Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Windows-Verschlüsselungs-Trojaner Schritt 3 (Trojan.Matsnu.1)

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 03.05.2012, 20:59   #1
peter_susann
 
Windows-Verschlüsselungs-Trojaner Schritt 3  (Trojan.Matsnu.1) - Standard

Windows-Verschlüsselungs-Trojaner Schritt 3 (Trojan.Matsnu.1)



Hallo Board,

wir haben uns einen Verschlüsselungstrojaner eingefangen.
Beim (dummen) Öffnen einer "Scheinrechnung" per "E-Mail" wurde der Trojaner aktiv und meldet den Standard:
"Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert.
Aus Sicherheitsgründen wurde ihr Windowssystem blockiert..."

Habe mich an das "Vorgehen beim Verschlüsselungs-Trojaner (Trojan.Matsnu.1)" gehalten:


1. Ich habe aus dem gesicherten Modus Malwarebytes Anti-Malware laufen lassen und konnte nach Lauf und Entfernung den PC wieder starten, hier der Report:
Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.03.05

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
*** :: ***-PC [Administrator]

Schutz: Deaktiviert

03.05.2012 19:01:22
mbam-log-2012-05-03 (19-38-38).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 347546
Laufzeit: 36 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|6AF7E5C0 (Trojan.Downloader) -> Daten: C:\Users\***\AppData\Roaming\Qprfuc\2458ECB06AF7E5C0C8C4.exe -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 6
C:\Users\***\AppData\Roaming\Qprfuc\2458ECB06AF7E5C0C8C4.exe (Trojan.Downloader) -> Keine Aktion durchgeführt.
C:\Users\***\AppData\Local\Temp\afrtsdrxsi.pre (Trojan.Downloader) -> Keine Aktion durchgeführt.
C:\Users\***\AppData\Local\Temp\bxyuqgfsyt.pre (Trojan.Downloader) -> Keine Aktion durchgeführt.
C:\Users\***\AppData\Local\Temp\qnnghrrprg.pre (Trojan.Downloader) -> Keine Aktion durchgeführt.
C:\Users\***\AppData\Local\Temp\ysninfjjxo.pre (Trojan.Downloader) -> Keine Aktion durchgeführt.
C:\Users\***\AppData\Local\Temp\zluhbsxiyp.pre (Trojan.Downloader) -> Keine Aktion durchgeführt.

(Ende)

2. Alle relevanten Daten waren bzw. sind verschlüsselt. Habe gemäß Schritt 2 "DecryptHelper von Matthias" zum Entschlüsseln verwendet und dazu parallel den "Avira-RansomFileUnlocker-1.0.1". Hat ebenfalls geklappt. Kann alles wieder verwenden.

3. Was soll ich nun machen? Empfehlung Schritt 3 sagt: "Befolge folgende Anweisungen: an alle Hilfesuchenden um den Rechner vollständig zu bereinigen. Das ist wichtig, denn der Rechner ist noch nicht sauber!"


Schon mal jeden Dank vorab...

P.S. Bin reiner Anwender und damit "Laie"

Alt 03.05.2012, 21:41   #2
Swisstreasure
/// Malwareteam
 
Windows-Verschlüsselungs-Trojaner Schritt 3  (Trojan.Matsnu.1) - Standard

Windows-Verschlüsselungs-Trojaner Schritt 3 (Trojan.Matsnu.1)





Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
netsvcs
drivers32 /all
%SYSTEMDRIVE%\*.*
%systemroot%\system32\*.wt
%systemroot%\system32\*.ruy
%systemroot%\Fonts\*.com
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\REPAIR\*.bak1
%systemroot%\REPAIR\*.ini
%systemroot%\system32\*.jpg
%systemroot%\*.scr
%systemroot%\*._sy
%APPDATA%\Adobe\Update\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%APPDATA%\Microsoft\*.*
%PROGRAMFILES%\*.*
%APPDATA%\Update\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread
__________________


Alt 03.05.2012, 22:29   #3
peter_susann
 
Windows-Verschlüsselungs-Trojaner Schritt 3  (Trojan.Matsnu.1) - Standard

Windows-Verschlüsselungs-Trojaner Schritt 3 (Trojan.Matsnu.1)



Hallo,

bevor ich loslege...

Ich habe jetzt ja wieder Zugriff auf Bilder, Musik und einige pdfs und docs.

Ich entnehme Deinem Hinweis, dass es wahrscheinlich schneller und sicherer ist, diese Daten zu speichern und dann den PC zu formatieren.

Was meinst Du?
__________________

Alt 03.05.2012, 22:39   #4
Swisstreasure
/// Malwareteam
 
Windows-Verschlüsselungs-Trojaner Schritt 3  (Trojan.Matsnu.1) - Standard

Windows-Verschlüsselungs-Trojaner Schritt 3 (Trojan.Matsnu.1)



Es ist der sicherste aber oft auch mühsamere Weg. Die Entscheidung liegt voll und ganz bei Dir.

Alt 03.05.2012, 22:50   #5
peter_susann
 
Windows-Verschlüsselungs-Trojaner Schritt 3  (Trojan.Matsnu.1) - Standard

Windows-Verschlüsselungs-Trojaner Schritt 3 (Trojan.Matsnu.1)



Vielen Dank für Dein schnelles Feedback!

Ich werde mich dann am am Wochenende an die Formatierung begeben. Habe zwar keine Lust aber zumindest Zeit...

Eine letzte Frage. Kann ich davon ausgehen, dass die entschlüsselten Dateien "sicher" sind?


Alt 03.05.2012, 22:54   #6
Swisstreasure
/// Malwareteam
 
Windows-Verschlüsselungs-Trojaner Schritt 3  (Trojan.Matsnu.1) - Standard

Windows-Verschlüsselungs-Trojaner Schritt 3 (Trojan.Matsnu.1)



Ja die sind nicht verädnert in sich

Alt 03.05.2012, 22:58   #7
peter_susann
 
Windows-Verschlüsselungs-Trojaner Schritt 3  (Trojan.Matsnu.1) - Standard

Windows-Verschlüsselungs-Trojaner Schritt 3 (Trojan.Matsnu.1)



Many thanks...und tschüss

Antwort

Themen zu Windows-Verschlüsselungs-Trojaner Schritt 3 (Trojan.Matsnu.1)
administrator, aktiv, anti-malware, appdata, autostart, avira-ransomfileunlocker-1.0.1, dateisystem, ebenfalls, entschlüsseln, explorer, helper, heuristiks/extra, heuristiks/shuriken, malwarebytes, microsoft, rechner, rechnung, roaming, service, software, speicher, starten, test, trojan.matsnu.1, version, wichtig



Ähnliche Themen: Windows-Verschlüsselungs-Trojaner Schritt 3 (Trojan.Matsnu.1)


  1. Windows 8.1: Trojan:Win32/Meredrop, Trojan:Win32/Malagent, Trojan:Win32/Matsnu.L und Worm:Win32/Ainslot.A
    Log-Analyse und Auswertung - 19.01.2014 (5)
  2. Windows 7:Werde Viren nicht los TR/Matsnu.A.59,TR/Matsnu.A.56 und TR/BankZone.A.8
    Log-Analyse und Auswertung - 06.09.2013 (9)
  3. Trojan.Matsnu.1 - Tool für Verschlüsselungs-Trojaner
    Diskussionsforum - 18.02.2013 (45)
  4. Verschlüsselungs-Trojaner: Trojan.Win32.Yakes.bshd, Trojan.Win32.Bublik.abyj
    Plagegeister aller Art und deren Bekämpfung - 25.01.2013 (1)
  5. Bundespolizei-Trojaner (Matsnu.F) Windows 7 Home Premium 64 bit
    Plagegeister aller Art und deren Bekämpfung - 27.09.2012 (2)
  6. Verschlüsselungs Trojaner TR/Matsnu.EB.32, Dateien verschlüsselt
    Log-Analyse und Auswertung - 14.07.2012 (5)
  7. Trojan.Win32/Matsnu Pc von 2004 mit Windows XP Home Edition
    Log-Analyse und Auswertung - 05.07.2012 (3)
  8. Windows Verschlüsselungs Trojaner TR/Matsnu.A.6 ACHTUNG PC nicht im abgesicherten Modus starten
    Plagegeister aller Art und deren Bekämpfung - 01.06.2012 (4)
  9. Neue Verschlüsselungs-Trojaner Trojan.Matsnu.10, Packer.ModifiedUPX
    Plagegeister aller Art und deren Bekämpfung - 01.06.2012 (1)
  10. Windows Verschlüsselungs Trojaner TR/Matsnu.EB.3
    Plagegeister aller Art und deren Bekämpfung - 29.05.2012 (1)
  11. Verschlüsselungs-Trojaner TR/Matsnu.A.55 per Email erhalten
    Log-Analyse und Auswertung - 14.05.2012 (11)
  12. Verschlüsselungs-Trojaner (Trojan.Matsnu.1) unter Windows XP - Abgesicherter Modus nicht moeglich
    Plagegeister aller Art und deren Bekämpfung - 06.05.2012 (5)
  13. Windows - Verschlüsselungs Trojaner trojan.matsnu.1
    Plagegeister aller Art und deren Bekämpfung - 04.05.2012 (1)
  14. trojan.matsnu.1 ?
    Log-Analyse und Auswertung - 04.05.2012 (2)
  15. Verschlüsselungs-Trojaner Trojan.Encoder
    Log-Analyse und Auswertung - 01.05.2012 (4)
  16. Gema.exe - Windows 7 64bit Brauche eine Schritt-für-Schritt-Anleitung
    Plagegeister aller Art und deren Bekämpfung - 21.03.2012 (1)

Zum Thema Windows-Verschlüsselungs-Trojaner Schritt 3 (Trojan.Matsnu.1) - Hallo Board, wir haben uns einen Verschlüsselungstrojaner eingefangen. Beim (dummen) Öffnen einer "Scheinrechnung" per "E-Mail" wurde der Trojaner aktiv und meldet den Standard: "Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert. - Windows-Verschlüsselungs-Trojaner Schritt 3 (Trojan.Matsnu.1)...
Archiv
Du betrachtest: Windows-Verschlüsselungs-Trojaner Schritt 3 (Trojan.Matsnu.1) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.