Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 21.05.2012, 12:55   #1
inka1708
 
Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert - Standard

Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert



Hi,
ich habe all Eure Anweisungen befolgt - habe einen OTLPE USB Stick erstellt,dann den PC vom Stick neu gestartet.Im gesicherten Modus kam nichts,in allen anderen Modi kam auch nichts - nur im "normal Start" kam dann die Aufforderung mein Kennwort einzugeben was ich auch schon mehrfach gemacht habe - und dann kommt wieder - "Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert..."
Ich habe sehr wenig Ahnung von diesen Dingen und weiß nicht wie der Trojaner auf meinen PC gelandet ist - habe weder Anhänge noch sonst etwas Unbekanntes geöffnet ( nicht bewußt !).
Vielen Dank für Eure Hilfe
Gruß Ingrid

Alt 21.05.2012, 13:37   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert - Standard

Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert



Zitat:
ich habe all Eure Anweisungen befolgt - habe einen OTLPE USB Stick erstellt,dann den PC vom Stick neu gestartet.Im gesicherten Modus kam nichts,
Wenn du OTLPE machen willst sollst du ja auch von der OTLPE-CD oder in deinem Fall vom OTLPE-Stick booten! Das installierte Windows ist kein OTLPE!
Lies bitte die Anleitung zu OTLPE richtig und erklär vllt auch mal warum es ein Stick und keine OTLPE-CD sein soll. Den Stick verwendet man wirklich nur dann wenn man kein optisches Laufwerk hat weil das für den Stick unnötig weitere Voraussetzungen und u.U. Probleme mit sich bringt!
__________________

__________________

Alt 21.05.2012, 14:10   #3
inka1708
 
Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert - Standard

Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert



Zitat:
Zitat von cosinus Beitrag anzeigen
Wenn du OTLPE machen willst sollst du ja auch von der OTLPE-CD oder in deinem Fall vom OTLPE-Stick booten! Das installierte Windows ist kein OTLPE!
Lies bitte die Anleitung zu OTLPE richtig und erklär vllt auch mal warum es ein Stick und keine OTLPE-CD sein soll. Den Stick verwendet man wirklich nur dann wenn man kein optisches Laufwerk hat weil das für den Stick unnötig weitere Voraussetzungen und u.U. Probleme mit sich bringt!
Entschuldigung !!! ich habe wirklich keine Ahnung!! Ich sitzte hier im Urlaub auf Fuerte und habe KEIN CD Laufwerk auf mein Ersatz! Netbook,daher der Stick - und ja ich weiß nicht was OTLPE ist !! es war für mich ein Versuch wert bei Euch um Hilfe zu bitten. Es tut mir leid wenn ich für Euch zu unfähig bin.LG
__________________

Alt 21.05.2012, 14:47   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert - Standard

Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert



Es hat nichts mit Unfähigkeit zu tun, sondern nur mit aufmerksamen Lesen
Du musst vom Stick booten!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 21.05.2012, 15:13   #5
inka1708
 
Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert - Standard

Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert



Zitat:
Zitat von cosinus Beitrag anzeigen
Es hat nichts mit Unfähigkeit zu tun, sondern nur mit aufmerksamen Lesen
Du musst vom Stick booten!
Danke ! aber der PC bootet nicht vom Stick,ich habe auch schon einen zweiten Stick erstellt,der PC erkennt beide, aber dann kommt immer wieder Windows.
Gruß und Danke


Alt 21.05.2012, 15:23   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert - Standard

Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert



Dann musst du die Hinweise beachten wie man von einem anderen Datenträger bootet
Einfach mal im BIOS den USB-Stick als erstes Bootdevice setzen
Oder mit der auf deinem Rechner entsprechenden F-Taste ins Bootmenü gehen, dort kannst du auswählen von welchem Datenträger gebootet werden soll

Geht das nicht kann das mehrere Ursachen haben

1.) Du machst was falsch
2.) Du hast den Stick nicht richtig erstellt
3.) Dein Rechner mag nicht von diesem Stick booten

Nicht jeder Rechner bootet von jedem USB-Stick!
__________________
--> Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert

Alt 21.05.2012, 17:48   #7
inka1708
 
Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert - Standard

Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert



Hi,vielen Dank - ich mußte im BIOS den USB Stick an erster Stelle setzen.
Jetzt habe ich "diese" OTL.txt und Extras.txt auf meinen Stick kopiert.
Und nun weiß ich nicht was ich damit machen soll !?
Bitte nochmals um Eure Hilfe.
Vielen Dank

Alt 21.05.2012, 18:55   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert - Standard

Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert



Ja was wohl, die Logs müssen hier gepostet werden ich kann ja schlecht direkt auf deinen USB-Stick nachsehen
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 21.05.2012, 20:10   #9
inka1708
 
Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert - Standard

Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert



Anhang 34991

Anhang 34992

Hi,ich bin jemand von der älteren Generation und tue mich mit den ganzen Ausdrücken recht schwer,das ist vielleicht etwas lästig für Euch Profis,aber wenn ich dumme Fragen stelle hat das nichts mit nicht gewissenhaft lesen, sondern mit meiner Unfähigkeit des Verstehens zu tun.
Ich weis auch hier nicht ob ich die Logs richtig hochgeladen habe - ich bitte jetzt schon mal um Entschuldigung.Gruß und Danke

Alt 21.05.2012, 20:59   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert - Standard

Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert



Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Code:
ATTFilter
:OTL
O4 - HKU\inka_ON_C..\Run: [E8C60EC5] C:\WINDOWS\system32\D5223B9CE8C60EC5DFE7.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\inka_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\inka_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\inka_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\inka_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\D5223B9CE8C60EC5DFE7.exe) - C:\WINDOWS\system32\D5223B9CE8C60EC5DFE7.exe
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010/02/07 02:38:47 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 11:06:42 | 000,000,053 | ---- | M] () - X:\AUTORUN.INF -- [ FAT ]
:Files
C:\Dokumente und Einstellungen\inka\Anwendungsdaten\Epxlqilm
C:\WINDOWS\System32\D5223B9CE8C60EC5DFE7.exe
C:\WINDOWS\System32\winsh32?
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OJgvLqXetdsUOJjnpsXst
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dJroAXxVuOLXsdJrneTx
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sTlGVvryEqEaldxJNv
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pldQrJAofxgEqpDUQN
:Commands
[purity]
[resethosts]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 22.05.2012, 21:26   #11
inka1708
 
Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert - Standard

Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert



Hi,ich denke ich war erfogreich - Ich sage tausend Dank !

Alt 23.05.2012, 08:57   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert - Standard

Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert



Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
         
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 24.05.2012, 20:52   #13
inka1708
 
Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert - Standard

Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert



Hi,ist es unbeding nötig malewarebytes runterladen,das übersteig wohl alles ein wenig mein Können. Ich habe Kaspersky jetz schon zwei mal drurchlaufen lassen , reicht das nicht aus ? Wennn Du sagst das reicht nicht,dann werde ich natürlich dieses malewarebytes installieren und mein Möglichstes tun um Dir die Daten zu schicken. Danke und Gruß

Alt 25.05.2012, 09:08   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert - Standard

Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert



Nein das reicht nicht aus, Malwarebytes und ESET sind wirklich supereinfach zubedienen außerdem haben wir doch dazu bebilderte Anleitungen!!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 27.05.2012, 00:15   #15
inka1708
 
Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert - Standard

Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert



Malwarebytes Anti-Malware (Test) 1.61.0.1400
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.05.26.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
inka :: ACER-9C2C4BDE85 [Administrator]

Schutz: Aktiviert

26.05.2012 20:13:27
mbam-log-2012-05-26 (20-13-27).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 418956
Laufzeit: 2 Stunde(n), 4 Minute(n), 8 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=840eadb5b2d334478eb0a57a1cc39a1b
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-05-26 10:57:53
# local_time=2012-05-26 11:57:53 (+0000, GMT-Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1280 16777191 100 0 0 0 0 0
# compatibility_mode=8192 67108863 100 0 169 169 0 0
# scanned=181511
# found=2
# cleaned=0
# scan_time=5572
C:\Dokumente und Einstellungen\inka\Lokale Einstellungen\Anwendungsdaten\Downloaded Installations\{6FDDC4D4-C391-4D6D-8593-CF4D5A36BEE1}\Movavi VideoSuite 7.msi a variant of Win32/Packed.Themida application (unable to clean) 00000000000000000000000000000000 I
C:\Programme\Movavi VideoSuite 7\ReadServer.exe a variant of Win32/Packed.Themida application (unable to clean) 00000000000000000000000000000000 I

Hi,tut mir leid wie das mit dem Code Tag funktioniert habe ich nicht rausgefunden. Vielen Dank für dein Verständnis

Antwort

Themen zu Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert
ahnung, andere, anderen, anhänge, aufforderung, dinge, erstell, erstellt, gen, hänge, infiziert, kennwort, kommt wieder, mehrfach, modus, neu, nichts, stick, troja, trojaner, unbekanntes, usb, usb stick, wenig, wenig ahnung



Ähnliche Themen: Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert


  1. Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert
    Plagegeister aller Art und deren Bekämpfung - 28.06.2012 (1)
  2. Sie haben sich mit einem Windows Verschlüsselungs Trojaner infiziert.
    Log-Analyse und Auswertung - 18.06.2012 (9)
  3. OTL.txt ""sie haben sich mit einem windows-verschlüsselungs trojaner infiziert", ich bitte um hilfe.
    Log-Analyse und Auswertung - 10.06.2012 (3)
  4. Windows XP: "Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert."
    Plagegeister aller Art und deren Bekämpfung - 10.06.2012 (2)
  5. Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert. XP
    Alles rund um Windows - 10.06.2012 (2)
  6. sie haben sich mit einem windows verschlüsselungs trojaner infiziert
    Log-Analyse und Auswertung - 31.05.2012 (1)
  7. Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert
    Log-Analyse und Auswertung - 31.05.2012 (1)
  8. Sie haben sich mit einem Windows Verschlüsselungs Trojaner infiziert. PC reinigen.
    Log-Analyse und Auswertung - 23.05.2012 (9)
  9. Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert
    Log-Analyse und Auswertung - 17.05.2012 (2)
  10. sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert
    Log-Analyse und Auswertung - 11.05.2012 (27)
  11. Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 100€ Paysafe
    Log-Analyse und Auswertung - 05.05.2012 (11)
  12. Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert
    Log-Analyse und Auswertung - 04.05.2012 (15)
  13. Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert 50€ uKash
    Log-Analyse und Auswertung - 04.05.2012 (9)
  14. Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert
    Plagegeister aller Art und deren Bekämpfung - 01.05.2012 (9)
  15. Sie haben sich mit einem windows-verschlüsselungs trojaner infiziert
    Plagegeister aller Art und deren Bekämpfung - 27.04.2012 (7)
  16. Sie haben sich mit einem Windows-Verschlüsselungs-Trojaner infiziert uKash
    Log-Analyse und Auswertung - 27.04.2012 (1)
  17. Sie haben sich mit einen Windows-Verschlüsselungs-Trojaner infiziert.
    Plagegeister aller Art und deren Bekämpfung - 27.04.2012 (10)

Zum Thema Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert - Hi, ich habe all Eure Anweisungen befolgt - habe einen OTLPE USB Stick erstellt,dann den PC vom Stick neu gestartet.Im gesicherten Modus kam nichts,in allen anderen Modi kam auch nichts - Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert...
Archiv
Du betrachtest: Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.