Telekomrechnung Nr 569837998 von der Adresse dsap@arcor.de und dem Anhang zip Telekom-Rechnung (37,5 KB) geöffnet habe zeigt mein Laptop (Lenovo G550, Windows Vista) sofort nach dem Start einen Bildschirm mit dem Hinweis, dass der Rechner mit einem Windows-Verschlüsselungstrojaner infiziert ist und ich einen 50 Euro U-Cash Code eingeben soll.

Der Rechner startet im Moment nur im abgesicherten Modus, dort ist er aber stabil.

Kann mir bitte jemand weiterhelfen? Wie soll ich nun am besten weitermachen? Wie bekomme ich z.B. die oben aufgelisteten Programme Malwarebyte und Decrypthelper auf den infizierten Laptop ohne das Ersatzgerät (leider ohne Brenner) ebenfalls zu infizieren?

Danke für jede Hilfe!

salu_salu

Hi,

per USB-Stick!
OTL bzw. MAM und den Decrypter auf den USB-Stick kopieren, dann an den verseuchten Rechner anschließen (kommst Du dort nicht in den abgesicherten Modus mit Netzwerkunterstützung?).
Logs zurück auf den USB-Stick kopieren, beim Anschließen des Sticks an den nicht verseuchten Rechner die SHIFT-Taste solange drücken, bis alles erkannt wurde (USB-Stick/Laufwerke) [das unterdrückt den autorun!]...

Alternativ kannst Du auch vorher den Flashdesinfector loslassen, der hinterlässt eine nicht so einfach überschreibbare autorun-Datei auf dem Stick...
Lade Dir den Flash_disinfector auf den Desktop, starte ihn und folge den Anweisungen...
http://www.techsupportforum.com/sect...isinfector.exe
oder

http://download.bleepingcomputer.com...isinfector.exe

Trenne den Rechner physikalisch vom Netz.
Deaktiviere den Hintergrundwächter deines AVP und (falls vorhanden) den TeaTimer.
Schließe jetzt alle externe Datenträger mit gedrückter Shift-Taste an Deinen Rechner (Autoplay wird unterbunden). Die Shift-Taste solange gedrückt halten, bis die Laufwerke erkannt sind!
Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
Wenn der Scan zuende ist, kannst du das Programm schließen.
Starte Deinen Rechner neu.

chris

Hi Chris,

Danke für die guten Infos.

Zitat:

Zitat von Chris4You

Hi,

... (kommst Du dort nicht in den abgesicherten Modus mit Netzwerkunterstützung?).

Mittlerweile ist es mir tatsächlich gelungen, den Rechner im abgesicherten Modus mit Netzwerkunterstützung zu starten und einen Laptop mit Brenner auszuleihen.

Gerade läuft MAM. Sobald ich alle LOGs habe würde ich mich wieder melden.

Danke für die Unterstützung und die Infos mit dem USB-Stick hab ich mir schon gespeichert. Das ist auch sonst nützlich.

Viele Grüße
salu_salu

Hallo Chris,

hier bin ich wieder, leicht verwirrt.

Anbei das Logfile von Malwarbytes Quickscan und Vollscan.

Zitat:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.30.03

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
SL :: SL-PC [Administrator]

Schutz: Deaktiviert

30.04.2012 22:39:08
mbam-log-2012-04-30 (22-39-08).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 193600
Laufzeit: 2 Minute(n), 15 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

und vollscan

Zitat:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.30.03

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
SL :: SL-PC [Administrator]

Schutz: Deaktiviert

30.04.2012 18:25:39
mbam-log-2012-04-30 (18-25-39).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 411529
Laufzeit: 54 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Soweit ich das verstehe gab es beides mal kein Ergebnis.
Kann das sein?

Danke für deine weitere Unterstützung!

salu_salu

Hallo Chris,

hier bin ich wieder, leicht verwirrt.

Anbei das Logfile von Malwarbytes Quickscan und Vollscan.
Zitat:
Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.30.03

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
SL :: SL-PC [Administrator]

Schutz: Deaktiviert

30.04.2012 22:39:08
mbam-log-2012-04-30 (22-39-08).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 193600
Laufzeit: 2 Minute(n), 15 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
und vollscan

Zitat:
Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.30.03

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
SL :: SL-PC [Administrator]

Schutz: Deaktiviert

30.04.2012 18:25:39
mbam-log-2012-04-30 (18-25-39).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 411529
Laufzeit: 54 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Soweit ich das verstehe gab es beides mal kein Ergebnis.
Kann das sein?

Danke für deine weitere Unterstützung!

salu_salu

Hallo, es tut mir leid, dass das so ein Posting Chaos ist. Die Logfiles sind in der alten Antwort.

Viele Grüße
salu_salu

Hallo Chris,

hier bin ich wieder, leicht verwirrt.

Anbei das Logfile von Malwarbytes Quickscan und Vollscan.
Zitat:
Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.30.03

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
SL :: SL-PC [Administrator]

Schutz: Deaktiviert

30.04.2012 22:39:08
mbam-log-2012-04-30 (22-39-08).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 193600
Laufzeit: 2 Minute(n), 15 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
und vollscan

Zitat:
Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.30.03

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
SL :: SL-PC [Administrator]

Schutz: Deaktiviert

30.04.2012 18:25:39
mbam-log-2012-04-30 (18-25-39).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 411529
Laufzeit: 54 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Soweit ich das verstehe gab es beides mal kein Ergebnis.
Kann das sein?

Danke für deine weitere Unterstützung!

salu_salu

Guten Morgen,
jetzt bin ich hoffentlich schon einen Schritt weiter. Nachdem gestern die Scans nichts erbracht haben, habe ich heute morgen den Computer neu gestartet (Normalmodus) und dort den MAM laufen lassen. Diesmal mit dem Häckchen bei den P2P Programmen und der aktuellen Version von heute morgen. Jetzt wurden zwei infizierte Dateien gefunden, die ich entfernt habe. Soll ich sie auch aus der Quarantäne löschen?

Beim Neustart war nur der abgesicherte Modus mit Netzwerkgriff möglich, im Normalmodus hängte sich sofort alles auf auch das MAM und das Entschlüsselungsprogramm.
Das Logfile für MAM sieht so aus

Zitat:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.01.04

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
SL :: SL-PC [Administrator]

Schutz: Deaktiviert

01.05.2012 07:30:30
mbam-log-2012-05-01 (07-30-30).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM | P2P
Deaktivierte Suchlaufeinstellungen:
Durchsuchte Objekte: 193515
Laufzeit: 4 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|B6379CCA (Trojan.Agent.SZ) -> Daten: C:\Users\SL\AppData\Roaming\Kpsrc\31F66654B6379CCA1F08.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\SL\AppData\Roaming\Kpsrc\31F66654B6379CCA1F08.exe (Trojan.Agent.SZ) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Ich habe jetzt begonnen die Dateien mit dem DecryptHelper von Mathias zu entschlüsseln, das klappt ganz gut. Nur auf Festplatte C: mit Programmen etc. klappt es manchmal bei den Java Dateien nicht.
Ist das Vorgehen soweit o.k.? Kann ich so weiter machen oder gibt es einen besseren Weg?

Viele Grüße und Danke für jede weitere Hilfe.
salu_salu

Hi,

soweit ok...
Wie bist Du zu dem Teil gekommen, einen Anhang geöffnet (z.B Rechnung.exe oder plötzlich beim Surfen)?
Ich frage, weil das wie ein Konstrukt aus Downloader (der Sicherheitslücken ausnutzt) und dem eigentlichen Trojaner (der nachgeladen wird) aussieht.
Welche Probleme hast du bei JAVA-Programmen?
Poste bitte noch ein OTL-Log...

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

• Poste die Logfiles hier in den Thread

Mit welchen Tool/Einstellung entschlüsselst Du?

So, bin dann wieder off, habe mir eine Grippe eingefangen und Schwanke so zwischen Schüttelfrost und Fieber hin- und her...

chris

Hallo Chris,
Danke für die Hilfe trotz Grippe. Ich wünsche dir gute Besserung.

Das OTM LOG kommt. Im Momenet bin ich noch mit Entschlüsseln beschäftigt. Dazu nutze ich das von Euch empfohlene Programm von Mathias, DecryptHelper 0.5.2.

Bei manchen Java-Dateien meldet das Programm das der Name des Files zu kurz ist. Wenn so eine Meldung wieder auftaucht, notiere ich mir den genauen Wortlaut.

Und bei den Windows Dateien kommt es nicht wirklich weiter... mal sehen. Aber die mir wichtigen Thunderbird Dateien und ein paar persönliche Dokumente sind wieder frei und wenn alles einigermaßen sauber ist, kann man die sicher retten. Die wirklich wichtigen Dateien: Projekte, Diss, etc. liegen sicher auf dem Uni-Server.... puh....

Den Trojaner habe ich mir über einen Mailanhang eingefangen. Thunderbird hat noch geladen und ich wollte eigentlich den Anhang der vorhergehenden Mail aufmachen und habe mich verklickt. Bevor ich noch irgendwas stoppen konnte, war es schon zu spät. Die Mail kam von einer Arkoradresse und behauptete eine Telekomtelefonrechnung zu sein. Der Anhang war eine Zip-Datei die mit WinRar geöffnet wurde. Ich habe nichts extrahiert. Das Vorschaufenster hat schon gereicht....

Nochmal gute Besserung.
Viele Grüße
Salu_salu

Hallo Chris,
hier bin ich wieder. Ich hoffe, Du bist wieder fit und hast dich gut erholt.

Ich musste die letzten beiden Tage arbeiten und konnte die Scans nicht so schnell abarbeiten, wie ich das gerne gemacht hätte.
Hier die Ergebnisse:
1) MAM hast Du schon gesehen.

2) Decrypt Helper hat funktioniert. alles scheint stabil zu laufen. Die Fehlermeldung für die JAVA Dateien war:

Zitat:

java.lang.lllegalArgumentException:Prefix string too short

ist das wichtig oder eher nicht?

3) defogger hat keine Fehlermeldung ergeben

4) DSS (dss und attach)

Die Ergebnisse finden sich im Anhang

5) gmer

Ergebnisse finden sich im Anhang

6) OTL (OTL und Extras)

Ergebnisse finden sich im Anhang

So, das wars. Im Moment wirkt alles normal aber ich trau dem Frieden nicht.

Alle Daten die ich wollte, sind sicher auf einer externen Festplatte : Fotos, Mailarchiv, Itunes, Bookmarks, Seriennummer der Forschungssoftware, etc. Datenverlust ist also nicht zu befürchten.

Soll ich das System komplett neu aufsetzen? Was wären die nächsten Schritte?

Danke für deine Unterstützung.

Viele Grüße
salu_salu