Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Infizierung mit Trojaner Rechnung.exe "Artikelerwerb 84806653658"

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 09.05.2012, 08:13   #1
Reinste
 
Infizierung mit Trojaner Rechnung.exe "Artikelerwerb 84806653658" - Standard

Infizierung mit Trojaner Rechnung.exe "Artikelerwerb 84806653658"



Hallo zusammen,

der PCs meines Vaters ist offensichtlich leider seit vorgestern mit einem Verschluesselungstrojaner infiziert. Keine Chance an den Desktop ranzukommen, es wird nach einem Freischaltcode fuer eine abgelaufene Windowslizenz gefragt der fuer 100 EUR erworben werden soll. Nach Aussage von meinem Dad bootet der PC zwar allerdings sind wie auch bei anderen betroffenen Usern die Startsquenzen "ausgegraut". Nach kurzer Anzeige des Desktops (der aber wohl aber nicht der original Desktop ist) kommt die Windows Lizenz Meldung mit moeglicher Eingabe eines Freischaltcodes. Interessant ist noch, ich konnte mich via Gotomypc remote einloggen (war nicht Vor-ort). Anscheinend laufen also noch Programme (z.b. Gotomypc server) im Hintergrund...

Ursache war wohl eine personalifizierte Email an meinen Dad mit einer Fake Bestellbestaetigung (Bestellung.zip). Im Betreff stand "Artikelerwerb 84806653658". Die zip hat mein Dad wohl geoeffnet und dann die darin enthaltene Rechnung.exe ausgefuehrt. Email Text:

""Vielen Dank für Ihren Einkauf bei comtech.de, nachfolgend finden Sie Ihre Einkaufsbestätigung. Deine Bestellnummer: 357350771973. Artikel: Sony 5178313599 704,63 Euro""

Nach meiner Recherche funktioniert die Bereinigung der Trojaner ja jeweils anders deshalb nun meine Frage, wie soll man bei diesem Fu..er vorgehen? Bin leider erst heute Abend bei meinem Dad um dann eine Boot CD (mit einem nicht-infizierten PC) zu erstellen und die Logtools auszufuehren. Bis dahin kennt jemand diese Form des Trojaners und wie soll man vorgehen?

1000 Dank an alle!!

Alt 11.05.2012, 12:18   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Infizierung mit Trojaner Rechnung.exe "Artikelerwerb 84806653658" - Standard

Infizierung mit Trojaner Rechnung.exe "Artikelerwerb 84806653658"



Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?



Abgesicherter Modus zur Bereinigung
  • Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
  • Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:

    Windows im abgesicherten Modusstarten
__________________

__________________

Alt 13.05.2012, 18:05   #3
Reinste
 
Infizierung mit Trojaner Rechnung.exe "Artikelerwerb 84806653658" - Standard

Infizierung mit Trojaner Rechnung.exe "Artikelerwerb 84806653658"



Leider nein. Weder mit noch ohne Netzwerktreiber landet er im Bluescreen of Death.
__________________

Alt 14.05.2012, 09:12   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Infizierung mit Trojaner Rechnung.exe "Artikelerwerb 84806653658" - Standard

Infizierung mit Trojaner Rechnung.exe "Artikelerwerb 84806653658"



Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.
  • Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 15.05.2012, 21:12   #5
Reinste
 
Infizierung mit Trojaner Rechnung.exe "Artikelerwerb 84806653658" - Standard

Infizierung mit Trojaner Rechnung.exe "Artikelerwerb 84806653658"



Hallo,

habe die Schritte nun endlich ausgefuehrt. Tja man sollte halt doch Rohlinge zu Hause haben...

Allerdings konnte ich weder die Option "Select folder" noch "Do you wish to load the remote registry" oder "Do you wish to load remote user profile(s) for scanning". er ging direkt zur Auswahl der User Profiles. Ich habe Admin markiert gelassen und einen Haken bei "Automatically Load All Remaining Users" gesetzt. Vielleicht liegts daran dass Reatogo mit OTLPE Version 3.1.48.0 besteuckt ist?

Die zwei Files wurden jedoch erstellt. Hab sie hochgeladen. Oder ist es besser den Text mit copy/paste im Thread zu posten?

Nochmals Danke an alle und viele Gruesse!!

Angehängte Dateien
Dateityp: txt OTL.txt (61,0 KB, 185x aufgerufen)
Dateityp: txt Extras.txt (21,4 KB, 169x aufgerufen)

Alt 16.05.2012, 12:40   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Infizierung mit Trojaner Rechnung.exe "Artikelerwerb 84806653658" - Standard

Infizierung mit Trojaner Rechnung.exe "Artikelerwerb 84806653658"



Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
O4 - HKLM..\Run: [UserFaultCheck]  File not found
O4 - HKU\Edmund_ON_C..\Run: [3C5F85CB] C:\WINDOWS\system32\85C602153C5F85CBB6DA.exe (arnese esca)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Edmund_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Edmund_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Edmund_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\systemprofile_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\85C602153C5F85CBB6DA.exe) - C:\WINDOWS\system32\85C602153C5F85CBB6DA.exe (arnese esca)
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
O28 - HKLM ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - Reg Error: Key error. File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010/03/13 11:27:52 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2011/07/19 04:47:35 | 000,000,100 | ---- | M] () - E:\AUTORUN.INF -- [ NTFS ]
:Files
C:\Dokumente und Einstellungen\Edmund\Anwendungsdaten\Vbxclzjk
C:\WINDOWS\System32\85C602153C5F85CBB6DA.exe
C:\WINDOWS\System32\winsh3*
:Commands
[purity]
[resethosts]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten
__________________
--> Infizierung mit Trojaner Rechnung.exe "Artikelerwerb 84806653658"

Alt 16.05.2012, 21:15   #7
Reinste
 
Infizierung mit Trojaner Rechnung.exe "Artikelerwerb 84806653658" - Standard

Infizierung mit Trojaner Rechnung.exe "Artikelerwerb 84806653658"



Wow! Ihr seid die Besten. Nach erstem Check funzt wieder alles. Muss aber noch ein paar Tests machen. Anbei die Dateien. Geht ihr davon aus dass das System nun clean ist? Oder macht es Sinn nach Datensicherung es komplett neu aufzusetzen?

Nochmals 1000 Dank!!!! Mein Dad wird sich riesig freuen. Gerade rechzeitig zum Vatertag! Werde demnaechst ne umfangreiche Spende machen.

Viele Gruesse
Stephan




Anhang movedFiles von OTL entfernt //cosinus
Angehängte Dateien
Dateityp: txt OTLFixLog.txt (7,2 KB, 158x aufgerufen)

Geändert von cosinus (16.05.2012 um 23:30 Uhr)

Alt 16.05.2012, 21:17   #8
Reinste
 
Infizierung mit Trojaner Rechnung.exe "Artikelerwerb 84806653658" - Standard

Infizierung mit Trojaner Rechnung.exe "Artikelerwerb 84806653658"



...noch etwas: ich werde weitere Infos hier posten.

Alt 16.05.2012, 23:27   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Infizierung mit Trojaner Rechnung.exe "Artikelerwerb 84806653658" - Standard

Infizierung mit Trojaner Rechnung.exe "Artikelerwerb 84806653658"



Die movedFiles sollten in den UploadChannel!!
Hab den Anhang rausgenommen, du kannst nicht einfach quarantänisierte Objekte hier öffentliche für jedermann posten! Was meinste du wohl waum der Hinweis zum Upload in den UpChannel extra gedacht war!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Infizierung mit Trojaner Rechnung.exe "Artikelerwerb 84806653658"
anderen, anzeige, ausgegraut, bestellbestaetigung, bestellung.zip, code, comtech.de, desktop, eingabe, einloggen, email, erstellen, euro, fake, frage, funktioniert, gotomypc, hallo zusammen, heute, infiziert., interessant, meldung, pcs, programme, rechnung.exe, remote, server, trojaner, trojaners, usern, zusammen



Ähnliche Themen: Infizierung mit Trojaner Rechnung.exe "Artikelerwerb 84806653658"


  1. Windows 7: zip-File aus Mail von DirectPay mit Betreff "Offener Rechnung ..." geöffnet. Trojaner?
    Log-Analyse und Auswertung - 07.09.2015 (13)
  2. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  3. Vodafone/Telekom E-Mail-Trojaner "Ihre Rechnung Juni 2014" | dgdbios.exe
    Log-Analyse und Auswertung - 24.06.2014 (9)
  4. Trojaner-Warnung: Vodafone E-Mail mit "Ihre neue Rechnung als PDF"
    Diskussionsforum - 03.06.2014 (0)
  5. Trojaner aus Amazon-Rechnung "775499404.Rechnung.11.08.13.PDF.exe"
    Plagegeister aller Art und deren Bekämpfung - 10.12.2013 (16)
  6. Spammail: Mahnung von Amazon; "ownz.su"; "775499404.Rechnung.11.08.13.PDF(1).exe"
    Log-Analyse und Auswertung - 12.11.2013 (22)
  7. "Trojan.Downloader.Agent" von Avast und Malwarebytsgefunden - Infizierung? Weiteres Vorgehen?
    Plagegeister aller Art und deren Bekämpfung - 31.07.2013 (13)
  8. GMX Abuse meldet mir Infizierung mit Virus "Zeus"
    Log-Analyse und Auswertung - 02.05.2013 (34)
  9. Malware Infizierung "page has moved, redirecting...", Werbeeinblendungen Firefox
    Log-Analyse und Auswertung - 24.04.2013 (7)
  10. Trojaner- Warnung nach" groupon- Rechnung"
    Plagegeister aller Art und deren Bekämpfung - 17.03.2013 (32)
  11. Malware - Infizierung "page has moved, redirecting.." Firefox
    Log-Analyse und Auswertung - 04.02.2013 (13)
  12. Trojaner durch "Apple-Rechnung"
    Log-Analyse und Auswertung - 13.06.2012 (1)
  13. Verschlüsselungs Trojaner "rechnung.zip"
    Log-Analyse und Auswertung - 03.05.2012 (5)
  14. Infizierung mit "Personal Shield Pro" und Rootkit.TDSS - System jetzt sauber?
    Log-Analyse und Auswertung - 11.09.2011 (21)
  15. Infizierung mit "TR/Crypt.XPACK.Gen3" in C:/Windows/Temp/...
    Plagegeister aller Art und deren Bekämpfung - 23.10.2010 (4)
  16. Trojaner als Anhang einer "Ebay"-Rechnung
    Plagegeister aller Art und deren Bekämpfung - 01.07.2006 (4)
  17. Trojaner durch "Ebay-Rechnung"
    Log-Analyse und Auswertung - 02.03.2006 (3)

Zum Thema Infizierung mit Trojaner Rechnung.exe "Artikelerwerb 84806653658" - Hallo zusammen, der PCs meines Vaters ist offensichtlich leider seit vorgestern mit einem Verschluesselungstrojaner infiziert. Keine Chance an den Desktop ranzukommen, es wird nach einem Freischaltcode fuer eine abgelaufene Windowslizenz - Infizierung mit Trojaner Rechnung.exe "Artikelerwerb 84806653658"...
Archiv
Du betrachtest: Infizierung mit Trojaner Rechnung.exe "Artikelerwerb 84806653658" auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.